Fatturazione Elettronica e pagamenti POS: tutto quello che devi sapere per aumentare il tuo business

Pagamenti POS e fattura elettronica: quali sono i nuovi obblighi?

Il terminale di pagamento POS e la fattura elettronica, oltre ad essere due strumenti previsti dalla legge, sono ormai indispensabili per imprese e professioni che vogliono ottenere un vantaggio competitivo sui propri concorrenti, aumentare le vendite e far crescere la loro attività.

A partire dallo scorso 1° luglio 2022, per effetto dell’articolo 18 del Decreto Legge n. 36 del 30 aprile 2022, recante ulteriori misure urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR), sono scattati nuovi obblighi sia per i pagamenti con POS, sia per la fatturazione elettronica che è stata estesa a nuove categorie di soggetti titolari di partita IVA.

Obbligo pagamenti POS: che cosa dice la normativa?

Il comma 1 dell’articolo 18 del Decreto PNRR ha anticipato al 30 giugno 2022 l’entrata in vigore delle sanzioni legate ai pagamenti POS, inizialmente prevista per il 1° gennaio 2023.

In base a quanto previsto dalla normativa, i soggetti che effettuano attività di vendita di prodotti e di prestazione di servizi, anche professionali, dovranno essere in possesso del POS per accettare pagamenti effettuati tramite carte di debito o di credito.

In caso di inadempimento, a prescindere dall’importo dell’operazione, sarà erogata una sanzione amministrativa pecuniaria, composta di una parte fissa di 30 euro e di una parte variabile pari al 4% del valore della transazione per la quale è stato rifiutato il pagamento tramite POS. 

Poniamo il caso che una persona acquisti un bene o servizio del valore di 100,00 euro e chieda all’esercente o al professionista di pagare tramite POS ricevendo da quest’ultimo un rifiuto. In questo caso, la sanzione sarà pari a 34,00 euro. 

Il cliente che si è vista negata la possibilità di pagamento POS può inoltre segnalare la violazione alle autorità competenti, ovvero Polizia Locale o Guardia di Finanza, che provvederanno ad effettuare gli opportuni controlli.

L’unica motivazione valida per non accettare pagamenti elettronici è l’oggettiva impossibilità tecnica, vale a dire quelle situazioni in cui la mancata applicazione della normativa non dipende dall’esercente o dal professionista, ma da eventi di natura tecnica che non permettono di accettare pagamenti elettronici, come come guasti alla rete elettrica, problemi di connettività o malfunzionamento del terminale di pagamento.

L’obbligo POS, insieme alla comunicazione giornaliera delle transazioni con carta e bancomat, che consente al Fisco di incrociare i dati di pagamento digitale con quelli relativi agli scontrini elettronici emessi dagli esercenti, ha l’obiettivo di dare una maggiore spinta alla lotta contro l’evasione fiscale. A tal proposito va ricordato che l’obbligo di emissione di scontrino elettronico e trasmissione dei corrispettivi è scattato il 1° luglio 2019 per tutte le aziende con un volume d’affari superiore a 400.000 €.

Estensione dell’obbligo di fatturazione elettronica

Oltre ai pagamenti POS, il Decreto PNRR prevede l’obbligo di fatturazione elettronica anche per i contribuenti in regime forfettario che hanno conseguito nell’esercizio precedente un ammontare di ricavi o compensi, ragguagliato ad anno, superiore a 25.000 mila euro. A partire dal 1° gennaio 2024 l’obbligo si estenderà a tutti gli altri forfettari. 

In base a quanto previsto dall’articolo 18 del Decreto, commi 2 e 3, viene quindi abolito l’esonero dalla fatturazione elettronica per le seguenti categorie di soggetti:

  • Contribuenti che rientrano nel “regime di vantaggio” (articolo 27, commi 1 e 2, Dl 98/2011);
  • Contribuenti che applicano il regime forfettario (articolo 1, commi da 54 a 89, legge 190/2014);
  • Associazioni sportive dilettantistiche ed enti del terzo settore che hanno esercitato l’opzione per l’applicazione del regime speciale ai fini dell’IVA e delle imposte sui redditi (articoli 1 e 2, legge 398/1991) e che nel periodo d’imposta precedente hanno conseguito dall’esercizio di attività commerciali proventi per un importo non superiore a 65 mila euro.

A decorrere dal 1° ottobre 2022, l’emissione della e-fattura deve essere effettuata entro 12 giorni dall’operazione. Il mancato adempimento prevede l’applicazione delle sanzioni comprese tra il 5 e il 10% dei corrispettivi non documentati o non registrati, oppure, una sanzione amministrativa da 250 a 2.000 euro, in caso la violazione non sia rilevante ai fini della determinazione del reddito.

FatturePlus Namirial: la soluzione per gestire la fatturazione elettronica tramite POS

Sei un forfettario e vuoi gestire l’emissione delle fatture elettroniche, degli scontrini elettronici e la riscossione di pagamenti digitali tramite POS in modo facile, sicuro e veloce?

Grazie all’integrazione tra FatturePlus di Namirial e il software di GETYOURBILL puoi emettere i tuoi documenti fiscali e incassare le vendite tramite un unico dispositivo portatile, rapido ed economico. Così sarà più facile concludere tutte le operazioni legate al checkout dove e quando vuoi.

Ecco come iniziare ad utilizzare FatturePlus di Namirial per POS:

  • Acquista in autonomia il moderno ed elegante POS bancario PAX A910 seguendo le informazioni presenti in questo link:
  • Acquista FatturePlus Forfettari per POS sul sito ecommerce di Namirial e seguire le istruzioni che riceverai per e-mail;
  • Dopo l’acquisto, verrai contattato da GETYOURBILL per concordare una sessione web da remoto per configurare il software sul tuo POS. 

La fatturazione elettronica tramite POS è in promo a 299 € + IVA l’anno invece di 422 €. L’offerta è compatibile solo con POS PAX A910.

– «Vuoi gestire in modo semplice e veloce la fatturazione elettronica della tua attività? Scopri FatturePlus Namirial, la soluzione ideale per i professionisti in regime forfettario»

I principi fondamentali del modello Zero Trust

I principi fondamentali del modello Zero Trust

Che cos’è il modello Zero Trust?

Gli incidenti legati alla violazioni di dati, agli attacchi ransomware e ad altre minacce informatiche dannose sono in aumento e coinvolgono le piccole imprese come le grandi multinazionali, senza dimenticare gli enti pubblici, le infrastrutture tecnologiche e digitali ospedaliere, le organizzazioni governative e le realtà private.

Se da un lato la trasformazione digitale ha permesso alle aziende di diventare più agili e flessibili, dall’altro ha aumentato notevolmente la superficie di attacco. Per contrastare queste minacce e prevenire la perdita o la manipolazione dei dati, le organizzazioni devono quindi adottare strategia di cyber security che tenga i loro sistemi al sicuro. 

Il modello Zero Trust è una di queste strategie e garantisce l’applicazione di politiche di sicurezza non basate su una presunta affidabilità, ma su una “fiducia zero”, garantendo una difesa più efficiente dalle minacce informatiche e una migliore esperienza utente.

Il termine Zero Trust, coniato da John Kindervag, ex analista della società di ricerca americana Forrester Research, fa riferimento a un’architettura alternativa per la gestione della sicurezza IT che non si basa sul tradizionale approccio di sicurezza perimetrale per proteggere le proprie risorse più importanti, come i dati degli utenti e la proprietà intellettuale, ma applica le policy di accesso in base al contesto, come l’identità dell’utente, la posizione e il dispositivo.

Il concetto alla base della Zero Trust Security è che tutto deve essere verificato, e nulla deve essere ritenuto automaticamente attendibile perché la fiducia è considerata una vulnerabilità: in altre parole “Non fidarsi mai, verificare sempre”. Ciò significa che ogni utente e dispositivo deve essere autenticato e che le attività devono essere monitorate e registrate.

In definitiva, Zero Trust è un approccio strategico alla sicurezza informatica che protegge un’organizzazione eliminando la fiducia implicita e convalidando continuamente ogni fase di un’interazione digitale. 

Come funziona il modello Zero Trust?

