La fatturazione elettronica è un sistema che permette di emettere, trasmettere e conservare le fatture in maniera digitale.
L’Agenzia delle Entrate definisce nel decreto nr. 89757 la fattura digitale nel modo seguente: “un documento informatico, in formato strutturato, trasmesso per via telematica al Sistema di Interscambio […]e da questo recapitato al soggetto ricevente”.
Tale definizione introduce il concetto di Sistema di Interscambio (SDI). Ma che cos’è il SDI? Il SID è una sorta di piattaforma che svolge le seguenti funzioni:
- Riceve le fatture elettroniche
- Valuta se le fatture elettroniche rispettano gli standard richiesti
- Convalida le fatture elettroniche e le invia alla persona o ente a cui sono destinate
Lo scopo della fatturazione elettronica
Questo modello di fatturazione elettronica segue gli standard adottati da una buona parte dei paesi dell’Unione Europea. Inoltre, il sistema di fatturazione elettronica permette anche di prevenire eventuali frodi e porre dei limiti all’evasione fiscale (due reati estremamente diffusi in Italia). Un altro importante beneficio derivante dalla fatturazione elettronica è quello di digitalizzazione di un processo così complesso, il che può aiutare (almeno nel lungo periodo) l’economia del paese.
Indubbiamente le questioni riguardanti la sicurezza sono rilevanti. Infatti è assolutamente necessario proteggere le informazioni che vengono inserite nel sistema e ciò è un obiettivo estremamente arduo da raggiungere, poiché tale processo coinvolge anche le singole aziende e, di conseguenza, anche quest’ultime devono soddisfare determinati requisiti di sicurezza. Infatti, le aziende, insieme al sistema centrale, sono i punti di accesso alle informazioni che possono essere sfruttati dai criminal hacker.
La fatturazione elettronica e la supply chain
Le problematiche di sicurezza che la fatturazione elettronica si trova ad affrontare sono analoghe a quelle della supply chain. Infatti, essendoci diversi punti di accesso (il sistema centrale di interscambio, le singole aziende e il database che contiene le fatture stesse) è di fatto impensabile garantire lo stesso livello di sicurezza per tutti i punti di accesso.
Oltre ai punti di accesso già elencati, ce n’è un altro che, come vedremo, riveste un ruolo centrale in questo processo: le terze parti. Infatti, la portata rivoluzionaria del sistema di fatturazione elettronica ha permesso di immettere sul mercato un nuovo prodotto: i software di fatturazione elettronica. Ma di preciso che funzione svolgono questi software? Effettuano la conservazione delle fatture elettroniche.
La conservazione, come previsto dall’ art. 9 del DPCM del 3 dicembre 2013, è obbligatoria e l’azienda ha due opzioni per implementarla: beneficiare del tool gratuiti messo a disposizione dalla stessa Agenzia delle Entrate, oppure ricorrere all’utilizzo di tali software specifici (che sono riconosciuti dalla normativa). Lo scopo della conservazione delle fatture elettroniche è quello di garantire la loro immodificabilità, leggibilità, autenticità e integrità.
I rischi per la sicurezza legati alla fatturazione elettronica
Dal momento che i punti di accesso al sistema di fatturazione elettronica sono molteplici, anche le vulnerabilità sono altrettanto numerose e possono nascondersi in qualsiasi punto del sistema. Ma esistono dei rischi specifici per il sistema di fatturazione elettronica? Sono fondati i timori legati alla sicurezza del sistema di fatturazione elettronica? La risposta è sì, e di seguito elencheremo quali sono le principali minacce che possono compromettere la sicurezza di tale processo:
- Cybercrime: Sarebbe ingenuo pensare che il sistema di fatturazione elettronica non possa costituire un target per un criminal hacker. Questi, infatti, effettuano quotidianamente attacchi informatici ad aziende e cittadini comuni ricorrendo all’ingegneria sociale per commettere frodi. Generalmente utilizzano il phishing o introducono altri malware per raggiungere tali obiettivi. Naturalmente, il sistema di fatturazione elettronica non è immune a questi rischi e i potenziali punti deboli da sfruttare sono i numerosi punti di accesso al sistema. A tal proposito, particolare attenzione deve essere posta sul phishing. Infatti le tecniche con le quali questo tipo di attacco viene perpetrato sono molto più sofisticate rispetto al passato. Ad esempio, le mail che vengono inviate per portare a termine l’attacco non sono più scritte con numerosi errori grammaticali, rendendo più difficoltoso il loro riconoscimento.
- Cyberwarfare: i nuovi campi di battaglia nono sono più pianure, centri urbani o spiagge, ma i sistemi informativi. E, come per tutte le altre guerre moderne, anche quella condotta a livello informatico è senza confini. Ma per quale ragione la fatturazione elettronica può essere un bersaglio in uno scenario di guerra informatica? Per rispondere a questa domanda, dobbiamo immaginare quali possono essere le conseguenze se un intero processo così ingente e complesso come quello della fatturazione elettronica venisse bloccato da un attacco informatico su larga scala. Indubbiamente esse sarebbero a dir poco devastanti. Infatti, l’economia dell’intero paese sarebbe inevitabilmente compromessa da un evento di tale portata. Per questa ragione il sistema di fatturazione elettronica deve essere considerata come un’infrastruttura critica. Con il concetto di infrastruttura critica si intende un qualsiasi processo, risorsa o sistema la cui indisponibilità totale o parziale causa danni ingenti al funzionamento del paese con ripercussioni non solo sulla sicurezza, ma anche sul sistema economico e sociale.
