Conservazione digitale

Digitalizzazione e conservazione digitale dei documenti: norme, modalità e sanzioni

La conservazione digitale è un insieme di attività e procedure che consente di preservare negli anni i documenti informatici di un’organizzazione, quale un’azienda o uno studio professionale, a seguito di processi di digitalizzazione o dematerializzazione documentale. Solo con la conservazione digitale quindi, le fatture, le scritture contabili e qualsiasi altro documento fiscale, sono in grado di mantenere negli anni la loro integrità e immodificabilità, ma è necessario seguire precise regole e adottare stabilite procedure.

Che differenza c’è tra dematerializzazione e digitalizzazione

Dematerializzazione e digitalizzazione sono termini che spesso vengono utilizzati come sinonimi, ma che in realtà non lo sono dato che si riferiscono a processi molto diversi. Se, infatti, con dematerializzazione si intende la procedura che consente di convertire documenti cartacei in documenti digitali tramite l’impiego di scanner, con digitalizzazione si intende l’attività di formazione e gestione di documenti in modalità informatica sin dalla loro origine, evitando quindi che siano oggetto di stampa su carta nel corso del loro ciclo di vita. Ma se da una parte i documenti informatici permettono di conseguire notevoli vantaggi dato che, per esempio, possono essere trasmessi telematicamente e visualizzati da remoto anche se memorizzati su server localizzati in altri Stati membri, oppure sottoscritti con strumenti di firma elettronica da parte di soggetti distanti migliaia di km, dall’altra hanno lo svantaggio di essere modificabili con estrema facilità.

È molto semplice infatti modificare un documento in formato XML, oppure alterare le informazioni contenute in una fattura PDF arrivata per posta elettronica. Diversamente quindi da un documento cartaceo ove quanto scritto con l’inchiostro diventa un tutt’uno con il supporto cartaceo (si determina una vera e propria “unione” tra inchiostro e carta), e quindi in caso di modifica per esempio di un assegno o di un contratto è molto semplice riconoscere l’alterazione, in caso di manipolazione di un libro giornale in formato PDF è pressoché impossibile individuare le modifiche apportate al file.

Conservazione digitale a norma

È quindi necessario che una volta che i documenti informatici siano stati formati, vengano conservati secondo regole e procedure in grado di garantirne l’immodificabilità e l’integrità per gli anni richiesti dalla normativa di riferimento, che per i documenti fiscali è fino a quando non siano definiti gli accertamenti relativi al corrispondente periodo d’imposta, e quindi anche oltre il termine di dieci anni stabilito dall’art.2220 del Codice civile. Solo adottando quindi una conservazione digitale conforme al DMEF 17 giugno 2014 e alle Linee guida AgID del 9 settembre 2020, è possibile assicurare le garanzie di autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici oggetto di conservazione.

Nell’attuale era dell’economia digitale, dove i modelli di business sono sempre più incentrati nel raccogliere e valorizzare i dati prodotti dai sistemi informatici, diventa centrale conservarli in modo corretto, al fine di avere la certezza che nessun utente, sia persona fisica che software robot, li abbia alterati volontariamente o accidentalmente. Se quindi la conservazione di documenti cartacei aveva l’obiettivo di preservare i documenti da agenti esterni quali alluvioni o incendi, la conservazione di documenti digitali ha l’obiettivo di preservare i bit da attacchi informatici perpetrati da hacker.

In pratica quindi, tutti i documenti informatici devono essere oggetto di conservazione digitale, perché solo in questo modo è possibile assicurare con assoluta certezza la loro autenticità, integrità, affidabilità, leggibilità, e reperibilità. Sul punto è molto chiaro l’art.20, comma 5-bis del decreto legislativo del 7 marzo 2005 n.82 (Codice dell’Amministrazione Digitale-CAD) ove riporta testualmente che “Gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle Linee guida”.

I file delle fatture elettroniche in formato XML oppure delle scritture contabili in formato PDF memorizzati in una cartella del file system oppure in un sistema di gestione documentale, potranno essere consultati dagli operatori, ma di certo non sono conservati, dato appunto che possono essere modificati o alterati in qualsiasi momento, ed è quindi necessario provvedere alla loro conservazione tramite l’ausilio di un valido sistema di conservazione.

