

Premessa
La conservazione dei libri, registri e documenti può contare su un suo quadro normativo di riferimento da oltre 15 anni. Evitare la stampa e avere la disponibilità dei documenti in formato digitale, validi ad ogni effetto di legge (anzi, di più, come verrà appresso detto) avrebbe dovuto rappresentare una scelta indifferibile per gli addetti ai lavori, professionisti ed imprese. I risparmi, diretti ed indiretti, erano e sono evidentissimi, eppure ancora oggi, quando si parla di conservazione sostitutiva, si tocca un terreno sconosciuto ai più. I processi digitali, sorretti dal pieno riconoscimento normativo, avrebbero avuto bisogno solo di “portatori sani”, poi la pratica si sarebbe dovuta diffondere a macchia d’olio.
Ciò non si è verificato.
I primi imputati siamo ovviamente noi Dottori Commercialisti, che abbiamo consentito la progressiva degenerazione del nostro DNA sino al punto di farci dimenticare la cultura della opportunità e far prevalere la cultura dell’obbligo. Se qualcosa – anche vantaggiosa per i nostri clienti – è stata proposta come temporaneamente opzionale, non l’abbiamo posta all’ordine del giorno, e quando il tempo ci ha portato inesorabilmente a doverla affrontare … abbiamo chiesto e chiediamo proroghe. Questo ci ha indotto a trattare in maniera inadeguata le problematiche connesse alle storture a cui siamo soggetti nell’esercizio della nostra professione. Per esempio, in relazione alla introduzione degli ISA non siamo stati capaci di far valere il principio secondo cui in un periodo di crisi non possiamo attribuire valore di profezia a calcoli statistici, che non tengono in alcuna considerazione che le imprese possono andare bene o male anche perché è l’imprenditore che fa la differenza. Paradossalmente, esiste molta più standardizzazione nelle imprese di medio grandi dimensioni che non nelle micro-piccole, in cui è la genialità (o la incapacità) dell’imprenditore (oltre che il mix con il settore di appartenenza e l’area geografica) a fare la differenza. Invece in ambito fatturazione elettronica tra privati siamo arrivati al punto di citare, in supporto alla richiesta di proroghe, che la semplificazione dei processi, avrebbe di fatto reso inutili parecchie formalità, ergo, il lavoro di molti Dottori Commercialisti.
L’aver “snobbato” le grandi potenzialità della dematerializzazione ci ha portato anche a perdere – anzi, a non conquistare – la autorevolezza necessaria sulla materia, per cui abbiamo lasciato spazio a figure professionali, più o meno accreditate, che avendo intuito l’approccio ostile di coloro che ne sarebbero dovuti essere i più accesi sostenitori, hanno creato lobbies il cui obiettivo non è stato quello di chiedere al legislatore il perché di un ingiustificato accanimento regolamentare (non riesco a definire diversamente l’inasprimento delle “regole tecniche” e la loro estensione automatica all’ambito privato, inteso come ciò che non è Pubblica Amministrazione) quanto quello di cercare di ritagliarsi nuove opportunità come figure professionali di riferimento, facendo della (inutile ed ingiustificata, per quanto verrà appresso detto) complicazione tecnico-normativa la loro ragione di vita professionale e talvolta di successo. La tempesta perfetta si è realizzata quando queste figure professionali sono diventati “gli esperti” che colloquiano col legislatore e suggeriscono come rendere ancora più complesso il contesto.
Vorrei quindi tentare di diffondere un nuovo messaggio: noi Dottori Commercialisti abbiamo l’obbligo (dovremmo avere anche il piacere …) di essere laboratori viventi di efficienza e tecnologia, essere autorevolmente presenti per definire gli standard organizzativi delle imprese e per poter intervenire nei processi formativi delle leggi, per evitare che interessi non sempre degni di tutela possano condurre il legislatore – così come si è verificato – a codificare che una impresa privata debba avere un sistema di conservazione ed organizzativo modellato su quello della Pubblica Amministrazione.
Le semplificazioni introdotte dall’inserimento del comma 3-quater all’art.7 del D.L. 357/1997
L’attuale contesto normativo in materia di registri contabili è stato oggetto di recenti interventi legislativi per cui la stampa dei registri è diventata praticamente inutile “…qualora in sede di controlli o ispezioni essi risultino aggiornati sui predetti sistemi elettronici e vengono stampati a seguito della richiesta avanzata dagli organi procedenti ed in loro presenza”.
