Se parliamo di e commerce ci viene subito in mente l’acquisto on line che possiamo descrivere attraverso un flusso, non esaustivo, come sotto riportato.
Ma da questo flusso si vede solo la superficie, solo la prima parte. Abbiamo la consapevolezza del processo in generale?
Dietro le quinte del teatro di Internet e del palco del sito web esistono altri processi digitali. Possiamo solo elencare alcune attività per non annoiare troppo. Partiamo dalla base, dando per assodato la creazione del sito web. È necessario creare un catalogo di prodotti, cioè cercare i fornitori se non siamo noi a fornire il prodotto/servizio. Creare un’anagrafica, avere la possibilità di fatturare e gestire gli ordini, tutto in modo digitale. Non esistono più fogli o pezzi di carta.
Ma per poter vendere dobbiamo interfacciarci con il fornitore (creando dei canali di comunicazione veloci e sicuri) oppure creare un magazzino fisico che parlerà in maniera digitale con quello del sito.
Tutto ciò che viene gestito attraverso il portale e-commerce è un insieme di record, quindi bisogna trattarlo e conservarlo secondo i dettami legislativi e quindi applicando un processo di conservazione digitale, visto che parliamo di documenti informatici.
Quando abbiamo deciso che l’oggetto va bene e vogliamo acquistarlo, mettiamo in azione il processo digitale della transazione economica, che deve essere molto sicura. Ma tutti questi passaggi (quindi anche i log) come li gestiamo? Anche questi devono essere conservati a norma. A questo punto il processo si complica e dovranno essere inseriti tutti i controlli e le misure per monitorarlo anche con una valenza giuridica (stiamo sempre parlando di commercio).
Non dimentichiamoci poi, che dopo il pagamento, esiste il processo di fatturazione. Anche qui a gamba tesa, entra in gioco la digitalizzazione dei processi e la conservazione dei documenti informatici. Inoltre con la fatturazione elettronica fra privati che partirà dal 1° gennaio 2017, sarà possibile digitalizzare anche il ciclo di fatturazione con tutti i documenti e i dati ad essa collegati. Solo pensando per processi e processi digitali possiamo essere sicuri di avere sotto controllo il sistema.
Dobbiamo aggiungere, però, ancora altri fattori. La tutela del dato personale entra in gioco con la registrazione dei consensi (che sono digitali), con la verifica della sicurezza dei trattamenti e delle comunicazioni, con la conservazione dei log e per finire con il data protection by design e default. La tutela del dato personale fin dalla progettazione del servizio (e-commerce) inglobata nelle attività è un punto fondamentale che sposta la visione al project management, alla risk analisys e come abbiamo visto al pensare per processi.
A tal proposito risulta ovvio che la tutela del dato personale è un concetto strettamente connesso anche alle modalità di autenticazione del cliente al sito di e-commerce. In un ambiente transfrontaliero, scenario tipico dell’e-commerce, il regolamento europeo eiDAS 910/2014 si preoccupa di garantire la certezza del diritto a livello europeo introducendo i requisiti ed i livelli di garanzia dei regimi di identificazione elettronica per il loro riconoscimento all’interno dei Paesi comunitari. Ciò aiuta ad attirare anche quei clienti di norma più restii al trattamento dei propri dati guadagnandone la fiducia. Allo stesso tempo non sono da dimenticare i servizi fiduciari di recapito qualificato e di rilascio dei certificati per le transazioni web descritti dallo stesso regolamento che entrano inevitabilmente in gioco nel momento in cui occorre comunicare con il cliente avendo certezza della trasmissione (ricordiamo che la PEC non è valida in ambito internazionale, premesso che gli acquirenti di beni di largo consumo non ne sono in genere dotati) o anche semplicemente per garantire la confidenzialità delle transazioni attraverso connessioni protette.
Come conservare i documenti digitali?
In relazione alla conservazione dei documenti digitali a norma va precisato che la stessa viene spesso vista come obbligatoria per i privati solo per quanto concerne i documenti fiscali, ma di fatto il codice dell’amministrazione digitale (per chi volesse andarli a vedere ci riferiamo agli articoli 20 comma 5-bis, 43 comma 1 e 44, validi anche per i privati) lascia chiaramente intendere che tutti i documenti la cui conservazione è obbligatoria per legge vanno conservati in accordo alle regole tecniche per la conservazione.
Insieme a ciò, anche se stessimo considerando documenti che la legge non ci obbliga necessariamente a conservare, è comunque buona norma servirsi di un sistema di conservazione a norma. Infatti va considerato che in un eventuale contenzioso un documento informatico (e quanti ce ne sono anche di non firmati digitalmente in una transazione di e-commerce!) viene valutato come prova da un giudice tenendo conto di ciò che ci dice l’articolo 20 comma 1-bis del CAD che recita:
1-bis. L’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualita’, sicurezza, integrita’ e immodificabilita’.