Quali documenti si possono conservare in digitale

La conservazione digitale può riguardare qualsiasi tipologia documentale e, nell’ambito dei documenti aziendali e di studio, può comprendere documenti amministrativi, contabili e fiscali, quali, a mero titolo esemplificativo e non certo esaustivo, le fatture elettroniche di vendita o di acquisto, i documenti di trasporto emessi o ricevuti, le scritture contabili, come ad esempio il libro giornale o i registri Iva, i libri sociali obbligatori, come ad esempio il libro delle adunanze e delle deliberazioni delle assemblee o del consiglio di amministrazione, i dichiarativi e le comunicazioni trasmesse all’Agenzia delle Entrate, la corrispondenza come le email o le PEC, i contratti o le scritture private, i file di log generati nell’ambito di procedure informatiche, etc.

Termini per la conservazione digitale dei documenti fiscali

La conservazione dei documenti informatici rilevanti ai fini fiscali, va eseguita entro una prestabilita scadenza, dato appunto che va ultimata entro tre mesi dal termine ultimo di trasmissione delle dichiarazioni annuali. Con riguardo quindi alle fatture elettroniche emesse e ricevute nel corso dell’anno X, se il termine ultimo di trasmissione delle dichiarazioni è il 30 novembre dell’anno X+1, la conservazione digitale dovrà essere eseguita entro il 28 febbraio dell’anno X+2.

Nei casi invece si intenda conservare documenti cartacei, come per esempio le fatture di acquisto ricevute da fornitori esteri, la loro conservazione digitale potrà essere eseguita in qualsiasi momento, anche a distanza di anni, dato appunto che esiste sempre l’originale cartaceo del documento da esibire in caso di accessi, verifiche e ispezioni da parte dell’Amministrazione finanziaria.

Conservazione digitale dei documenti in house oppure in outsourcing

La conservazione digitale, che come rilevato deve essere eseguita seguendo pedissequamente le disposizioni contenute nel DMEF 17 giugno 2014 e nelle linee guida Agid del 9 settembre 2020, potrà essere svolta internamente all’organizzazione (cioè all’azienda o allo studio professionale), previa adozione di appositi software e avendo maturato le opportune competenze, oppure affidando il servizio all’esterno a operatori specializzati. In questo secondo caso, sarà necessario orientarsi verso conservatori in possesso di elevati livelli in termini di qualità, sicurezza e organizzazione.

Lo studio professionale quindi, pur mettendo a disposizione dei propri clienti una piattaforma fruibile in modalità cloud computing necessaria a emettere e ricevere le fatture elettroniche, potrà fornire un servizio di conservazione digitale demandando l’attività a un conservatore esterno in possesso per esempio della certificazione ISO/IEC 27001 a conferma dei requisiti in termini di qualità e sicurezza dei propri sistemi di gestione delle informazioni.

Dove devono essere conservati digitalmente i documenti fiscali

In caso di esternalizzazione del servizio di conservazione digitale a un operatore specializzato, considerando l’importanza che sempre più sta assumendo la sicurezza informatica, questi potranno  eventualmente impiegare server farm localizzate anche in altri Stati membri. Tale aspetto non impatta in alcun modo sul luogo di tenuta dei documenti, registri e scritture contabili ex art 35 DPR 633/72. Nella sostanza quindi, se l’azienda Alfa Srl con sede legale a Modena ha demandato la conservazione digitale dei propri documenti fiscali al conservatore Beta Spa con sede a Torino, e per il suddetto servizio Beta Spa utilizza una server farm localizzata a Francoforte (i bit dei file sono quindi nei server di Francoforte), se dalla sede di Modena è possibile accedere da remoto alla ricerca, consultazione, ed esibizione dei documenti informatici conservati, non cambia il luogo di tenuta dei registri e scritture contabili ex art.35 del DPR 633/72.