Il modello Zero Trust è stato creato con la consapevolezza che i tradizionali approcci alla sicurezza si basano sul presupposto obsoleto che tutto ciò che si trova all’interno della rete di un’organizzazione debba essere implicitamente considerato affidabile. 

Questa fiducia implicita significa che, una volta entrati nella rete, gli utenti, compresi gli attori delle minacce e gli insider malintenzionati, sono liberi di muoversi lateralmente e di accedere o esfiltrare dati sensibili a causa della mancanza di controlli di sicurezza granulari.

In un’architettura Zero Trust, invece, la posizione di rete di una risorsa non è più il fattore principale del suo profilo di sicurezza e, come abbiamo già detto, il concetto di fiducia viene completamente eliminato. Un’architettura a “fiducia zero” richiede la visibilità e il controllo sugli utenti e sul traffico dell’ambiente, compreso quello criptato, la segmentazione della rete, che impedisce il movimento laterale, fornendo una prevenzione delle minacce Layer 7 e semplificando le politiche granulari di “minimo accesso”, e l’impiego di metodi di autenticazione a più fattori (MFA) che utilizzano anche dati biometrici.

Uno dei primi i passi per implementare un’architettura Zero Trust è l’identificazione dei dati, degli asset, delle applicazioni e dei servizi più critici e classificarli in base alla loro importanza. Questo aiuta a stabile le priorità e a individuare le risorse che necessitano di maggiore protezione e che devono essere sottoposte al più rigoroso controllo degli accessi. Lo step successivo consiste nel capire chi sono gli utenti, quali applicazioni utilizzano e come si connettono per determinare e applicare criteri che garantiscano un accesso sicuro agli asset critici. 

Secondo Evan Gilman e Doug Barth, autori del libro Zero Trust Networks: Building Secure Systems in Untrusted Networks, alla base del funzionamento dello Zero Trust Network ci sono cinque aspetti chiave che lo rendono un sistema di sicurezza più efficace:

  1. Si presume che la rete sia sempre ostile;
  2. Le minacce esterne e interne esistono sulla rete in ogni momento;
  3. La localizzazione della rete non è sufficiente per decidere la fiducia in essa e le decisioni sul controllo degli accessi devono basarsi sul contesto e sul rischio;
  4. Ogni dispositivo, utente e flusso di rete deve essere autenticato e autorizzato;
  5. Le policy devono essere dinamiche e calcolate da quante più fonti di dati possibili.

Quali sono i principi fondamentali del modello Zero Trust?

Ecco quali sono i principi basilari del modello Zero Trust che consento di proteggere le risorse da attacchi indiscreti e attacchi malware:

  • Verifica esplicita: autenticare e autorizzare sempre in base a tutti i dati disponibili, tra cui l’identità dell’utente, la posizione, la salute del dispositivo, la classificazione dei dati e le anomalie;
  • Utilizzare l’accesso con il “minimo privilegio”: limitare l’accesso degli utenti con accesso Just In Time e Just Enough Access (JIT/JEA), politiche adattive basate sul rischio e protezione dei dati per proteggere sia i dati che la produttività;
  • Ipotizzare un data breach: ridurre al minimo il raggio d’azione e segmentare l’accesso. Verificare la crittografia end-to-end e utilizzare le analisi per rilevare attività dannose e migliorare le difese.

Perchè l’acciaio è il futuro dell’Edilizia 4.0 

Perchè l'acciaio è il futuro dell'Edilizia 4.0 

Acciaio per edilizia: perché è un’opportunità per il settore?

In un periodo storico caratterizzato da emergenze ambientali che impongono nuove scelte e soluzioni anche il settore delle costruzioni può giocare un ruolo importante e fare la differenza in termini di sostenibilità. In Italia, infatti, il comparto delle costruzioni è caratterizzato da un elevato impatto ambientale, sia sotto forma di emissioni di C02 che di consumo di risorse. 

Ed è qui che entra in gioco l’acciaio, un materiale ideale per gli edifici 4.0, in linea con gli obiettivi del Green Deal europeo che mira a ridurre l’impronta ecologica delle costruzioni raddoppiando il numero di ristrutturazioni entro il 2026 e riqualificando energeticamente gli edifici. Basti pensare che al comparto italiano il PNRR dedica il 32,6% delle risorse. 

Dall’analisi elaborata da Fondazione Promozione Acciaio emerge che nel nostro Paese l’impiego di acciaio strutturale in edilizia si attesta sul 35%, ed ha raddoppiato il suo utilizzo che solo 10 anni fa era del 18%. Questo dato, secondo gli esperti dell’Ente che promuove lo sviluppo delle costruzioni e delle infrastrutture in acciaio in Italia, testimonia l’importante evoluzione culturale in corso e l’attenzione crescente di progettisti e investitori verso prodotti di qualità e più competitivi, in grado di fornire soluzioni di rapida realizzazione, economiche e ad alta redditività.

L’acciaio è la sintesi perfetta tra ingegneria e architettura, è resistente, versatile, duttile, ha un’alta resistenza sismica e dialoga facilmente con gli altri materiali, senza rinunciare alle qualità tecniche ed estetiche. È quindi adatto a diversi tipi di ambiente, dagli spazi pubblici agli edifici residenziali, passando per le aree industriali, e le sue proprietà intrinseche, come resilienza, versatilità, durata e riciclabilità, assicurano un notevole vantaggio in termini di prestazioni ambientali durante l’intero ciclo di vita degli edifici.

Perché l’acciaio è considerato un materiale ad alta redditività?

Secondo gli esperti di Fondazione Promozione Acciaio, l’acciaio è competitivo sul piano economico per varie ragioni:

  • Velocità e certezza dei tempi di realizzazione: è un materiale pronto all’uso, quindi non richiede lunghi tempi di preparazione e la sua disponibilità consente di ottimizzare i piani di progetto e pianificare con certezza le strategie di mercato;
  • Ridotti costi di gestione: richiede una manutenzione minima, grazie alla sua durata e alla facilità di installazione, consentendo un elevato controllo dell’intero processo produttivo;
  • Sicurezza antisismica: è la soluzione più adatta per le aree a rischio sismico e la sua duttilità consente di rispondere prontamente alle emergenze, impedendo il collasso delle strutture e assicurando il benessere e il comfort abitativo. Sul piano della sicurezza e resistenza non va poi dimenticato che i tiranti in acciaio nell’edilizia costituiscono una delle tecniche di consolidamento più efficaci per rinforzare gli edifici in muratura;
  • Funzionalità e flessibilità in termini di spazi e volumi: è un materiale che possiede la flessibilità necessaria a realizzare architetture originali e innovative, con un alto grado di personalizzazione. In più, la sua leggerezza e la versatilità, unite all’elevata resistenza, permettono di realizzare spazi interni molto ampi, difficilmente ottenibili con altri materiali.
  • Riciclo: non è solo un materiale riciclabile al 100%, ma può anche essere riciclato infinite volte senza perdere alcuna delle sue proprietà originarie. Per questo motivo il suo riutilizzo è parte integrante del processo di sostenibilità e può portare a significativi risparmi sui costi. Il riciclo dell’acciaio rispetta i principi di circolarità e riduce la domanda di materiali vergini, evitando così sia le emissioni di C02 associate ai processi produttivi, sia l’inquinamento del territorio dovuto all’estrazione delle materie prime. Nel mondo, come evidenziato dagli esperti di Fondazione Promozione Acciaio, circa il 20% della produzione d’acciaio è ottenuta attraverso il riciclo del rottame. Una percentuale che nell’Unione Europea sale a circa il 40% e in Italia, grazie alla crescente diffusione del forno elettrico, ha raggiunto nel 2020 l’80% nel settore delle costruzioni.

Per tutti questi motivi, l’acciaio può diventare il materiale d’elezione per l’edilizia 4.0 e rispondere alle sfide dell’industria edilizia di oggi e del futuro, in cui innovazione e sostenibilità sono le basi per lo sviluppo delle nostre città, nonché un elemento fondamentale per costruire un futuro migliore all’insegna del green power.