Da una analisi sommaria delle novelle legislative le semplificazioni disposte appaiono una ottima alternativa alla conservazione sostitutiva “a norma”, disciplinate dall’articolo 2215-bis del codice civile, dal C.A.D. – Codice dell’Amministrazione Digitale (Decreto Legislativo 82 del 7 marzo 2005) e dalle relative Linee Guida, e dal Decreto del Ministero dell’Economia e delle Finanze del 17 giugno 2014: la stampa diventa una opzione eventuale solo a seguito di richiesta degli organi di controllo.
Ma non è oro tutto quello che luce.
Immaginiamo le società assoggettate al controllo contabile o alla revisione: in mancanza di scritture, intese come un documento statico, anche informatico, quale documentazione dovrebbe essere esibita agli organi interni ? Senza considerare che la inesistenza di un documento statico potrebbe generare il rischio di una possibile modifica – anche involontaria – dei dati di cui esso dovrebbe esserne la rappresentazione e che sono accessibili al software applicativo.
Ecco quindi che le recenti modifiche, cha vanno comunque salutate con favore perché realizzano un importante processo di sfoltimento da formalità inutili, rappresentano una occasione per tentare una analisi atta a valutare la esistenza o la permanenza del nesso che deve esistere tra le norme vigenti e il fine che esse dovrebbero perseguire.
I requisiti del documento informatico
Iniziamo con una considerazione tanto banale quanto rilevante: i documenti di cui oggi entriamo in possesso, anche se spesso hanno forma analogica, vengono generati in ambiente digitale e poi successivamente “stampati” o riprodotti in maniera analogica. Talvolta il documento analogico viene assoggettato a scansione per tornare allo stato digitale, ma spesso ciò avviene sotto forma di pixel e non di dati strutturati. Si fa quindi un lavoro enorme per ripercorre al contrario una strada, fermandosi molto prima del punto da cui si è partiti. Quando si grida allo scandalo per l’avvio di processi che hanno come scopo quello di mantenere in formato digitale ciò che nasce in ambito digitale si dovrebbe rispondere che la nostra economia non può sostenere il peso della inefficienza. Quindi promuovere la tenuta e la conservazione dei libri, registri e documenti persegue uno scopo “socialmente utile”.
La vita del documento informatico si articola in due fasi. La prima è quella della sua nascita, che, ovviamente, avviene con l’ausilio di strumenti informatici, hardware e software. La seconda è quella (eventuale) della sua conservazione, che avviene con modalità e con tempi previsti dalla Legge e che serve ad attribuirgli i requisiti della autenticità ed immodificabilità.
Sulla nascita c’è poco da dire, tutti siamo in grado di produrre un documento informatico, con l’utilizzo di suites come Office, OpenOffice, o altro software specifico.
Non sempre tuttavia abbiamo l’esigenza di assoggettare a “conservazione” i documenti informatici che abbiamo generato. Se generiamo un foglio di calcolo, una lettera, una comunicazione, generalmente non abbiamo l’esigenza di renderne il contenuto statico, anche perché spesso entriamo nei documenti per modificarli, per fare copia e incolla o solo per visionarli. Ogni volta che entriamo nel documento con l’ausilio di un software specifico (che sia Office Word, Excel, OpenOffice, Adobe Acrobat, etc.) il documento viene modificato, perché il software lancia comunque macro istruzioni o comandi che ne modificano la struttura. La esigenza di conservazione dei documenti informatici promana da due esigenze parallele: dal un lato quella di rendere “statico” il documento, e dall’altro quello di consentirne l’accesso e la visualizzazione in maniera indipendente dal software col quale è stato generato. Ecco quindi che viene generato un file, generalmente con estensione .pdf, in cui la modifica è più complessa o addirittura non possibile se il file viene generato in pdf/A.
La conservazione del documento informatico ha come scopo:
- La tutela della autenticità del file, ossia essere certi del suo autore, da cui deriva la caratteristica di “non ripudio”
- La tutela della immodificabilità dei dati contenuti nel documento informatico, di guisa che sia impedita ogni possibile variazione, volontaria o involontaria;
- Avere la certezza legale della data di generazione del documento, con un procedimento informatico con un esito opponibile ai terzi.
