La trasparenza dell’Agenzia delle Entrate in tema di Fattura Elettronica
Volendo fare luce su alcune delle scelte tecnologiche effettuate in tema di “Sistema di Interscambio” (Fattura Elettronica), come avevo anticipato nel precedente post sull’argomento (se non lo avete già letto lo trovate qui), un gruppo di professionisti si è riunito ed inviato, sia a Sogei (società che gestisce la piattaforma) che ad Agenzia delle Entrate una Istanza di Accesso Civico Generalizzato (FOIA) richiedendo:
Tutti i documenti di collaudo inerenti gli sviluppi software di applicazioni informatiche inerenti il sistema di Fattura Elettronica divenuto obbligatorio in data 1.1.2019 (SDI).
Tutti i documenti di analisi di sicurezza informatica, specificamente rivolti ad analizzare, verificare eventuali problematiche di sicurezza applicative e/o infrastrutturali relative al servizio di Fattura Elettronica di cui sopra.
L’accesso a questi documenti permetterebbe una analisi esterna dell’architettura nonché l’avvio di una ben più aperta conversazione allo scopo di migliorare questa piattaforma che, pare, accompagnerà l’Italia per molti anni a venire. Il testo completo della richiesta, se siete curiosi, potete leggerlo qui.
Abbiamo deciso di inviare questa richiesta soprattutto alla luce dei molti enti pubblici nel mondo che stanno infatti intraprendendo la via della trasparenza totale: Swiss Post, per esempio, interessata a confermare/verificare la sicurezza del proprio portale di e-voting (voto online), ha pubblicato il codice sorgente della piattaforma e ha invitato esperti ed interessati ad un “Public Intrusion Test”. Non garantirà ai partecipanti solo un safe harbour legale e il diritto di pubblicazione delle loro scoperte, ma offrirà anche una ricompensa economica a chi scoverà delle vulnerabilità.
In settimana però abbiamo ricevuto la risposta da parte dell’AdE, la quale ci comunica che:
…valutata la probabilità e serietà del danno ai correlati interessi, nonché il rischio di pregiudizio ai beni e interessi tutelati dall’ordinamento in rapporto all’interesse conoscitivo del richiedente, l’istanza non viene accolta.
Accesso negato, quindi. Questo appare come un tentativo di mantenere alcune informazioni segrete secondo il principio (ampiamente contestato) di “security through obscurity“: un qualcosa di opposto ad esempi come quello di Swiss Post e delle decine di altri enti pubblici che rilasciano il codice dei loro applicativi sotto licenze Open Source.
Di seguito acuni punti salienti del loro rifiuto (la cui versione integrale è qui):
All’esito della valutazione effettuata, si ritiene che dall’ostensione dei documenti richiesti possa derivare un pregiudizio concreto ai predetti interessi pubblici, rispetto ai quali recede l’interesse del singolo alla conoscibilità dei dati, dei documenti e delle informazioni in possesso della pubblica amministrazione.
I documenti oggetto di richiesta, infatti, contengono informazioni idonee a disvelare l’architettura del sistema di interscambio, anche con riferimento alle caratteristiche di sicurezza dello stesso e alle relative misure progettate e realizzate a protezione del suo funzionamento e dei dati ivi contenuti.
L’accesso a tali documenti, pertanto, risulta concretamente idoneo ad arrecare grave pregiudizio alla salvaguardia dell’interesse patrimoniale dell’Erario.
Sotto altro profilo, occorre rilevare che l’ostensione dei documenti richiesti comprometterebbe, altresì, la sicurezza delle informazioni relative ai sistemi informatici utilizzati nell’ambito del processo di fatturazione elettronica.
I due paragrafi che seguono sono particolarmente interessanti:
Occorre inoltre evidenziare che le finalità per le quali il legislatore riconosce il diritto di accesso civico generalizzato sono quelle “di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”.
La comunicazione dei documenti richiesti appare evidentemente non pertinente ed eccedente rispetto a tali finalità.
Noi abbiamo infatti richiesto i documenti per verificare l’adeguatezza, la sicurezza e l’architettura di un sistema dal quale dipenderà l’economia di un intero paese (e che tutti noi abbiamo finanziato), sulla base di osservazioni effettuate sul materiale già di pubblico dominio: scopi che sembrano ricalcare parola per parola gli scopi dell’accesso civico generalizzato.
I documenti richiesti sono di carattere prettamente architetturale, informazioni di alto livello che, come è chiaro ad un qualunque esperto di infrastrutture, sono ben lontane dal causare un diretto rischio per la sicurezza o la stabilità di una infrastruttura.
AdE ha nel frattempo emesso un nuovo comunicato in cui sostanzialmente, nuovamente, conferma che il Sistema di Interscambio stia funzionando a dovere. Al comunicato ha però prontamente risposto l’Associazione Nazionale Commercialisti, segnalando qualcosa di diametralmente opposto: in molti casi i tempi di consegna delle fatture non sono rispettati (30 giorni al posto di 5), si riscontrano problemi tecnici di varia natura, e, a conferma di quello che era il più grande timore, iniziano ad emergere problemi intrinseci del protocollo di interscambio.
Quando potremo contare su un livello di trasparenza adeguato per un paese che vuole guardare avanti ed evolversi, e non indietro?