Ciò che è rilevante infatti, è che dalla sede dell’azienda o dallo studio professionale, quale soggetto depositario delle scritture contabili, sia possibile accedere da remoto ai file conservati, anche se questi sono memorizzati su server localizzati per esempio in Germania, oppure in Francia, evidenziando però che i suddetti file dovranno essere conservati secondo le disposizioni Italiane.

Il responsabile della conservazione digitale dei documenti

Conservare in modalità digitale i documenti, compresi quindi i documenti fiscali o le scritture contabili, necessita della nomina del responsabile della conservazione, cioè quella persona in grado di gestire, organizzare e sovraintendere le diverse attività che compongono il processo di conservazione digitale. Tale ruolo dovrà essere assunto da una persona fisica, che potrà essere all’interno dell’organizzazione aziendale oppure anche all’esterno, ma in quest’ultimo caso dovrà avere adeguate competenze informatiche, giuridiche e archivistiche. Il ruolo di responsabile della conservazione sarà naturalmente sempre più centrale nel percorso di trasformazione digitale dell’azienda o dello studio, e quindi dovrà avere quella particolare sensibilità in grado da una parte di individuare le nuove tecnologie che concretamente potrebbero fare evolvere digitalmente l’organizzazione, dall’altra che tale trasformazione avvenga nel pieno rispetto delle disposizioni normative.

Redazione del manuale di conservazione digitale

La singola azienda dovrà istituire il manuale di conservazione, che consiste in un documento informatico che riporta il dettaglio dei diversi aspetti riguardanti il processo di conservazione digitale dei documenti, quali per esempio i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle infrastrutture utilizzate. Tale documento dovrà essere redatto e aggiornato dal responsabile della conservazione, anche nei casi in cui la conservazione sia stata affidata a un conservatore esterno, il quale avrà invece l’obbligo di stilare il manuale del sistema di conservazione. In sostanza quindi, anche se l’azienda ha esternalizzato il servizio di conservazione, oltre all’obbligo di nominare il responsabile della conservazione, dovrà stilare e aggiornare il manuale di conservazione, che come detto è un documento informatico e quindi dovrà essere conservato unicamente in digitale.

Imposta di bollo sui documenti informatici: modalità di pagamento

In caso di emissione di fatture elettroniche oppure di conservazione digitale del libro giornale o del libro degli inventari, l’imposta di bollo si assolve secondo le indicazioni contenute all’art.6 del DMEF 17 giugno 2014. In particolare, per le fatture elettroniche il pagamento dovrà avvenire secondo la seguente tempistica:

  • primo trimestre, pagamento entro il 31 maggio;
  • secondo trimestre, pagamento entro il 30 settembre;
  • terzo trimestre, pagamento entro il 30 novembre;
  • quarto trimestre, pagamento entro il 28 febbraio.

Con riguardo invece le scritture contabili, quali il libro giornale o il libro degli inventari, dovrà avvenire entro 120 giorni dalla chiusura dell’esercizio, e quindi con riguardo all’anno X, il pagamento dovrà avvenire entro il 30 aprile dell’anno X+1, anche se la conservazione digitale avverrà successivamente a tale scadenza.

Mancata conservazione dei documenti fiscali: norme e sanzioni

La conservazione digitale dei documenti fiscali è quindi un insieme di attività e procedure che consentono di assicurare negli anni le garanzie di autenticità, integrità, leggibilità, reperibilità dei documenti informatici, rendendoli in sostanza opponibili all’Amministrazione finanziaria, in caso di controlli, verifiche e ispezioni.

La conservazione digitale è forse l’aspetto più delicato dell’intero ciclo di vita del documento informatico, e in caso di mancata conservazione di scritture contabili, registri IVA o documenti fiscali, a norma del primo comma dell’art.9 del decreto legislativo del 18 dicembre 1997 n. 471, è applicabile una sanzione amministrativa da euro 1.000 a euro 8.000. Da aggiungere poi, così come stabilito nella circolare 36/E del 6 dicembre 2006, che qualora i documenti fiscali, quali per esempio le fatture elettroniche, non siano conservate oppure siano conservate non correttamente, “in linea di principio detti documenti non sono più validamente opponibili all’Amministrazione finanziaria”, e quindi l’attività di accertamento dovrà essere gestita diversamente, compreso eventualmente anche l’accertamento induttivo ex art. 39, secondo comma, lettera d), del D.P.R. n. 600 del 1973.