In effetti vi sarebbe un altro elemento essenziale, ossia la esigenza di assicurare la leggibilità nel tempo del contenuto del documento informatico, ma, come verrà appresso meglio illustrato, questo, in ambito amministrativo civilistico/fiscale, rappresenta un onere prima che un obbligo, considerato che qualora il documento informatico (si pensi al libro giornale) non risultasse interpretabile in sede di accessi, ispezioni o verifiche, le conseguenze sarebbero sostanziali (inesistenza fisica del libro) e non formali.
La autenticità del documento informatico si potrebbe ottenere con diversi procedimenti di firma, complessi e sicuri anche in funzione della tipologia di documento da sottoporre a conservazione; la firma digitale è quella che oggi assicura il maggior livello si sicurezza perché prevede l’intervento di un certificatore accreditato, che rilascia un certificato digitale al soggetto che appone la firma. Il certificatore, sotto il controllo dell’AGID – Agenzia per l’Italia Digitale – rilascia a ciascun utente che ne faccia richiesta, una chiave privata (generalmente residente in un microchip sul dispositivo di firma, smart card, token usb, etc.) ed una chiave pubblica, accessibile a tutti coloro che volessero verificare la autenticità della firma e il suo titolare.
La chiave pubblica e la chiave privata sono generate contestualmente, con una procedura le correla in maniera univoca, in modo che i dati generati con una delle due chiavi possano essere decifrati da chi conosce l’altra chiave. La procedura di firma digitale, per grandi linee, è la seguente:
- Viene generato un hash del file da sottoporre a conservazione;
- L’hash viene cifrato con la chiave privata;
- Il file da firmare viene “impacchettato” con l’aggiunta – tra l’altro – dell’hash cifrato e delle generalità del soggetto che ha firmato digitalmente il documento informatico. Al suffisso del file (per esempio, pdf) viene aggiunto un altro suffisso (per esempio, p7m che corrisponde alla firma Cades).
In questo modo, essendo possibile accedere alla chiave pubblica, chiunque può leggere il contenuto del file e, soprattutto, verificare, con la “decifratura” tramite la chiave pubblica, la autenticità della firma.
La opponibilità della data ai terzi si realizza con l’apposizione della marca temporale. Il metodo con cui viene applicata la marca è simile a quello della firma digitale: viene calcolata l’impronta del file (hash) su cui apporre la marca temporale e l’hash viene cifrato con la chiave predisposta dal soggetto che ha emesso la marca temporale, titolare di un certificato rilasciato dall’Agid. Quando un documento viene “marcato”, l’ora e la data saranno apposti secondo gli standard UTC (Universal Time Coordinated) in conformità a quanto previsto dal regolamento DigitPA e quindi l’ora che apparirà sarà all’incirca di una o due ore in anticipo rispetto all’orario italiano. La marca temporale può essere contenuta all’interno del documento (attached), ed in questo caso il file assume l’estensione .tsd o .m7m, oppure separata (detached), e il file assume l’estensione .tsr.
Per quanto sopra detto, la immodificabilità del file sottoposto a firma digitale e a marca temporale ha una doppia garanzia, posto che ciascuna della due procedure genera un hash del file.
Ovviamente se ad un file firmato o marcato viene apportata una qualsiasi modifica al suo contenuto, il file risulta corrotto e firma e marca si hanno per non applicate.
La procedura sopra indicata può essere eseguita in maniera semplice con l’utilizzo di software messi gratuitamente a disposizione nelle versioni base[1], che consentono, oltre che la apposizione della firma digitale e della marca temporale, anche le operazioni di verifica e di separazione della marca dal documento (nel caso in cui la marca sia del tipo “attached”).
C’è da considerare anche che l’articolo 2215-bis de C.C., prevede:
- al comma 3, che “Gli obblighi di numerazione progressiva e di vidimazione previsti dalle disposizioni di legge o di regolamento per la tenuta dei libri, repertori e scritture sono assolti, in caso di tenuta con strumenti informatici, mediante apposizione, almeno una volta all’anno, della marcatura temporale e della firma digitale dell’imprenditore o di altro soggetto dal medesimo delegato.”
- al comma 5, che “I libri, i repertori e le scritture tenuti con strumenti informatici, secondo quanto previsto dal presente articolo, hanno l’efficacia probatoria di cui agli articoli 2709 e 2710 del codice civile.”
In pratica, chi assoggetta i libri e le scritture contabili alla conservazione, con apposizione di firma digitale e marca temporale, è come se adottasse libri bollati e vidimati, con efficacia probatoria evidentemente “rafforzata” rispetto ad altri sistemi di tenuta che non offrono simili garanzie.
