Il magazine di TeamSystem
Contattaci
Categorie

Cristallizzazione delle registrazioni informatiche con rilevanza giuridica

Fabrizio Lupone
28.05.2021 - Tempo di lettura: 3'
Cristallizzazione delle registrazioni informatiche con rilevanza giuridica

Sarebbe preistorico affermare che i dati e i documenti digitali delle aziende non hanno in molti contesti la necessità di garantire una rilevanza giuridica ed una efficacia probatoria in quanto vengono stampati su carta.

Ormai il business, la comunicazione e la relazione delle aziende con clienti, fornitori e in generale con gli utenti è gestita tramite servizi digitali, piattaforme, portali web e in generale tramite applicazioni e transazioni elettroniche.

Il processo di trasformazione digitale dei modelli di business delle imprese italiane è stato oltremodo accelerato dall’emergenza pandemica, trasformando anche settori economici tradizionali in modelli digitali e data driven.

Nel 2021 si sta registrando un boom nell’adozione da parte dell’aziende di piattaforme online, di soluzioni di firma elettronica per la sottoscrizione dei documenti da remoto e in mobilità, di soluzioni di gestione documentale e conservazione digitale, nell’adozione di portali e/o app per il commercio elettronico. L’e-commerce in Italia nel 1° trimestre 2021 ha registrato una crescita di quasi l’80%, posizionandosi al quarto posto al mondo per crescita percentuale, sulla scia del forte aumento di acquisti online e soprattutto degli acquisti effettuati in mobilità attraverso lo smartphone.

Le azioni e le scelte degli utenti rappresentati dai log delle transazioni

I canali digitali stanno diventando sempre più i canali di relazione con gli utenti e pertanto aumentano le registrazioni informatiche (log) da memorizzare a rappresentazione delle transazioni elettroniche, accrescendo sempre più l’esigenza di garantire la rilevanza e l’efficacia per il business di questi record.

Oggi le aziende sono abituate a memorizzare i log come record di data base, rappresentando in questo modo le azioni e le scelte eseguite da un cliente, un fornitore o semplicemente un utente in una esperienza digitale di una qualsiasi applicazione.

Ma questi log potrebbero mai avere una rilevanza determinante in qualche controversia giudiziaria? Potrebbero rappresentare prove da presentare in sede di giudizio? Se la risposta è sì, allora è necessario chiedersi se i log sono gestiti correttamente come documenti informatici e se vengono cristallizzati a dovere

Nel log di una transazione è sempre opportuno descrivere e memorizzare bene “chi fa cosa e quando lo fa”, per questo si consiglia di indicare sempre la descrizione dell’azione eseguita dall’utente, la data e ora dell’azione nello standard UTC, l’ID dell’utente e, se l’oggetto dell’azione è un documento, anche l’hash (l’impronta) del documento stesso calcolata con algoritmo di hashing almeno SHA-256. Oltre a memorizzare bene il log nel data base, poi, è obbligatorio garantirne l’immodificabilità e l’integrità.

I log delle transazioni sono documenti informatici a tutti gli effetti

Ogni giorno vengono apposti dagli utenti miliardi di point & click in merito alle proprie scelte, accettazioni, autorizzazioni, conferme e prese visioni. Questi point & click diventano delle registrazioni informatiche, che vengono memorizzate per un periodo (retention) definito dall’esigenza di business o dalla normativa di riferimento in merito alla conservazione dei dati e dal rispetto del Regolamento europeo in materia di protezione dei dati personali n. 2016/679 (GDPR). 

L’aspetto su cui vogliamo focalizzarci è se questi log delle transazioni garantiscono, dalla loro generazione alla loro conservazione, i requisiti di integrità e immodificabilità. 

Molti, infatti, non sanno che le registrazioni informatiche (log delle transazioni) sono da qualificarsi a tutti gli effetti di legge come documenti informatici, come previsto dalle regole tecniche attuative del CAD (Codice dell’Amministrazione Digitale). 

Più nel dettaglio, le regole tecniche attuative del CAD – già dal D.P.C.M. 13 novembre 2014, ora confermate anche dalle nuove Linee Guida AgID sul documento informatico – stabiliscono che un documento informatico è formato anche mediante:

  • c): memorizzazione su supporto informatico in formato digitale delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente;
  • d): generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più banche dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica.

  Sempre queste regole chiariscono che il documento informatico è immodificabile se la sua memorizzazione su supporto informatico in formato digitale non può essere alterata nel suo accesso, gestione e conservazione.

Quindi, in concreto, è obbligatorio applicare la disciplina sul documento informatico ai record log memorizzati in un data base, sempre che questi abbiano per l’azienda una qualche rilevanza come elemento probatorio da produrre eventualmente in giudizio. 

Per tal motivo, ogni azienda, prima di adottare delle misure per l’immodificabilità dei log, dovrebbe eseguire un’analisi di rischio sui log memorizzati in ciascun data base e chiedersi se i log sono gestiti correttamente rispetto alle proprie esigenze di efficacia probatoria.

Come posso rendere i log cristallizzati e quindi immodificabili e integri?