Nuove linee guida AgID: tre aspetti da non sottovalutare

Le Linee guida AgID sulla formazione, gestione e conservazione dei documenti informatici, pubblicate lo scorso 9 settembre e applicabili dal 1° gennaio 2022, andranno a sostituire diverse regole tecniche, tra cui il DPCM 13 novembre 2014 e il DPCM 3 dicembre 2013, e si applicheranno, oltre che alla pubbliche amministrazioni, anche ai privati.

Diverse sono le novità che caratterizzano le nuove linee guida AgID, così come gli impatti su aziende e studi professionali, ma in questa breve analisi mi soffermerò a esaminare tre specifici aspetti: l’obbligo di nominare il responsabile della conservazione, di redigere il manuale di conservazione, e di verificare le attività dei conservatori.

Obbligo di nominare il responsabile della conservazione

Il modello organizzativo introdotto dalle nuove linee guida AgID, prevede l’obbligo in capo all’azienda di nominare il responsabile della conservazione, anche nei casi in cui il processo di conservazione sia stato demandato a un conservatore esterno. In passato, troppo spesso tale ruolo è stato ricoperto dal legale rappresentante, ed è quindi l’occasione per individuare all’interno dell’organizzazione la persona che dovrà assumere tale ruolo.

Anche se non espressamente indicato nelle linee guida AgID, è chiaro che il ruolo di responsabile della conservazione, così come richiesto nel caso venga individuato all’esterno dell’azienda, dovrà essere in possesso di idonee “competenze giuridiche, informatiche ed archivistiche”, e proprio per questo di certo non potrà continuare ad essere il legale rappresentante.

Da rilevare poi che il responsabile della conservazione dovrà eseguire i propri compiti con “piena responsabilità ed autonomia”, e anche in caso di affidamento del servizio a un conservatore esterno, il responsabile della conservazione rimane comunque sempre responsabile della correttezza del processo di conservazione digitale.

Obbligo di tenere e conservare il manuale di conservazione

Anche se l’azienda ha demandato la conservazione digitale a un conservatore esterno, il responsabile della conservazione deve tenere e conservare in sola modalità digitale il manuale di conservazione, che quindi deve essere redatto e gestito come documento informatico. Le informazioni che deve riportare sono elencate al punto 4.6 delle linee guida, e in caso di esternalizzazione del servizio di conservazione, sarà necessario richiamare il manuale del sistema di conservazione redatto dal conservatore.

Qualora l’azienda non provveda a tenere e conservare il manuale di conservazione, sebbene le linee guida AgID non prevedano specifiche sanzioni, è da evidenziare che in caso di documenti rilevanti ai fini fiscali, a norma dell’art. 2 del DMEF 17 giugno 2014, la conservazione dei suddetti documenti  e scritture contabili deve avvenire nel rispetto delle regole tecniche adottate ai sensi dell’art.71 del decreto legislativo 7 marzo 2005 n. 82, e quindi nel rispetto delle nuove linee guida AgID.