- Sabotaggio: Il sistema di fatturazione elettronica è uno strumento indispensabile per le aziende, poiché, altrimenti, non sarebbero più in grado di effettuare pagamenti. Motivo per il quale, l’indisponibilità del sistema di fatturazione elettronica bloccherebbe l’operatività di un’azienda. Infatti, se un criminal hacker dovesse attaccare il sistema di interscambio o gli strumenti utilizzati dall’azienda per gestire la fatturazione elettronica, non permetterebbe ai flussi di cassa di “scorrere” correttamente e gli impatti sarebbero immediati sull’operatività aziendale.
- Spionaggio: Lo spionaggio è la tecnica più antica con la quale è possibile venire a conoscenza di informazioni riservate e, di certo, lo sviluppo tecnologico non ha frenato il suo sviluppo. Al contrario, i sistemi informativi costituiscono una fonte preziosissima di informazioni e, di conseguenza, possono essere sfruttati ai fini dello spionaggio industriale. Le informazioni che un criminal hacker può sottrarre ad un’azienda possono essere molteplici. Ad esempio, le vecchie fatture per calcolare il reale valore economico, gli elenchi dei clienti e dei fornitori o la lista delle varie attività. Tutte informazioni che sono contenute nelle fatture elettroniche. Se un’azienda subisce una perdita di questo tipo, essa rischia di perdere competitività sul mercato e di avere seri problemi sui framework di sicurezza.
Il security framework della fatturazione elettronica
Come abbiamo visto, i soggetti che fanno parte del processo di fatturazione elettronica sono molteplici (aziende e privati, i produttori di software e la stessa agenzia delle Entrate), ognuno dei quali ha responsabilità ed obblighi diversi, ma sono anche soggetti a rischi diversi.
Tuttavia, ciò che deve accomunare tutte le aziende è l’adozione di un cybersecurity framework appositamente creato per il sistema di fatturazione elettronica. I cybersecurity framework permettono alle aziende di implementare livelli adeguati di sicurezza dei propri sistemi, dopo aver valutato il rischio sulla base dei potenziali punti di accesso al sistema di fatturazione elettronica. Un framework adeguato è suddiviso in tre livelli di sicurezza: preventiva, proattiva e predittiva.
Tuttavia, per le imprese medio-piccole può essere sufficiente anche la sola implementazione del primo livello che la nuova normativa europea ha reso obbligatorio. Inoltre, la sua implementazione è necessaria per garantire la security governance aziendale.
Il layer di sicurezza preventiva
Vediamo ora nel dettaglio il layer della sicurezza preventiva, essendo l’unico obbligatorio da implementare. Tale layer è costituito essenzialmente da tre componenti:
- Analisi del rischio organizzativo: Il rischio organizzativo è fondamentale per un’azienda. Attraverso opportuni assessment relativi alla compliance GDPR, NIST, ISO 27001,… si mira a quantificare il livello di rischio. Eventuali disallineamenti possono comportare sanzioni pesanti (soprattutto per quanto riguarda il GDPR) oltre che rischi per la sicurezza delle informazioni.
- Analisi del rischio tecnologico: La tecnologia è la principale fonte di attacco per un criminale informatico. Attraverso la sicurezza preventiva, l’azienda può valutare il livello di sicurezza dei propri sistemi e capire quanto le informazioni sensibili siano protette. Le attività con le quali si può effettuare l’analisi del rischio tecnologico sono numerose, tuttavia le principali sono quattro:
- Penetration test: simulazione di un attacco hacker sui sistemi informativi aziendali.
- Network scan: analisi del livello di sicurezza delle reti aziendali.
- Vulnerability assessment: verifica delle vulnerabilità delle web app e dei siti internet.
- Code review: valutazione di eventuali vulnerabilità sul codice sorgente.
- Analisi del rischio umano: il focus di questa componente sono i dipendenti, in quanto essi possono fungere da “punto d’attacco” ed esporre l’azienda stessa ad un rischio non indifferente. Generalmente, i dipendenti sono estremamente vulnerabili alle minacce informatiche, poiché spesso non sono adeguatamente formati in merito. Al giorno d’oggi è assolutamente necessario che i dipendenti siano formati sulle tematiche inerenti la sicurezza informatica, in particolare per quanto riguarda il phishing, che, come abbiamo visto, è uno degli attacchi informatici più diffusi. Ma in generale, la formazione e la sensibilizzazione sui temi legati alla cybersecurity deve essere a 360 gradi, in modo tale la limitare il più possibile alle minacce derivanti dall’ingegneria sociale.
Leggi tutti gli approfondimenti dello Speciale Fatturazione elettronica
© RIPRODUZIONE RISERVATA