... (omissis) ... Nel tavolo di lavoro, con riferimento alla mancata adozione di misure di protezione crittografica dei file xml delle fatture elettroniche, l’Agenzia ha rappresentato che l’applicazione di algoritmi di cifratura (anche parziali), sia simmetrici che asimmetrici, non risulterebbe compatibile con un modello in cui la fattura deve essere leggibile dal cedente/prestatore, dal cessionario/committente, dagli eventuali soggetti delegati alla gestione delle fatture nonché, ai fini dell’estrazione dei dati fattura, dall’Agenzia delle entrate.

Al riguardo, il Garante ha rilevato che spetta al titolare del trattamento individuare le misure tecniche e organizzative adeguate per garantire la protezione dei dati anche con tecniche crittografiche, nel rispetto dei principi di privacy by design e by default, attraverso un’attenta analisi dei processi e un adeguato impegno progettuale. In questo ambito, tecniche di cifratura e scambio di messaggi tra più soggetti sono da tempo disponibili e potrebbero essere implementate, anche gradualmente, tenendo conto dell’impatto della cifratura sulle prestazioni complessive e sull’usabilità dei servizi informatici a supporto del processo di fatturazione elettronica.

Pertanto, alla luce di tali considerazioni, l’Agenzia delle entrate è stata invitata a fornire entro il 15 aprile 2018 una nuova analisi di tali aspetti, anche nell’ambito della valutazione di impatto. Ulteriori approfondimenti sono stati richiesti all’Agenzia anche in relazione all’utilizzo della Pec, quale canale di trasmissione e ricezione delle fatture, atteso che le menzionate tecniche di cifratura consentirebbero di eliminare i rischi ivi prospettati. L’Agenzia è stata altresì invitata a illustrare, nelle istruzioni fornite ai contribuenti, i rischi insiti in tale canale di trasmissione e recapito delle fatture, soprattutto laddove i file xml non vengano cancellati dai server di posta ovvero vengano utilizzate caselle Pec a uso non esclusivo dell’interessato.

Fonte: Autorità Garante - Relazione 2018