Rilevato che nell’ambito della conservazione digitale di documenti fiscali, proprio per le specifiche informazioni contenute, il manuale di conservazione è un documento centrale nell’attività di controllo dell’amministrazione finanziaria, in caso di mancata conservazione ne potrebbe essere compromessa la stessa attività di verifica. In altri termini, proprio perché vi è un obbligo di conservazione indicato nelle linee guida AgID, a loro volta richiamate dal DMEF 17 giugno 2014, volendo dare un’interpretazione rigorosa dell’art.9, comma 1, D.Lgs. 471/97, il manuale di conservazione potrebbe essere considerato uno dei libri o registri la cui tenuta e conservazione è “imposta da altre disposizioni della legge tributaria”. Sebbene secondo alcuni autori rientrerebbero in tale ambito solo le scritture e i libri inerenti la contabilità e quindi utili nel determinarne i costi e i ricavi, va rilevato che l’assenza del manuale di conservazione comprometterebbe sin dall’inizio la stessa attività di verifica dell’amministrazione finanziaria, dato che non vi sarebbero le necessarie informazioni per eseguire in modo accurato e rigoroso la suddetta attività di controllo. Non si conoscerebbe chi è il responsabile della conservazione, quali documenti sono stati conservati, quali formati sono stati adottati, quali sono le funzionalità del sistema di conservazione, a quale conservatore è stata affidato il servizio, in quali Stati risiedono i server su cui sono memorizzati i dati, etc.  In definitiva quindi, vi sono sufficienti ragioni per ritenere che l’assenza del manuale di conservazioneproprio per la rilevanza che assume tale documento in fase di verifica, possa eventualmente configurarsi come una violazione ex art. 9, comma 1, D.Lgs. 471/97, e quindi punibile con una sanzione amministrativa da euro 1.000 a euro 8.000.

Obbligo di verificare le attività dei conservatori

Nei casi in cui la conservazione digitale sia demandata a un conservatore esterno, e i compiti del responsabile della conservazione affidati al responsabile del servizio di conservazione, rilevato che la responsabilità giuridica sui processi di conservazione rimane sempre a carico del responsabile della conservazione, a quest’ultimo viene richiesto di svolgere “le necessarie attività di verifica e controllo in ossequio alle norme vigenti sul servizi affidati in outsourcing dalle PA”.

In sostanza, anche nei casi in cui il servizio venga esternalizzato, il responsabile della conservazione deve:

  1. verificare e controllare che i compiti elencati al punto 4.5 delle linee guida AgID e delegati al responsabile del servizio di conservazione, vengano svolti in conformità alla normativa vigente e secondo le specifiche del contratto;
  2. elaborare dei report attestanti i controlli svolti e il loro esito;
  3. conservare digitalmente tali report, al fine di comprovare, qualora ve ne sia la necessità, che l’attività di controllo e verifica è stata eseguita in conformità a standard internazionali.

La conservazione digitale dei documenti fiscali è un aspetto estremamente delicato nella vita di un’azienda o di uno studio professionale, perché consente di garantire negli anni l’autenticità e l’integrità dei documenti, e quindi di preservarne il loro valore probatorio per quando potrebbe presentarsi la necessità di un loro utilizzo.

È necessario quindi dedicare particolare attenzione alla scelta del conservatore esterno a cui affidare il servizio di conservazione, all’individuazione del responsabile della conservazione a cui demandare la regia del processo di conservazione, che deve avere competenze informatiche, giuridiche, archivistiche e fiscali, non sempre presenti all’interno dell’organizzazione.

Il regolamento sui servizi di conservazione digitale

Con determinazione n. 455/2021 del 25 giugno 2021, è stato adottato da parte dell’Agenzia per l’Italia digitale il “Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici”. Il regolamento, così come indicato all’art.34, comma 1-bis del CAD, interviene a definire i  criteri per la fornitura dei servizi di conservazione dei documenti informatici, “avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione”.

Il regolamento prevede l’istituzione di un marketplace per i servizi di conservazione digitale, quale sezione autonoma del Cloud Marketplace (https://cloud.italia.it/marketplace/ ), a cui possono iscriversi i soggetti pubblici o privati che intendono erogare un servizio di conservazione digitale alle pubbliche amministrazioni. Per i conservatori l’iscrizione al suddetto Marketplace non è quindi obbligatoria, ma qualora intendano partecipare a procedure di affidamento del servizio di conservazione digitale di una PA, anche se non iscritti al Marketplace, devono possedere i requisiti previsti nel suddetto regolamento oltre che essere sottoposti all’attività di vigilanza di AgID. Le PA possono quindi anche avvalersi di un conservatore non iscritto al suddetto Marketplace, ma in tal caso devono trasmettere ad AgID i relativi contratti, affinché questa possa svolgere le opportune attività di verifica dei requisiti in termini di qualità, sicurezza e organizzazione.