La flessibilità e la convenienza di questo materiale permettono di progettare e costruire edifici esteticamente gradevoli ed efficienti dal punto di vista dei costi, mentre la sua riciclabilità è un fattore di successo in termini di protezione ambientale. 

Costruire in acciaio: quali sono i vantaggi?

A questa domanda rispondono, ancora una volta, gli esperti di Fondazione Promozione Acciaio, che svelano quali sono gli aspetti positivi dell’uso dell’acciaio nel settore delle costruzioni.

Oltre all’alta redditività, alla possibilità di costruire opere architettoniche di design creativo, alla sicurezza sismica e alla sua natura circolare, ecco quali sono i motivi che rendono l’acciaio una risorsa indispensabile per il futuro:

  • Rapidità costruttiva: l’impiego di sistemi a secco e la possibilità di realizzare soluzioni chiavi in mano in tempi brevi, dalla fase di progettazione al prodotto finito, rendono l’acciaio un materiale che ottimizza il Time To Market (TTM), consentendo tempi di risposta più rapidi;
  • Durabilità: l’acciaio mantiene le sue caratteristiche nel tempo quindi può essere considerato un materiale di grande durata. Inoltre, è tracciato e obbligatoriamente marcato CE
  • Sicurezza in caso di incendio: le strutture in acciaio soddisfano il livello di sicurezza previsto dalle Norme Tecniche in materia di protezione incendi (DM 3 agosto 2015);
  • BIM: l’uso di una piattaforma BIM consente una perfetta integrazione tra la fase di progettazione e quella di costruzione, garantendo una maggiore flessibilità in termini di modifiche al progetto. I prodotti in acciaio possono essere perfettamente integrati nel software BIM e soddisfare i requisiti dell’industria edilizia;
  • Energia pulita: l’acciaio può essere impiegato sia nel mercato del fotovoltaico che in quello eolico per creare strutture leggere, resistenti e capaci di resistere alle sollecitazioni.

Come correggere una fattura elettronica in caso di errore

Come correggere una fattura elettronica in caso di errore

Cosa fare in caso di fattura elettronica errata?

Errare humanum est, perseverare autem diabolicum è la locuzione latina che tradotta letteralmente significa “Commettere errori è umano, ma perseverare -nell’errore- è diabolico”. Un vecchio adagio che vale per qualsiasi esperienza, compresa la compilazione della fattura elettronica. 

Uno dei principali vantaggi della fatturazione elettronica sta proprio nella possibilità di diminuire il rischio di errori in fase di compilazione del documento, che vengono tempestivamente segnalati sia dal Sistema di Interscambio (SdI) che dai software di compilazione, tuttavia potrebbe capitare di commettere un’imprecisione e rendersene conto prima oppure dopo l’invio della fattura elettronica.

Le modalità di correzione del documento variano in base alla problematica emersa, ai dati da correggere e al punto del processo di fatturazione in cui ci si trova quando si riscontrano delle anomalie.

Errori fattura elettronica: quali sono i principali?

L’emissione di una fattura elettronica è un momento delicato per ogni esercente e professionista poiché per qualsiasi azienda si tratta di uno strumento fondamentale sotto il profilo amministrativo e fiscale. Bisogna quindi prestare la massima attenzione nel momento in cui ci si dedica alla compilazione delle fatture web e, in caso di errori, correggerle per evitare possibili sanzioni.

Sono due i tipi di errori che si possono riscontrare al momento dell’emissione di una fattura elettronica:

  1. Errore descrizione fattura elettronica: le imprecisioni nella parte descrittiva comprendono tutte quelle informazioni legate ai dati della società emittente, ai dati del cliente, alla partita IVA e al numero progressivo di emissione della fattura;
  2. Errore parte numerica fattura elettronica: in questo caso ci si riferisce agli errori relativi agli importi di beni o servizi, dell’IVA e del totale della fattura.

Qualsiasi errore commesso prima che la fattura elettronica venga inviata al Sistema di Interscambio, o prima che la fattura tradizionale sia consegnata al cliente, può essere subito corretto senza rischiare di incorrere in alcun tipo di sanzione. È sufficiente modificare le informazioni errate e inviare il documento.

Diverso, e sicuramente più complicato, è invece il discorso nei casi in cui la fattura è stata emessa e consegnata al cliente.

Come correggere e modificare una fattura elettronica?

Come abbiamo già detto, può capitare di dover modificare una fattura elettronica successivamente all’invio del documento. 

Vediamo quali sono le principali tipologie di errori e come correggerli:

  • Nota di debito per le variazioni in aumento

Quando bisogna aumentare gli importi fatturati per, ad esempio, un errore nell’applicazione dell’IVA, è necessario emettere una fattura integrativa che prende il nome di nota di debito. Per evitare di incorrere in sanzioni, la variazione deve essere effettuata entro il termine per la liquidazione periodica relativa alla fattura sbagliata. In caso contrario, la sanzione prevista è quella per l’omessa fatturazione e va dal 100 al 200% dell’imposta evasa.

  • Nota di credito per le variazioni in diminuzione

In questo caso parliamo di una rettifica in diminuzione dell’operazione per cui è stata emessa la fattura. Verrà quindi emesso un documento che prende il nome di nota di credito e la nota di variazione dovrà essere assoggettata alla stessa aliquota IVA riportata nella fattura a cui si riferisce. Le variazioni in diminuzione, a differenza di quelle in aumento, sono facoltative poiché non comportano alcun danno per l’erario. 

  • Variazioni senza limiti temporali o con termine di un anno

La rettifica parziale o totale di una fattura può essere effettuata senza limiti di tempo solo nei casi previsti dalla normativa IVA come:

  • Obblighi legati da precise disposizioni di legge;
  • Il riconoscimento al cliente di sconti;
  • Invalidità, risoluzione o revoca di un contratto;
  • Mancato pagamento, parziale o totale, a causa di procedure concorsuali.

In altri casi, come la concessione di sconti non previsti dal contratto, è invece obbligatorio rispettare il limite di tempo pari a un anno dal momento in cui si è verificata l’operazione imponibile IVA. Trascorso tale termine non è più possibile effettuare storni della fattura emessa. 

  • Fattura elettronica duplicata

Se viene emessa una fattura elettronica con un numero già esistente, in genere il Sistema di Interscambio lo segnala poiché si tratta di una fattura duplicata. Tuttavia, può capitare che il sistema accetti il documento. In questo caso è necessario emettere una nota di credito a storno della fattura duplicata, indicando nella causale l’errore, e procedere con l’emissione di un nuovo documento con dati corretti.

  • Fattura elettronica scartata

Quando gli errori della fattura elettronica sono segnalati dal Sistema di Interscambio, si riceve una notifica di scarto e, per non incorrere in sanzioni, bisogna provvedere alla correzione del documento entro 5 giorni o la fattura sarà considerata “non emessa”.

Tra gli errori più comuni contenuti nelle fatture elettroniche scartate dal SdI troviamo:

  • Errore 00001 – Nome file non valido;
  • Errore 00100 – Certificato di firma scaduto;
  • Errore 00101 – Certificato di firma revocato;
  • Errore 00106 – File vuoto o corrotto;
  • Errore 00404 – Fattura duplicata;
  • Errore 00311 – CodiceDestinatario non valido o inesistente;
  • Errore 00324 – IdFiscaleIVA e CodiceFiscale non coerenti; 
  • Errore 00400 – Sulla riga di dettaglio con Aliquota IVA pari a zero deve essere presente il campo Natura;
  • Errore 00417 – Fattura senza codice fiscale o partita IVA;
  • Errore 00423 – Il Valore del campo PrezzoTotale non è calcolato correttamente. 

 

  • Fattura elettronica errata PA    

A differenza delle aziende, dei professionisti e dei privati, la Pubblica Amministrazione può rifiutare una fattura elettronica anche se questa è stata già approvata dal SdI. La PA può inviare una notifica di esito negativa oppure un rifiuto successivo all’accettazione o alla decorrenza dei termini (ovvero dopo 15 giorni).

In caso di esito negativo da parte dell’ufficio PA destinatario tramite SdI, l’emittente deve procedere alla correzione dell’errore e inviare di nuovo il documento al Sistema di Interscambio, mantenendo lo stesso numero e la medesima data. 

