Per risalire alla definizione di documento informatico e alle sue caratteristiche di validità nei confronti dei terzi – qualità queste ultime imprescindibili nel lavoro di revisione legale – ci viene in aiuto il CAD con l’articolo. 20, c.1bis, che sancisce:
“Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, l’integrità e l’immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.
Ulteriore precisazione è contenuta nel successivo comma 1ter, che recita:
“L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria”.
La lettura congiunta di questo articolo con l’articolo 2702 del C.C.(1) fa sì che il revisore, verificando documenti informatici, si troverà ad avere a che fare con oggetti che, fino a querela di falso, provengono, ovvero sono riconducibili, all’imprenditore. Quell’inconsapevole assunzione di rischio di frode legato alla revisione e conservazione tra le proprie carte di lavoro, ad esempio, di fotocopie di documenti cartacei dovrebbe diventare un vecchio ricordo.
In siffatta situazione il revisore si trova a esaminare documentazione che, fino a prova contraria, è riconducibile all’imprenditore. Tale assunto mette il revisore nella condizione di possedere, tra le proprie “carte di lavoro”, documentazione a priori non disconoscibile.
Durante il lavoro di revisione potrà capitare, oltre alla presa visione di documenti nativi informatici come le fatture elettroniche in formato xml, anche l’esame di altra documentazione divenuta tale dopo un processo di acquisizione dell’immagine tramite scanner (o hardware similare). Anche in questo caso, occorrerà fare molta attenzione nel verificare le condizioni affinché tale documento sia valido e opponibile ai terzi. Sul punto ci viene in aiuto l’articolo 22 del CAD che così sancisce:
“La copia per immagine su supporto informatico di un documento analogico è prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui è tratto, previo raffronto dei documenti o attraverso certificazione di processo(2) nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.
Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, secondo le Linee guida.
Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle Linee guida hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all’originale non è espressamente disconosciuta.”
Nel caso di specie, sarà quindi cura del revisore valutare caso per caso la necessità o meno di una verifica e implementazione di eventuali vetusti sistemi di scansione non più conformi alla normativa attuale. Al revisore sarà inoltre richiesto di porre attenzione sull’esistenza di documentazione originale UNICA.
IL DOCUMENTO INFORMATICO
Richiamata la definizione di documento informatico, corre l’obbligo di dover descrivere come lo stesso possa essere formato. Sul punto interviene il DPCM del 13 novembre 2014 che va a regolamentare e descrivere le modalità di:
- formazione
- trasmissione
- copia
- duplicazione
- riproduzione
- validazione temporale
dei documenti informatici. Il suddetto DPCM è stato poi sostituito con decorrenza dal 01.01.2022 dalle nuove Linee Guida e così modificato:
Art. 3 – Formazione del documento informatico(3)
Il documento informatico è formato mediante una delle seguenti modalità:
a) creazione tramite l’utilizzo di strumenti software o servizi cloud qualificati che assicurino la produzione di documenti nei formati e nel rispetto delle regole di interoperabilità di cui all’allegato 2;
b) acquisizione di un documento informatico per via telematica o su supporto informatico (ad esempio un servizio FTP, una e-mail, una pendrive USB…), acquisizione della copia per immagine su supporto informatico di un documento analogico (la scansione), acquisizione della copia informatica di un documento analogico;
c) memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente (ad esempio la compilazione di una pagina web, un DDT elettronico, un ordine elettronico, ecc.);
d) generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica (ad esempio i LOG di sistema, i risultati di analisi di grandi banche dati, ecc.).
Condizione essenziale affinché un documento informatico possa definirsi tale è il persistere della caratteristica della immodificabilità, ovvero il fatto che forma e contenuto non siano alterabili durante le fasi di tenuta e accesso e che ne sia garantita la staticità(4) nella fase di conservazione.
Inoltre, il documento informatico deve essere identificato in modo univoco e persistente. Un modo semplice per farlo e che solitamente è utilizzato nella stragrande maggioranza dei servizi di conservazione, è quello di calcolare l’impronta informatica (crittografata) basata su funzioni di hash(5).
Nel caso in cui il documento informatico sia formato secondo la sopracitata lettera a), l’immodificabilità e l’integrità sono garantite da una o più delle seguenti operazioni:
- apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
- memorizzazione su sistemi di gestione documentale che adottino idonee misure di sicurezza così come descritte nelle Linee Guida AgID;
- il trasferimento a soggetti terzi attraverso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal Regolamento (UE) 23 luglio 2014 n. 910 del Parlamento Europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS), valido ai fini delle comunicazioni elettroniche aventi valore legale;
- versamento ad un sistema di conservazione.
Nel caso di documento informatico formato secondo quanto riportato in precedenza alla lettera b) l’immodificabilità ed integrità sono garantite da una o più delle seguenti operazioni:
- apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
- memorizzazione su sistemi di gestione documentale che adottino idonee misure di sicurezza così come descritte nelle Linee guida AgID;
- versamento ad un sistema di conservazione.
Per le successive lettere c) e d) le caratteristiche di immodificabilità e di integrità sono invece garantite da una o più delle seguenti operazioni:
- apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
- registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema;
- produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.
(1). Art 2702 CC: “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.
(2). Allegato 3 al documento AgID: “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici”.
(3). Che tiene già conto delle modifiche dal 01.01.2022 apportate con le nuove linee guida AgID.
(4). Caratteristica che garantisce l’assenza di tutti gli elementi dinamici, quali macroistruzioni, riferimenti esterni o codici eseguibili e l’assenza di informazioni di ausilio alla redazione, quali annotazioni, revisioni, segnalibri, gestite dal prodotto software utilizzato per la redazione.
(5). L’impronta è la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l’applicazione di un algoritmo, chiamato funzione di hash (fonte: C.A.D.). In pratica, considerato che ogni file è composto solo da numeri, da 0 e da 1 (i “bit”), l’impronta è la cifratura di un file, ottenuta con un particolare algoritmo, per cui, avendo a disposizione sia il file-origine che l’impronta, è possibile stabilire una connessione univoca tra l’impronta e il file, nel senso che dal file è possibile risalire all’impronta, ma non viceversa. In altre parole, dal file chiunque può sempre calcolare l’impronta (e se rimane sempre la medesima significa che il file non è stato modificato nel tempo) ma dall’impronta non è mai possibile risalire al contenuto originario del file.