L’iscrizione alla sezione “servizi di conservazione” del Marketplace, avviene previa verifica da parte di AgID della documentazione inoltrata dal conservatore, così come indicata nel regolamento all’allegato A (“Requisiti per l’erogazione del servizio di conservazione per conto delle pubbliche amministrazioni”) e all’allegato B (“Piano di cessazione del servizio di conservazione dei documenti digitali”).

Esaminando i requisiti richiesti per poter richiedere l’iscrizione al Marketplace, così come elencati nell’allegatoA del regolamento, questi risultano essere i seguenti:

Requisiti generali

  • Il servizio di conservazione deve esporre opportune API (Application Programming Interface) associate alle funzionalità di versamento e di esibizione;
  • Il servizio di conservazione deve essere integrato con SPID o altre identità digitali europee notificate;
  • L’indice del pacchetto di archiviazione deve essere conforme allo standard UNI 11386 SInCRO;
  • Il servizio deve essere conforme ai seguenti standard:
    • ISO 14721 (OAIS Reference Model for an Open Archival Information System);
    • ISO 16363 (Space data and information transfer systems – Audit and certification of trustworthy digital repositories);
    • ETSI TS 101 533-1 (Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security);
    • ETSI EN 319 401 (Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers);
  • Il conservatore deve possedere una descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente dettagliate;
  • Il conservatore deve possedere o dimostrare di aver avviato il processo per la certificazione UNI 37001 (Sistemi di gestione per la prevenzione della corruzione);

Requisiti di qualità

  • Il conservatore deve possedere la certificazione ISO 9001 (Sistemi di gestione per la qualità);
  • Il conservatore deve dettagliare le procedure per garantire la corretta cessazione e migrazione del servizio di conservazione secondo quanto previsto nell’allegato B del regolamento;
  • Il conservatore deve rendere disponibile un account di test utilizzabile da AgID per effettuare ogni tipo di verifica;

Requisiti di sicurezza

  • Il conservatore deve possedere la certificazione ISO 27001 (Information security management);
  • Il conservatore deve sottoporre le componenti del sistema di conservazione ai test OWASP (Open Web Application Security Project), ed eventualmente ai test VA-PT (Vulnerability Assessment and Penetration Test);
  • Il conservatore garantisce che i servizi offerti sono soggetti a opportuni processi di gestione della continuità operativa (business continuity);

Requisiti di organizzazione

  • Il conservatore deve possedere le competenze necessarie per l’erogazione dei servizi di conservazione, e in particolare devono essere presenti le seguenti due figure:
    • Responsabile del servizio di conservazione;
    • Responsabile della funzione archivistica di conservazione;
  • Il conservatore deve possedere una polizza assicurativa a copertura di eventuali danni causati a terzi, con una copertura minima pari ad € 1.000.000 e un minimale di € 300.000 per sinistro;
  • Il conservatore, se soggetto privato, deve essere iscritto nel registro delle imprese (o altro registro valido in ambito europeo), da una data non inferiore a 90 giorni rispetto a quella di presentazione della domanda;
  • Il conservatore garantisce che il servizio di conservazione è conforme alla normativa europea e italiana in materia di protezione dei dati personali;
  • Il conservatore deve indicare la localizzazione dei data center utilizzati, specificando se sono all’interno del territorio nazionale, della UE oppure extra-UE, e in quest’ultimo caso indicare se è stata eseguita la comunicazione ex art.36 del regolamento 2016/679 (GDPR);
  • Il conservatore deve aver redatto il manuale di conservazione, comprensivo del piano di sicurezza aggiornato, e svolgere altresì una verifica periodica della conformità alle norme e agli standard.

In definitiva quindi, questo regolamento consente ai conservatori di potersi registrare alla sezione “servizi di conservazione” del Cloud Marketplace, comprovando in questo modo di possedere alti requisiti in termini di qualità, sicurezza e organizzazione dei servizi prestati, rilevando che i requisiti richiesti sono tali per cui non tutti gli iscritti all’elenco dei conservatori accreditati saranno in grado di registrarsi nella suddetta sezione.

FAQ correlate

Link iscrizione multi rubrica