Se, invece, la fattura è stata rifiutata successivamente all’accettazione, l’ufficio PA destinatario della fattura deve contattare direttamente l’emittente -tramite PEC o telefono- e chiedere l’emissione di una nota di credito elettronica.

Fatture Plus: la soluzione web di fatturazione elettronica Namirial

FatturePlus è la soluzione Namirial fattura elettronica con la quale puoi emettere fatture elettroniche e trasmetterle allo SdI in modo facile e veloce, semplificando così la tua contabilità e il tuo business. Grazie al pannello di controllo puoi visualizzare l’andamento economico della tua attività in ogni momento e avere sotto controllo i dati relativi alle fatture emesse e ricevute, agli incassi e ai pagamenti.

Fruibile da qualsiasi dispositivo, la soluzione Namirial è più di una semplice applicazione di fatturazione elettronica e si adatta perfettamente alle diverse esigenze di una piccola impresa, di un professionista o di un commercialista che assiste contemporaneamente più aziende e clienti. 

Il software permette all’utente di:

  • Gestire senza difficoltà sia il ciclo attivo, sia quello passivo;
  • Inviare e ricevere fatture PA e B2B;
  • Emettere fatture ordinarie e semplificate in PDF;
  • Aggiungere la firma elettronica automatica a ogni invio;
  • Gestire l’anagrafica di clienti, fornitori e articoli;
  • Gestire più codici IVA e i sezionali;
  • Avere sotto controllo lo scadenziario, gli incassi e i pagamenti;
  • Personalizzare i template fatture.

Ricapitolando, ecco quali sono i principali vantaggi di FatturePlus Namirial:

  • Facile da utilizzare: l’interfaccia web di FatturePlus è stata studiata per garantire la migliore esperienza per l’utente. Nel pannello di controllo iniziale avrai la situazione degli incassi e dei pagamenti sempre visibile attraverso grafici. I menù intuitivi ti permetteranno di trovare in pochi click la funzioni che desideri;
  • Flessibile: personalizza in un attimo le fatture inserendo il tuo logo e la tua intestazione. Collabora con il tuo commercialista fornendogli direttamente l’accesso ai documenti: non dovrai più consegnare nulla “a mano”. Le fatture elettroniche verranno inviate allo SDI in automatico e potrai spedire via mail le fatture di cortesia ai tuoi clienti;
  • Completo: FatturePlus memorizza i dati principali delle anagrafiche dei tuoi clienti e fornitori e crea in automatico il database della tua azienda. Tieni sempre sotto controllo la tua attività con la funzione della reportistica e sfrutta tutti i vantaggi del gestionale integrato.

– «Vuoi gestire in modo semplice e veloce la fatturazione elettronica della tua attività? Scopri FatturePlus Namirial, la soluzione ideale per i professionisti in regime forfettario»

Open ID Connect: cos’è e perchè è importante per SPID e CIE

Che cos’è Open ID Connect e quali sono i punti di forza?

Rendi semplici le cose semplici e rendi possibili le cose complicate. È la filosofia alla base di Open ID Connect (OIDC), lo standard di autenticazione che estende il protocollo di autorizzazione OAuth 2.0 ed è caratterizzato da alti livelli di flessibilità e sicurezza, semplicità di implementazione ed efficacia nell’interoperabilità in modo che le identità digitali, come SPID e CIE, possano essere facilmente utilizzata su servizi desktop e mobile.

Ecco quali sono le principali caratteristiche di OpenID Connect: 

  • Facilità di integrazione; 
  • Abilità di integrare applicazioni su diverse piattaforme, single-page app, web, backend, mobile, IoT; 
  • Integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile;
  • Soluzione di diverse problematiche di sicurezza riscontrate in OAuth 2.0 al fine di garantire una maggiore resilienza informatica;
  • Utilizzo da parte di un gran numero di servizi social e di pagamento.

Mentre OAuth 2.0 è un protocollo di delega delle autorizzazioni di accesso generico, consentendo così il trasferimento di dati, e non definisce i modi per autenticare gli utenti o comunicare informazioni su di essi, Open ID Connect è un protocollo di identificazione aggiuntivo che consente ai client di verificare l’identità dell’utente finale e di ottenere informazioni di base sul suo profilo in modo interoperabile.

OpenID Connect consente quindi agli sviluppatori di autenticare i propri utenti su siti web e app senza dover possedere e gestire file di password, fornendo una risposta sicura e verificabile alla domanda: “Qual è l’identità della persona che sta utilizzando il browser o l’applicazione nativa collegata a me?“. Inoltre, l’utente può revocare ogni autenticazione e avere quindi il pieno controllo sugli accessi effettuati.

L’utilizzo di questo protocollo serve a ridurre il rischio di potenziali attacchi da parte di cybercriminali e ad aumentare quindi il livello di sicurezza informatica delle tecnologie di autenticazione. La maggiore interoperabilità, rispetto ad altri sistemi di Single Sign-On (SSO), unita alla facilità di implementazione, hanno fatto di OpenID connect uno dei protocolli più utilizzati dalle grandi aziende che operano nel settore tecnologico, come Google, Facebook e Microsoft solo per citarne alcune.

Come funziona Open ID connect?

In un articolo dello scorso dicembre, la testata CyberSecurity360 illustra il modello alla base del funzionamento e dell’interrelazione tra gli attori che costituiscono lo standard OpenID connect.

Ecco qual è la tassonomia di Open ID Connect:

  • End-User: è l’utente che richiede l’accesso ai servizi online;
  • User Agent: è il browser che l’utente utilizza per accedere alle risorse online;
  • Claims: è l’insieme di informazioni sull’utente di tipo nome-valore
  • Authorization Server: è il server che possiede l’identità e le credenziali dell’utente;
  • OpenID Provider: è l’Authorization Server capace di autenticare l’utente e rilasciare i Claims;
  • Relying Party: è l’applicazione Client che richiede l’autenticazione dell’utente ed i Claims;
  • Resource Server: è il server che ospita le risorse che saranno accedute;
  • ID Token: è la stringa che contiene i Claims di autenticazione nel formato JWT (JSON Web Token), coppie del tipo nome:valore;
  • Subject Identifier: è l’identificativo univoco dell’utente, rilasciato al Client;
  • UserInfo Endpoint: è l’interfaccia che rilascia le informazioni autorizzate dell’utente.

Come funziona l’autenticazione con Open ID connect?

L’autenticazione OIDC si articola nelle seguenti frasi:

  • Il Client prepara una richiesta di autenticazione che contiene i parametri di richiesta desiderati tramite lo User Agent;
  • Il Client invia la richiesta all’Authorization Server;
  • L’Authorization Server autentica l’End-User;
  • L’Authorization Server ottiene il consenso/autorizzazione dell’utente;
  • L’Authorization Server ritorna al Client un Access Token e, se richiesto, un ID Token;
  • Il Client richiede una risposta utilizzando l’Access Token al Token Endpoint;
  • L’Authorization Server valida l’Access Token e restituisce l’ID e l’Access Token;
  • Il Client convalida l’ID Token e recupera il Subject Identifier dell’utente.

OpenID Connect in SPID: quali sono i vantaggi?

Al fine di innalzare il livello di sicurezza delle credenziali di accesso di ciascun cittadino che possiede un’identità digitale, il Sitema Pubblico di Identità Digitale ha adottato lo standard di autenticazione Open ID Connect e l’Agenzia per l’Italia Digitale ha rilasciato le linee guida a cui i Gestori dell’identità digitale e i Fornitori di servizi pubblici e privati si sono dovuti adeguare a partire da maggio 2022.

Le linee guida di AgID stabiliscono per i suddetti soggetti l’obbligo di adottare il nuovo standard di sicurezza OpenID connect per continuare ad erogare i propri servizi attraverso il sistema di autenticazione SPID. L’obiettivo è garantire un potenziamento e un innalzamento della cyber security.