Penso che avremmo tutto il diritto di chiedere al legislatore una maggiore “tenuta” delle scritture contabili conservate a norma nei confronti delle presunzioni e degli accertamenti induttivi. Una simile azione avrebbe certamente dato un giusto riconoscimento a chi si fosse sottopopsto a formalità più stringenti rispetto alla normalità; siamo ancora in tempo.
La evoluzione delle regole tecniche per la conservazione
Quella sopra descritta era la procedura applicabile sino al 10 aprile 2014 per chi avesse voluto assoggettare a conservazione libri, registri e documenti, da integrare eventualmente col disposto dell’articolo 3 del DMEF 17/6/2014, lettera b), a norma del quale i documenti informatici devono essere conservati in modo che “siano consentite le funzioni di ricerca e di estrazione delle informazioni dagli archivi informatici in relazione almeno al cognome, al nome, alla denominazione, al codice fiscale, alla partita IVA, alla data o associazioni logiche di questi ultimi, laddove tali informazioni siano obbligatoriamente previste”.
L’entrata in vigore delle regole tecniche ha comportato l’adozione di un sistema molto più complesso ed articolato, ed è stato frutto di un apprezzabilissimo sforzo teso a rendere ancora più incisivi gli obiettivi che si è posto il legislatore del C.A.D.: la esigenza dello Stato, delle Regioni e delle autonomie locali di assicurare “la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale…” in modo da utilizzare “…con le modalità più appropriate e nel modo più adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell’informazione e della comunicazione” (articolo 2, comma 1).
Senza voler entrare nel dettaglio, l’attuale processo di conservazione documentale è articolato su varie fasi che determinano la produzione di pacchetti informatici di dati che prevedono:
- la organizzazione dei pacchetti di archiviazione in formati ben precisi (standard SinCRO – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali – UNI 11386:2010);
- la mappatura della procedura con la individuazione di regole (manuale della conservazione)
- l’intervento e la assunzione di responsabilità di soggetti adeguatamente preparati (responsabile della conservazione / responsabile del servizio di conservazione) che devono assicurare – tra l’altro – la leggibilità dei dati nel tempo.
La applicabilità del C.A.D. ai “privati”, intesi come soggetti diversi dalle Pubbliche Amministrazioni, non è neppure contenuta nel comma 2, che estese la applicabilità del C.A.D. ai soggetti “adiacenti” alle PP.AA., ma è prevista al comma 3, dove è indicato che “Le disposizioni del presente Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all’articolo 3-bis e al Capo IV, l’identità digitale di cui agli articoli 3-bis e 64 si applicano anche ai privati, ove non diversamente previsto”.
L’impressione che si ricava dalla lettura del C.A.D. (ma anche dai lavori che ne hanno preceduto la sua creazione) è che il legislatore abbia realizzato un lodevole corpus iuris rivolto alla Pubblica Amministrazione, in cui l’interesse primario non è stato (solo) la tutela del dato, ma, soprattutto, la codificazione di procedure, di formalità e di controlli idonei a rendere tracciabili ed omogenei i processi di generazione dei documenti informatici amministrativi di interesse generale, posto che un errore in tale percorso potrebbe essere lesivo dei principi di buon andamento della Pubblica Amministrazione previsto dall’articolo 97 della Costituzione. Esigenza che non si ravvisa in ambito privato, in cui deve essere l’imprenditore a porre in essere le condotte necessarie a tutelare i suoi dati, la cui mancanza o irregolarità genera conseguenze dirette ed immediate su di lui e non sulla collettività. In tal senso il legislatore avrebbe dovuto conservare memoria della locuzione “ove non diversamente previsto” contenuta nella norma sopra citata di estensione all’ambito privato delle regole fissate per le PP.AA..
Solo per citare un esempio, nell’articolo 44 del C.A.D., intitolato “requisiti per la gestione dei documenti informatici”, ai commi 1 e 1-bis parla di “gestione informatica dei documenti delle pubbliche amministrazioni” ed al comma 1-quater inserisce la figura del “responsabile della conservazione, che opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi ”. E’ evidente come la presenza delle figure professionali sopra indicate non possa che riferirsi ad una pubblica amministrazione, dato per scontato che nelle piccole realtà imprenditoriali e/o professionali non è neppure pensabile un sistema organizzativo di tal genere. L’articolo 7 del DPCM 3 dicembre 2013, riprende e amplifica il ruolo del responsabile della conservazione, reiterando la sua operatività “… d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell’ufficio di cui all’art. 17 del Codice, oltre che con il responsabile della gestione documentale ovvero con il coordinatore della gestione documentale ove nominato, per quanto attiene alle pubbliche amministrazioni”.