In questi ultimi anni, la tecnologia ci ha messo a disposizione alcune modalità per cristallizzare i record log o anche solo le impronte (hash) dei record stessi, ma vediamo come. Le regole tecniche del CAD (Codice dell’Amministrazione Digitale) affermano che nel caso di documento informatico formato secondo le sopracitate lettere c) e d), in cui rientrano i log registrazioni informatiche, le caratteristiche di immodificabilità e di integrità sono garantite da una o più delle seguenti operazioni:

  • apposizione di una firma elettronica qualificata, di una firma digitale o di un sigillo elettronico qualificato o firma elettronica avanzata;
  • registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema;
  • produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.

Operativamente, quindi, si possono adottare diverse modalità alternative tra di loro per la protezione dell’integrità nella produzione e conservazione dei log di sistema, quali ad esempio:

  • l’estrazione statica dei record log, rilevanti dal punto di vista probatorio, o delle loro impronte (hash) in un file di formato statico (ad esempio il formato XML) e suo trasferimento automatico ad un servizio di conservazione digitale a norma per la sua conservazione secondo legge;
  • la notorizzazione dei record log su tecnologia basata sui registri distribuiti (DLT) di cui il protocollo Blockchain è parte, garantendo in questo modo l’integrità e la validazione temporale L’art. 8-ter comma 1 del D.L. n. 135/2018, cosiddetto Decreto Semplificazioni 2019, convertito in Legge n. 12 del 11 febbraio 2019;
  • l’adozione di misure e funzionalità native e intrinseche dei data base che garantiscono l’inalterabilità e l’integrità dei dati in esso memorizzati sin dalla loro origine (non deve essere possibile la variazione nemmeno da parte del DB Administrator e deve poter essere individuata l’autenticità e la validazione temporale ossia la data e ora del log).

In conclusione, in una società che sta diventando sempre più data driven è necessario che ciascuna organizzazione, grande o piccola che sia, si ponga l’obiettivo di valutare la sicurezza e l’immodificabilità dei dati memorizzati nei propri data base, soprattutto se questi dati rappresentano azioni e scelte degli utenti che possono avere una qualche rilevanza giuridica nel business dell’organizzazione stessa.

Scopri TeamSystem Digital Archive

Articoli correlati

Cibi e bevande: aliquote IVA diverse per somministrazione e cessione
Fatturazione e normativa
Cibi e bevande: aliquote IVA diverse per somministrazione e cessione
Nel caso della vendita di cibi e bevande per orientarsi correttamente tra le regole di applicazione dell’IVA è necessario considerare la differenza tra somministrazione e cessione, due operazioni che scontano aliquote diverse: i fattori da considerare.
10.04.2024 | Redazione
Anche chi gestisce bar, negozi e ristoranti può vincere la lotteria degli scontrini
Fatturazione e normativa
Anche chi gestisce bar, negozi e ristoranti può vincere la lotteria degli scontrini
Anche chi gestisce bar, negozi e ristoranti concorre per vincere la lotteria degli scontrini, ma solo se i clienti effettuano pagamenti elettronici.
04.04.2024 | Redazione
Che cos’è e come funziona il CIN, codice identificativo nazionale
Fatturazione e normativa, Horeca
Che cos’è e come funziona il CIN, codice identificativo nazionale
Gli operatori che gestiscono affitti brevi e turistici devono dotarsi del CIN (Codice Identificativo Nazionale), scopri cosa è e come funziona in questo articolo.
28.03.2024 | Redazione
Dichiarazione dei redditi 2024 e Certificazione Unica: le scadenze in calendario
Fatturazione e normativa
Dichiarazione dei redditi 2024 e Certificazione Unica: le scadenze in calendario
Per la dichiarazione dei redditi 2024 è tempo di guardare al calendario delle scadenze più volte ritoccato negli ultimi mesi, scopri di più in questo articolo.
28.03.2024 | Redazione
Concordato preventivo biennale: come funziona? Dal calcolo del reddito imponibile all’adesione
Fatturazione e normativa
Concordato preventivo biennale: come funziona? Dal calcolo del reddito imponibile all’adesione
Il concordato preventivo biennale partirà dall’anno d’imposta 2024 e interesserà 4,5 milioni di partite IVA che applicano gli ISA e i forfettari, scopri di più.
14.02.2024 | Redazione
Lead generation cosa è e come può aiutare a far crescere il proprio business
Fatturazione e normativa
Lead generation cosa è e come può aiutare a far crescere il proprio business
La lead generation è uno dei cardini delle strategie di digital marketing: scopri come una PMI può far crescere il business grazie a un sistema CRM.
22.01.2024 | Redazione
Il ruolo chiave del Responsabile della Conservazione
Fatturazione e normativa
Il ruolo chiave del Responsabile della Conservazione
Scopri il ruolo cruciale del Responsabile della Conservazione nel processo di digitalizzazione documentale: guida completa alle competenze e responsabilità.
16.01.2024 | Redazione
Certificazione del rischio fiscale: Commercialisti al centro della cooperative compliance
Fatturazione e normativa
Certificazione del rischio fiscale: Commercialisti al centro della cooperative compliance
La certificazione del rischio fiscale permette di avviare un dialogo con il Fisco che garantisce una serie di benefici e sanzioni, scopri di più.
08.01.2024 | Redazione