Ecco quali sono i principali vantaggi di OpenID Connect in SPID:

  • Evitare d’inserire la password ad ogni accesso, riducendo così i rischi legati ad attacchi informatici da parte di cybercriminali che potrebbero intercettare i flussi di informazioni tra gli attori coinvolti nel processo di autenticazione;
  • Migliorare la User experience soprattutto per quel che riguarda l’utilizzo delle applicazioni da dispositivi mobili, allo scopo di garantire agli utenti maggiore flessibilità e sicurezza;
  • Dare ai cittadini in possesso di un’identità digitale SPID la possibilità di bloccare tutte le autenticazioni effettuate per l’accesso a un determinato servizio.

OpenID Connect in SPID si inserisce nell’ambito della strategia Cyber Resilience Act, ovvero la proposta di Regolamento europeo sui requisiti dei prodotti con elementi digitali che mira a rafforzare le norme di cybersecurity per garantire prodotti hardware e software più sicuri.

SPID Namirial: la soluzione per l’identità digitale

Namirial, Identity Provider accreditato per il rilascio dell’identità digitale, permette di ottenere le credenziali SPID in modo facile, veloce e in pochissimo tempo: bastano un pc, o uno smartphone, e una connessione Internet.

Namirial ID è un set di credenziali, username, password ed eventuale OTP, generate da Namirial che corrispondono all’identità digitale di un utente e servono per accedere ai servizi delle Pubbliche Amministrazioni e dei privati che aderiscono al Sistema Pubblico d’Identità Digitale.

Vediamo insieme quali sono le caratteristiche e i costi delle soluzioni offerte da Namirial:

  • SPID Personale: è possibile attivare SPID Personale gratuitamente se hai CIE/CNS con PIN e lettore smart card o un certificato di firma digitale;
  • SPID Personale con Video Identificazione: è possibile attivare SPID 24 ore su 24, anche sabato e domenica. È sufficiente una connessione a internet, lo smartphone o una webcam, un documento di riconoscimento e la tessera sanitaria. Il costo del servizio di video-identificazione è di 19,90 € + IVA (solo una volta).

Inoltre, con Namirial è possibile attivare anche lo SPID Professionale, una particolare tipologia (Tipo 3) di Sistema Pubblico di Identità Digitale pensato per permettere a professionisti e aziende di accedere ai servizi della Pubblica Amministrazione e degli Enti privati che aderiscono al circuito.

Lo SPID Professionale, oltre ai dati dello SPID Personale (Tipo 1), racchiude gli attributi aggiuntivi che caratterizzano la professione della persona che lo possiede e ha la durata di uno o due anni dall’attivazione, a seconda del numero di anni che si sceglie di acquistare.  Alla scadenza, se l’utente decide di non rinnovarlo, SPID Professionale tornerà ad essere uno SPID Personale di Tipo 1. Il prezzo annuale per lo SPID Professionale Namirial è di 35,00 euro, mentre per due anni il prezzo è di 70,00 € + IVA.

Questo servizio può essere acquistato sia da chi è già in possesso di uno SPID Personale Namirial, sia da chi non lo è, oppure ha uno SPID rilasciato da un altro Identity Provider: in tutti i casi la procedura di attivazione permette all’utente di attivare il proprio SPID Professionale (Video Identificazione inclusa nel prezzo) o di aggiornare uno SPID Personale attivato in precedenza con Namirial.

– «Non hai ancora attivato lo SPID Namirial? Scopri come attivarlo velocemente ed in pochi passaggi»

Investimenti sostenibili 4.0: che cos’è e a chi è rivolto

Investimenti sostenibili 4.0: che cos'è e a chi è rivolto

Che cos’è investimenti sostenibili 4.0?

Investimenti sostenibili 4.0 è la misura a sostegno di nuovi investimenti imprenditoriali innovativi e sostenibili che intende favorire la trasformazione tecnologica e digitale delle imprese, con un duplice obiettivo: superare le difficoltà causate dall’emergenza Covid e indirizzare la ripresa degli investimenti verso ambiti considerati strategici per la competitività e la crescita sostenibile del sistema economico italiano.

La misura, istituita con il decreto ministeriale 10 febbraio 2022, si pone in continuità con gli interventi promossi dai bandi “Macchinari Innovativi” (decreti ministeriali del 9 marzo 2018 e del 30 ottobre 2019), rispetto ai quali presenta comunque significativi elementi di novità.

Cosa prevede la misura investimenti sostenibili?

Investimenti sostenibili 4.0 prevede la concessione e l’erogazione di agevolazioni a favore di programmi per la realizzazione di investimenti innovativi, sostenibili e con contenuto tecnologico elevato, coerente con il piano Transizione 4.0, proposti da micro, piccole e medie imprese, ovvero da tutte quelle realtà che costituiscono il tessuto PMI Italia.

Sarà data priorità alle proposte che offriranno un particolare contributo agli obiettivi di sostenibilità definiti dall’Unione europea, in particolare a quelle che:

  • Favoriranno la transizione dell’impresa verso il paradigma dell’economia circolare;
  • Miglioreranno la sostenibilità energetica dell’impresa, con il conseguimento di un risparmio energetico, all’interno dell’unità produttiva interessata dall’intervento, non inferiore al 10% rispetto ai consumi dell’anno precedente.

Che cosa finanzia investimenti sostenibili 4.0?

I programmi di investimento devono essere finalizzati allo svolgimento delle seguenti attività economiche:

  • Attività manifatturiere;
  • Servizi alle imprese.

Sono ritenute ammissibili le seguenti tipologie di spesa:

  1.  Macchinari, impianti e attrezzature;
  2. Opere murarie strettamente funzionali alla realizzazione degli investimenti in nuove tecnologie, nei limiti del 40% delle spese ammissibili;
  3. Programmi informatici e licenze correlati all’utilizzo dei beni materiali di cui al punto 1);
  4. Acquisizione di certificazioni di sistemi di gestione ambientali o di efficienza energetica.

Inoltre, per i progetti di investimento volti al miglioramento della sostenibilità energetica dell’impresa, sono ammesse le spese relative ai servizi di consulenza necessari alla definizione della diagnosi energetica, nei limiti del 3% dell’importo complessivo e a condizione che l’effettuazione della diagnosi non costituisca un adempimento obbligatorio per l’impresa ai sensi della normativa di riferimento.

Ai fini dell’ammissibilità alle agevolazioni, i programmi di investimento devono:

  • Prevedere l’utilizzo delle tecnologie abilitanti afferenti al piano Transizione 4.0. e l’ammontare di tali spese deve risultare preponderante rispetto al totale dei costi ammissibili del programma;
  • Essere diretti all’ampliamento della capacità alla diversificazione della produzione, funzionale a ottenere prodotti mai fabbricati in precedenza o al cambiamento fondamentale del processo di produzione di un’unità produttiva esistente ovvero alla realizzazione di una nuova unità produttiva;
  • Essere realizzati presso un’unità produttiva localizzata nel territorio nazionale;
  • Rispettare le seguenti soglie di importo delle spese ammissibili:
    • Nel caso di programmi di investimento da realizzare nelle Regioni Molise, Basilicata, Calabria, Campania, Puglia, Sicilia e Sardegna, spese ammissibili non inferiori complessivamente a 500 mila euro e non superiori a 3 milioni di euro e, comunque, all’80% del fatturato dell’ultimo bilancio approvato e depositato;
    • Nel caso di programmi di investimento da realizzare nelle Regioni Abruzzo, Emilia-Romagna, Friuli-Venezia Giulia, Lazio, Liguria, Lombardia, Marche, Piemonte, Toscana, Trentino Alto-Adige, Umbria, Valle d’Aosta e Veneto, spese ammissibili non inferiori complessivamente a un milione di euro e non superiori a 3 milioni di euro e, comunque, all’80% del fatturato dell’ultimo bilancio approvato e depositato;
  • Essere avviati successivamente alla presentazione della domanda;
  • Prevedere un termine di ultimazione non successivo a dodici mesi dalla data del provvedimento di concessione delle agevolazioni.

A chi si rivolge l’agevolazione?