E’ quindi evidente come, in maniera perfettamente sincrona e silente, ci sia stata una progressiva estensione della applicazione della norma anche all’ambito privato, non considerando che in tale ambito ciò che conta è la esistenza dei dati, non il percorso con cui essi sono stati generati, né, tantomeno, la garanzia che i dati nel tempo siano meritevoli di tutela e di precauzioni. Perché nella ipotesi in cui i dati oggetto di controllo siano autentici, immodificabili e formati con procedure che certificano in maniera opponibile ai terzi la data di formazione, sono validi ed utili allo scopo per cui sono preordinati, ma ove malauguratamente non lo fossero, l’unico soggetto a subirne le conseguenze sarebbe il suo titolare, ossia l’imprenditore. Salvo il caso in cui i dati risultassero comunque leggibili in maniera agevole ed interpretabili, per cui potrebbero rappresentare in ogni caso una fonte di informazioni assolutamente identica a quella che nella disponibilità di coloro che non si sono avvalsi della conservazione sostitutiva. Diversa ovviamente la ipotesi di dati fossero illeggibili, per cui il contribuente, ove non i dati non risultassero aggiornati sui predetti sistemi elettronici e non fosse in condizione di stamparli a seguito della richiesta avanzata dagli organi procedenti ed in loro presenza, sarebbe completamente scoperto.
L’applicazione di una normativa assolutamente inidonea e sproporzionata all’ambito privato ci pone dinnanzi a situazioni a dir poco paradossali. Posto che l’articolo 43, comma 1, del Codice dell’Amministrazione Digitale prevede che : “Gli obblighi di conservazione e di esibizione di documenti si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le relative procedure sono effettuate in modo tale da garantire la conformità ai documenti originali e sono conformi alle Linee guida”, cosa accadrebbe se in sede di ispezione il contribuente esibisse un libro giornale sotto forma di documento informatico, con firma digitale e marca temporale, ma non fosse provvisto del manuale di conservazione, non fosse stato nominato il responsabile della conservazione, e non fossero state rispettate le regole tecniche per la formazione del documento informatico (per esempio non esistesse il pacchetto di Conservazione o vi fosse un errore nella sua sintassi) ? quali sarebbero le conseguenze della non conformità dei documenti alle linee guida o alle regole tecniche ? A mio avviso, nessuna, ma in un contesto storico in cui si è attribuita alla forma una rilevanza spropositata, spesso strumentale solo alla generazione di “non conformità” che potrebbero aprire le porte a procedimenti sanzionatori, diretti o indiretti, dobbiamo stare con gli occhi bene aperti e presidiare costantemente il sistema normativo e regolamentare.
L’esigenza di rendere efficiente e competitivo il sistema paese impone una radicale revisione delle regole della conservazione “a norma”.
Un impianto normativo in cui chi non si fosse avvalso della conservazione a norma potrebbe aver fatto una scelta vincente rispetto a chi se ne fosse avvalso, magari commettendo qualche errore (anche irrilevante, per quanto sopra detto), è certamente un sistema che ha una tara progettuale.
Ovvio che imporre normativamente tutele elevate e procedure complesse, anche se tecnicamente valide, genera maggiore sicurezza, ma imporre ai cittadini di girare in strada a piedi col casco come se fossimo in guerra non sembra una scelta vincente, sia perché produce obblighi inutili, sia perché genera il convincimento (legittimo a mio avviso) che le leggi non sono scritte da chi si pone problemi di equità e di sostenibilità. L’impegno che si chiede agli Esperti e alle organizzazioni di categoria è quello di guidare il legislatore nel realizzare il giusto compromesso tra gli interessi tutelati dalle norme e la loro semplicità.
Questi aspetti dovrebbero essere al primo posto nell’agenda degli Ordini Professionali che, oltre che diffondere la cultura digitale, dovrebbero anche difendere la congruità e la ragionevolezza dei provvedimenti legislativi. Ciò contribuirebbe non solo a restituirci prestigio e credibilità ma, soprattutto, a migliorare la concorrenzialità del sistema produttivo del nostro paese in un contesto internazionale in cui la sfida si gioca soprattutto sui prezzi e, quindi, sulla abolizione degli adempimenti inutili.