Nella sostanza questo articolo ci dice che la qualità, l’integrità e l’immodificabilità sono essenziali se vogliamo far valutare come prova un documento informatico. Inoltre un sistema di conservazione a norma è tenuto a garantire anche la leggibilità nel tempo di un documento informatico e ciò è un requisito a dir poco estremamente desiderabile nella maggior parte dei casi. Quindi chi meglio di un sistema di conservazione a norma può garantirci queste caratteristiche? Ricordiamo che integrità, immodificabilità, leggibilità e qualità di un documento non implicano tuttavia l’autenticità che è un concetto che permette di garantire l’identità del sottoscrittore.
Molto significativa l’ordinanza del 29.04.2014, con la quale il Tribunale di Napoli Sez. lavoro accoglieva il ricorso promosso da un lavoratore per l’inefficacia del suo licenziamento. Il lavoratore era stato accusato, dal datore di lavoro, di essere entrato, unitamente ad altri suoi colleghi, anch’essi licenziati, attraverso i loro computer aziendali, abusivamente e reiteratamente “nel sistema di altri colleghi, acquisendo illecitamente e-mail personali o riguardanti fatti, notizie e documentazione aziendale di natura riservata”. Il datore di lavoro aveva prodotto in giudizio i log del mail server (per vedere chi avesse acceduto alle varie caselle email) insieme ai log del DHCP (in modo da vedere gli indirizzi delle macchine da cui ci si era connessi) in modo da ricavare dall’incrocio di queste informazioni la prova inoppugnabile degli accessi illegittimi. Il giudice, tuttavia, non ha ritenuto attendibili i file prodotti, in quanto gli stessi erano stati prelevati in precedenza dai server, sui quali per le ordinarie procedure di salvaguardia dello spazio erano stati successivamente cancellati, e consegnati in giudizio su delle memorie ottiche. Nella sostanza chiunque avrebbe potuto compilare dei file “ad hoc” in modo da costruire delle prove contro il lavoratore e, inoltre, anche se gli stessi file fossero stati ancora presenti sul server, sarebbero stati comunque modificabili e memorizzabili di nuovo sugli stessi server. In conclusione non era stata garantita l’immodificabilità e l’autenticità dei file per le quali si sarebbe dovuto procedere con (elenco non certo esaustivo)
- appropriate soluzioni tecniche (es. firme digitali, marche temporali)
- appropriate soluzioni organizzative (assegnazione del ruolo di responsabile della produzione dei log) con relativo organigramma che avrebbe dovuto interfacciarsi con il responsabile della conservazione
I punti 1 e 2 non sono altro che elementi tipici di un sistema di conservazione a norma il quale ci permette di dare certezza dell’immodificabilità ed autenticità dei documenti che vogliamo conservare, tanto più da utilizzare in caso di contenzioso. Sono elementi di un sistema nel senso più ampio del termine, cioè costituito da soluzioni tecnologiche, da ruoli, responsabilità e prima di tutto processi chiari, dettagliati, documentati ed obbligatori da seguire per il personale di un’azienda.
A tutto ciò aggiungiamo che il regolamento eiDAS parla, tra i servizi fiduciari ed in particolare i servizi qualificati, dei servizi di conservazione qualificati delle firme elettroniche qualificate che possono essere prestati soltanto dai prestatori di servizi fiduciari qualificato che utilizzano procedure e tecnologie in grado di estendere l’affidabilità delle firme elettroniche qualificate oltre il periodo di validità tecnologica. E’ evidente che non essendo tali servizi assimilabili in maniera diretta ai conservatori accreditati come definiti dalla nostra normativa, questi ultimi debbono per legge porre tutti gli accorgimenti (e.g. firma dei pacchetti di archiviazione) necessari a prolungare nel tempo la validità delle firme e per fare ciò si serviranno di fornitori qualificati.
Non fa male ricordare, in questo contesto, che le regole tecniche Decreto del Presidente del Consiglio dei Ministri 13 novembre 2014 sulla formazione del documento informatico stabiliscono che i documenti informatici formati tramite acquisizione telematica (e quindi tutti i documenti conseguenti ad una transazione di e-commerce) acquisiscono il requisito di immodificabilità in accordo alla normativa con la loro memorizzazione in un sistema di conservazione.
Si potrebbe obiettare che un sistema di conservazione potrebbe essere non a norma nel senso legislativo del termine, ma essere implementato coerentemente alle normative di organismi nazionali o internazionali (UNI, ETSI, ISO ecc.). In realtà bisogna tener conto di due cose:
- le regole tecniche sulla conservazione derivano dalle norme di standardizzazione, per cui adeguandosi ad esse si sarebbe compliant anche a queste ultime
- il regolamento eiDAS deve allineare i suoi atti esecutivi alle normative degli organismi standard e quindi a maggior ragione adeguarsi ad essi significa adeguarsi agli standard.
La conservazione digitale deve poi a sua volta inserirsi all’interno di un processo di gestione documentale completamente digitalizzato. In conclusione possiamo dire che solo con la completa digitalizzazione di processi potremmo avere enormi benefici economici e di business.
Facebook Comments