Investimenti sostenibili 4.0 è l’incentivo rivolto alle PMI innovative ubicate su tutto il territorio nazionale che devono:

  • Essere regolarmente costituite, iscritte e «attive» nel registro delle imprese;
  • Essere nel pieno e libero esercizio dei propri diritti, non essere in liquidazione volontaria e non essere sottoposte a procedure concorsuali;
  • Non essere già in difficoltà al 31 dicembre 2019, fatte salve le deroghe previste per le micro e piccole imprese dalla disciplina in materia di aiuti di riferimento;
  • Trovarsi in regime di contabilità ordinaria e disporre di almeno due bilanci approvati e depositati presso il registro delle imprese ovvero aver presentato, nel caso di imprese individuali e società di persone, almeno due dichiarazioni dei redditi;
  • Essere in regola con le disposizioni vigenti in materia di normativa edilizia e urbanistica, del lavoro, della prevenzione degli infortuni e della salvaguardia dell’ambiente ed essere in regola in relazione agli obblighi contributivi;
  • Aver restituito somme dovute a seguito di provvedimenti di revoca di agevolazioni concesse dal Ministero;
  • Non aver effettuato, nei due anni precedenti la presentazione della domanda, una delocalizzazione verso l’unità produttiva oggetto dell’investimento;
  • Non trovarsi in una delle situazioni di esclusione previste dall’art. 5, comma 2, del DM 10 febbraio 2022.

Le direttive che regolano il Whistleblowing e il GDPR

Le direttive che regolano il Whistleblowing e il GDPR

Whistleblowing significato

Nell’Unione Europea tutti i dati devono essere trattati in conformità al Regolamento generale sulla protezione dei dati (GDPR) e i dati relativi al whistleblowing, istituto volto a disciplinare e tutelare la condotta del whistleblower, non fanno eccezione.

Il fenomeno del whistleblowing ha origine nei paesi in cui vige il sistema del common law ed è stato regolamentato a partire dalla fine dell’Ottocento con il False Claim Act, la legge volta ridurre le frodi da parte dei fornitori di munizioni e di materiale bellico durante la guerra di secessione. A partire dagli anni Ottanta del secolo scorso, la disciplina è stata integrata da altri interventi normativi come, ad esempio, il Whistleblower Protection Act.

Whistleblower cos’è e come funziona il processo di segnalazione

In inglese la parola whistleblowing letteralmente “soffiare nel fischietto” – fa riferimento alla rivelazione spontanea da parte di un individuo, che prende il nome di whistleblower -colui che “soffia nel fischietto” -, di un illecito o di un’irregolarità, potenzialmente dannosi per la collettività e di cui si trova ad essere testimone, commessa all’interno dell’organizzazione o dell’azienda pubblica o privata per cui lavora. 

La figura whistleblower è stata elaborata negli Stati Uniti d’America e alcuni ritengono che la nozione richiami la figura dell’arbitro che “soffia” il fischietto per segnalare un “fallo”: un’immagine accostata a quella del dipendente che denuncia un illecito. Il segnalante o segnalatore, quindi, è spesso un dipendente, tuttavia può essere anche una terza parte, come un fornitore, un consulente o un cliente. 

Esistono due tipi di segnalazioni whistleblowing:

  1. Interne: quando la segnalazione viene fatta attraverso i canali interni all’azienda dai dipendenti o dalle terze parti di un’organizzazione, pubblica o privata, testimoni nell’esercizio delle proprie funzioni di condotte illecite o fraudolente;
  2. Esterne: quando la segnalazione viene fatta all’autorità giudiziaria, ai media o alle associazioni ed enti competenti. Chi si avvale di questa pratica, in genere, lo fa per mancata fiducia nei confronti della propria azienda perché quest’ultima non garantisce un sistema di protezione e tutela per il whistleblower.

Ricapitolando, il segnalatore di illeciti è quel soggetto che, solitamente nel corso della propria attività lavorativa, scopre e denuncia fatti che causano o potrebbero causare un danno all’organizzazione pubblica o privata in cui lavora oppure ai soggetti che con questa si relazionano, come clienti, consumatori e azionisti. Grazie all’attività dei whistleblower è possibile prevenire pericoli, ad esempio quelli legati alle truffe o alla salute, e informare i potenziali soggetti a rischio prima che si verifichi il danno effettivo. 

L’attività di whistleblowing, se radicata a tutti i livelli dell’azienda e opportunamente tutelata, favorisce una libera comunicazione all’interno dell’organizzazione, sia essa pubblica o privata, una maggiore partecipazione al suo progresso e una corretta implementazione del sistema di controllo interno. 

Per gestire al meglio questo importante strumento di compliance aziendale è necessario che il sistema di whistleblowing sia:

  • Facilmente accessibile e utilizzabile;
  • Assicuri la tutela di ogni segnalante;
  • Garantisca il monitoraggio e la gestione delle segnalazioni;
  • Preveda interventi rapidi a fronte di una segnalazione.

Esempi di whistleblower

Per semplificare un concetto che può risultare astratto, ricorriamo a due esempi che ci aiutano a comprendere chi è e che cosa fa esattamente un whistleblower.

Il segnalante può essere un dipendente dell’ufficio contabilità di un’azienda che si accorge di un buco nel bilancio oppure, come nel caso del banchiere britannico Howard Wilkinson, del riciclaggio di denaro. E ancora, il whistleblower può essere anche il ricercatore di una casa farmaceutica venuto a conoscenza del fatto che il farmaco che sta per essere lanciato sul mercato non ha superato tutti i test di controllo e quindi può avere effetti collaterali pericolosi. 

Si tratta naturalmente di esempi generici che possono moltiplicarsi e differenziarsi in base agli ambiti lavorativi e ai tipi di comportamenti illeciti. Altre segnalazioni di presunti illeciti possono infatti riguardare tangenti, spionaggio aziendale, furti, abusi di potere o falsificazione di documenti.

L’ordinamento italiano tutela i dipendenti che segnalino illeciti di cui siano venuti a conoscenza nell’esercizio delle loro funzioni. La tutela dei lavoratori che segnalano irregolarità è realizzata, in particolare, attraverso la disciplina introdotta dall’art. 54-bis del dlgs n. 165 del 2001, inserito dall’art. 1, comma 51, L. 6 novembre 2012, n. 190 e modificato dall’art. 31, comma 1, D.L. 24 giugno 2014, n. 90, convertito, con modificazioni, dalla L. 11 agosto 2014, n. 114, come oggi vigente a seguito delle modifiche sostanziali apportate dall’art. 1, comma 1, L. 30 novembre 2017, n. 179 (fonte: Ministero della Giustizia).

La normativa europea sul whistleblowing

La Direttiva Europea sul whistleblowing è entrata in vigore il 16 dicembre 2019, con l’obiettivo di fornire ai segnalanti pari tutele in tutti gli Stati membri, armonizzate tra i vari settori, introducendo regole comuni che impongono l’adozione di canali di segnalazione riservati, sicuri e che garantiscono una protezione efficace, oltre a misure di tutela in caso di possibili ritorsioni.

La Direttiva UE 2019/1937 riguarda tutte le imprese, sia pubbliche che private, e le organizzazioni governative con 50 o più dipendenti. Si applica anche alle autorità locali e ai comuni con più di 10.000 abitanti. Questi enti devono fornire ai dipendenti un modo per segnalare gli illeciti e disporre di sistemi per monitorare e agire in base alle segnalazioni presentate. 

Ogni organizzazione deve inoltre adottare misure per proteggere l’identità degli informatori e rispettare il GDPR per garantire che il segnalante non subisca alcuna recriminazione per le segnalazioni fatte in buona fede.

Quello degli appalti è uno dei campi chiave della governance pubblica in cui è particolarmente importante implementare il sistema whistleblowing. Questo perché, con le ingenti somme di denaro che ruotano nel settore, la corruzione può sfruttare numerose opportunità per manifestarsi. Basti pensare che, secondo le stime, la corruzione costa ai contribuenti dell’Unione fino a 120 miliardi di euro all’anno, circa l’1% del PIL dell’UE. Questo, a sua volta, può far lievitare il costo degli appalti pubblici fino al 15%. 

Se gli Stati membri adottano misure di protezione solide per gli informatori, è probabile che un maggior numero di addetti ai lavori si senta sicuro nel fornire informazioni che possono contribuire a ridurre i livelli di corruzione e a risparmiare denaro nei 27 Paesi.

La Direttiva protegge chiunque abbia rapporti professionali con l’organizzazione e quindi include:

  • Dipendenti;
  • Lavoratori freelance;
  • Appaltatori;
  • Subappaltatori;
  • Fornitori;
  • Azionisti;
  • Persone che ricoprono ruoli dirigenziali;
  • Persone con cui il rapporto di lavoro è terminato (quindi ex dipendenti);
  • Candidati in vista di assunzione;
  • Volontari e tirocinanti, retribuiti o non retribuiti.

Quali tutele offre la Direttiva Europea sul whistleblowing?

L’articolo 19 della direttiva elenca le tutele contro le azioni di ritorsione da parte di organizzazioni o individui interessati. La direttiva protegge sia segnalanti, sia le loro famiglie e i colleghi che li hanno supportati nella segnalazione.

Gli Stati membri devono adottare le misure necessarie per vietare qualsiasi forma di ritorsione, comprese minacce e tentativi di ritorsione, inclusi in particolare:

  • Il licenziamento, la sospensione o misure equivalenti;
  • La retrocessione di grado o la mancata promozione;
  • Il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro;
  • La sospensione della formazione;
  • Note di merito o referenze negative;
  • L’imposizione o amministrazione di misure disciplinari, la nota di biasimo o altra sanzione, anche pecuniaria;
  • La coercizione, l’intimidazione, le molestie o l’ostracismo;
  • La discriminazione, il trattamento svantaggioso o iniquo;
  • La mancata conversione di un contratto di lavoro a termine in un contratto di lavoro permanente, laddove il lavoratore avesse legittime aspettative di vedersi offrire un impiego permanente;
  • Il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
  • Danni, anche alla reputazione della persona, in particolare sui social media, o la perdita finanziaria, comprese la perdita di opportunità economiche e la perdita di reddito;
  • L’inserimento nelle liste nere sulla base di un accordo settoriale o industriale formale o informale, che possono comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;
  • La conclusione anticipata o l’annullamento del contratto per beni o servizi;
  • L’annullamento di una licenza o di un permesso;
  • La sottoposizione ad accertamenti psichiatrici o medici.
  •  

Inoltre, la direttiva garantisce che il whistleblower è tutelato anche se il suo contratto di lavoro, un accordo di non divulgazione, una clausola di riservatezza, un materiale protetto da copyright o qualsiasi altro documento stabilisce che è tenuto al silenzio.

L’articolo 20, invece, descrive nel dettaglio le misure di sostegno disponibili per gli informatori. Tra queste, la fornitura di informazioni gratuite e complete sui loro diritti, l’assistenza legale per combattere le ritorsioni, l’assistenza finanziaria e l’accesso al supporto psicologico. Questa protezione viene fornita dal momento in cui l’informatore si fa avanti e fa la sua segnalazione, sia che lo faccia internamente all’organizzazione, sia che lo faccia esternamente alle autorità o attraverso canali pubblici come i media.

Come fare una DPIA e quando è obbligatoria

Come fare una DPIA e quando è obbligatoria

Che cos’è la DPIA?

Ai sensi del Regolamento generale sulla protezione dei dati dell’UE (GDPR), la DPIAData Protection Impact Assessments, (in italiano, “valutazione di impatto sulla protezione dei dati”) è obbligatoria per il trattamento dei dati che possono comportare un rischio elevato per i diritti e le libertà degli interessati. L’ambito di applicazione si estende a tutte le organizzazioni che conservano o elaborano i dati dei residenti nell’Unione Europea (UE). 

Nel dettaglio, la valutazione di impatto privacy è una procedura prevista dall’articolo 35 del Regolamento 2016/679 e può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. L’assenza di una DPIA adeguata, ove richiesta, costituisce una violazione del GDPR e comporta una sanzione amministrativa pari a un massimo di 10 milioni di euro oppure, se si tratta di un’impresa, pari al 2% del fatturato annuo globale. 

La DPIA aiuta a valutare e mitigare i possibili rischi legati alla privacy dei dati personali oggetto delle attività di trattamento ed è particolarmente rilevante quando si implementa un nuovo processo, un nuovo sistema o una nuova tecnologia di gestione delle informazioni. In altre parole, una valutazione di impatto serve a garantire che i dati privati e sensibili delle persone rimangano al sicuro e non vengano utilizzati in modo improprio.

Condurre una valutazione d’impatto sulla protezione dei dati è un compito complesso e impegnativo, ma è fondamentale farlo. Le preoccupazioni relative alla privacy dei dati, infatti, sono diventate un tema importante in tutti i settori, e per una buona ragione: i dati oggi sono più a rischio che mai. Basti pensare che secondo nel suo rapporto 2020 Q3 Data Breach QuickView, Risk Based Security ha rivelato che nei primi tre trimestri del 2020 sono stati esposti 36 miliardi di record di dati.

La DPIA, come evidenziato dal Garante della Privacy, è uno degli elementi di maggiore rilevanza del General Data Protection Regulation, perché mettono l’accento sulla responsabilizzazione (Accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del Regolamento 2016/679, ma anche a dimostrare adeguatamente in che modo garantiscono il rispetto delle prescrizioni del GDPR.

Quando è necessaria una DPIA?

La valutazione d’impatto sulla protezione dei dati richiesta in particolare nei casi seguenti:

  • Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • Il trattamento, su larga scala, di categorie particolari di dati personali (art. 9, paragrafo 1 del GDPR) o di dati relativi a condanne penali e a reati (art. 10);
  • La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quali sono i trattamenti che richiedono un DPIA? I 9 criteri da considerare

Al fine di fornire un insieme più chiaro di trattamenti che richiedono una valutazione d’impatto sulla protezione dei dati, in virtù del loro rischio elevato intrinseco, si devono considerare i nove criteri individuati dal Gruppo Articolo 29 (sostituito nel 2018 dall’European Data Protection Board-EDPB).

Vediamoli nel dettaglio:

1) Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione. Esempi che chiariscono questo primo criterio possono includere:

  • Un ente finanziario che esamina i suoi clienti rispetto a una banca dati di riferimento in materia di crediti oppure rispetto a una banca dati in materia di lotta contro il riciclaggio e il finanziamento del terrorismo (AML/CTF) oppure contenente informazioni sulle frodi;
  • Un’impresa di biotecnologie che offre test genetici direttamente ai consumatori per valutare e prevedere i rischi di malattia o per la salute. O ancora, un’impresa che crea profili comportamentali o per la commercializzazione basati sull’utilizzo del proprio sito web o sulla navigazione sullo stesso;

2) Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente. Ad esempio, il trattamento può portare all’esclusione o alla discriminazione nei confronti delle persone;

3) Monitoraggio sistematico, con riferimento a quel tipo di trattamento utilizzato per osservare, monitorare o controllare gli interessati;

4) Dati sensibili o dati aventi carattere altamente personale. Tale criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10. Un esempio potrebbe essere quello di un ospedale generale che conserva le cartelle cliniche dei pazienti oppure quello di un investigatore privato che conserva i dettagli dei trasgressori;

5) Trattamento di dati su larga scala. Per stabilire se un trattamento sia effettuato su larga scala bisogna tenere conto dei seguenti fattori:

  • Numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • Volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • Durata, ovvero la persistenza, dell’attività di trattamento;
  • Portata geografica dell’attività di trattamento; 

6) Creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse;

7) Dati relativi a interessati vulnerabili, come minori e le categorie più vulnerabili della popolazione (ad esempio: gli anziani);

8) Uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi;

9) Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Ciò include i trattamenti che mirano a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto. Un esempio di ciò è rappresentato dal caso in cui una banca esamina i suoi clienti rispetto a una banca dati di riferimento per il credito al fine di decidere se offrire loro un prestito o meno.

La Commissione europea specifica che la valutazione d’impatto deve essere eseguita prima del trattamento e va considerata come uno strumento vivo, non semplicemente come un esercizio una tantum. Laddove vi siano rischi residui che non possono essere mitigati dalle misure messe in atto, l’autorità di protezione dei dati deve essere consultata prima dell’inizio del trattamento.

Come va svolta una valutazione d’impatto sulla protezione dei dati?

La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento. Inoltre, potrebbe essere necessario ripetere singole fasi della valutazione man mano che il processo di sviluppo evolve, dato che la selezione di determinate misure tecniche od organizzative può influenzare la gravità o la probabilità dei rischi posti dal trattamento.

Al titolare del trattamento spetta assicurare che la DPIA venga eseguita. Tuttavia, la valutazione d’impatto sulla protezione dei dati può essere effettuata anche da un altro soggetto, all’interno o all’esterno dell’organizzazione, ma resta sempre in capo al titolare del trattamento la responsabilità ultima per tale compito.

La valutazione deve contenere almeno:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento UE, tenuto conto dei diritti e degli interessi e delle altre persone in questione.

La differenza tra Cyber Resilience e Cyber Security

La differenza tra Cyber Resilience e Cyber Security

Perché è importante avere una strategia di Cyber Resilience?

Oggi viviamo in un mondo guidato dalla tecnologia, con un numero crescente di aziende che si affida a sistemi e risorse digitali per fare in modo che il proprio business funzioni in maniera efficace ed efficiente. 

La trasformazione digitale comporta una ridefinizione dei processi di lavoro, che coinvolge l’intera organizzazione, e implica l’adozione di nuove tecnologie, come il cloud computing, l’intelligenza artificiale, l’Internet of Things (IoT) e la blockchain, che offrono nuove opportunità per ottimizzare prodotti e servizi, ma nascondono anche delle insidie che espongo le aziende a un maggior rischio informatico. È quindi fondamentale implementare misure di salvaguardia contro questo genere di pericoli.

Le minacce informatiche come l’hacking, il phishing, il ransomware e gli attacchi DDoS (Distributed Denial of Service) possono infatti causare enormi problemi alle aziende che si traducono non solo in gravi interruzioni di servizio e danni alla reputazione, ma anche in una possibile perdita dei dati personali che possono comportare multe salate da parte delle autorità.

Prendiamo ad esempio il caso della British Airways. Nel 2019, la compagnia aerea è stata multata per oltre 183 milioni di sterline dall’Information Commissioner’s Office (ICO) del Regno Unito dopo che i dati dei clienti sono stati compromessi in un attacco informatico. I dati dei clienti, tra cui nome, indirizzo, login e carta di pagamento, sono stati raccolti dagli hacker, per un totale di mezzo milione di clienti. La multa, che ammonta a circa l’1,5% del fatturato globale 2018 di British Airways, è stata la prima proposta dall’ICO in base al Regolamento generale sulla protezione dei dati (GDPR).

Cyberattacchi simili a questo sono sempre più numerosi, ma se per un’azienda di grandi dimensioni, come la British Airways, può essere più facile sostenere i costi di una multa così salata, per imprese di piccole e medie dimensioni gli effetti di un attacco informatico possono essere devastanti. Ecco perché, per rimanere operativi durante un evento del genere e reagire con tempestività, investire in cyber security e Cyber Resilience è fondamentale.

Cybersecurity e Cyber Resilience: sono la stessa cosa?

Sebbene cyber security e Cyber Resilience sono due termini che si riferiscono alla sicurezza informatica e incarnano l’obiettivo di salvaguardare i sistemi dagli attacchi informatici, non sono esattamente la stessa cosa.

Una definizione semplificata dei due termini descriverebbe la cyber security come un insieme di tecnologie e azioni intraprese con l’obiettivo di mitigare i rischi per la sicurezza, mentre la resilienza informatica si riferisce alla capacità dell’organizzazione di recuperare i dati, evitare l’interruzione del servizio e mitigare i danni complessivi, garantendo al contempo una ripresa efficace da eventi informatici avversi.

In altre parole, la cyber security descrive la capacità di un’azienda di proteggersi ed evitare la crescente minaccia della criminalità informatica, mentre la resilienza informatica, invece, si riferisce alla capacità di un’azienda di mitigare i danni ai sistemi, ai processi e alla reputazione, e di portare avanti le attività. La resilienza informatica copre sia le minacce esterne, sia quelle interne, come il semplice errore umano.

La differenza sostanziale tra questi due elementi sta nel fatto che per quanto si possano investire tempo e risorse nelle attività di cybersecurity può sempre esserci una vulnerabilità non controllata. La attività di Cyber Resilience si pongono l’obiettivo di mettere le imprese nelle condizioni di superare eventuali insufficienze e risollevarsi se una minaccia informatica elude i controlli di sicurezza.

Cyber Security e Cyber Resilience sono quindi diverse tra loro ma strettamente collegate. Se la sicurezza informatica è un aspetto fondamentale della resilienza informatica, pianificare la struttura di un piano di resilienza è le base della sicurezza informatica. 

Quali sono i principi della Cyber Resilience?

Una strategia di Cyber Resilience efficace si fonda su alcuni principi fondamentali:

  • Identificazione: conoscere i rischi e le minacce informatiche in modo da essere preparati a rispondere;
  • Preparazione: avere una chiara visione dell’infrastruttura e dei processi di cyber security e assicurarsi che le soluzioni tecnologiche implementate possano resistere a tentativi di attacco informatico;
  • Risposta: per saper reagire in modo tempestivo e con efficacia a un cyber attacco è importante pianificare le azioni da intraprendere e sapere quali tecniche utilizzare per affrontare la situazione in modo adeguato e, contemporaneamente, proteggere i sistemi aziendali al fine di garantire la continuazione delle attività;
  • Ripresa: è fondamentale sapere come riprendere le attività nel minor tempo possibile dopo un cyber attacco per ridurre al minimo l’impatto complessivo sull’organizzazione.

Le fasi di resilienza informatica variano da un’azienda all’altra, ma un buon punto di partenza è capire dove gli eventi e gli incidenti informatici potrebbero avere le conseguenze più dannose sull’azienda. L’ideale è stilare un elenco delle attività ad alto rischio e da qui individuare i sistemi più vulnerabili per capire in che modo la continuità del servizio potrebbe essere compromessa. 

È in questa fase che il concetto di digital twin può svolgere un ruolo importante. Un gemello digitale consente di capire quale potrebbe essere l’impatto di un cyber attacco sulla produzione e sull’efficienza complessiva. Questo può aiutare le aziende ad adottare un approccio più mirato, prendendo le giuste decisioni in merito alle azioni da intraprendere per prevenire e rispondere agli attacchi informatici.

Dopo aver compreso come potrebbero essere colpite le funzioni principali, la Cyber Resilience prevede l’adozione di misure per mitigare al meglio i danni in caso di attacco. Ad esempio, si possono sviluppare processi di emergenza offline per mantenere in funzione le attività essenziali, come il servizio clienti e il controllo qualità, fino a quando non sarà possibile risolvere la falla.

Cosa deve prevedere un piano di resilienza informatica?

Per preparare un piano di Cyber Resilience, è necessario prendere in considerazione diversi aspetti:

  • Cosa occorre fare in caso di guasto o violazione;
  • Chi è responsabile dell’adozione di tali misure;
  • Come comunicare l’incidente alle parti interessate;
  • Come segnalare i guasti alle autorità di regolamentazione;
  • Come ripristinare la normale operatività nel più breve tempo possibile;
  • Come recuperare i dati.

In definitiva, la resilienza informatica si traduce in una maggiore consapevolezza delle vulnerabilità, in un’adeguata preparazione a cyber attacchi e in una rapida risoluzione dei problemi nel caso si verifichino. 

Tutto quello che devi sapere sulla fatturazione elettronica nel Decreto Milleproroghe  

Tutto quello che devi sapere sulla fatturazione elettronica nel Decreto Milleproroghe  

Che cos’è il decreto Milleproroghe?

Con l’approvazione da parte del Consiglio dei Ministri del decreto Milleproroghe, contenente disposizioni urgenti in materia di termini legislativi, sono state introdotte delle novità nell’ambito della fatturazione elettronica e sulla trasmissione telematica dei corrispettivi al sistema Tessera Sanitaria (TS) da parte degli operati sanitari.

Prima di vedere in che cosa consistono le modifiche, vediamo che cosa si intende con l’espressione decreto Milleproroghe. Nel lessico politico-giornalistico italiano, si fa riferimento a un decreto legge volto a risolvere disposizioni urgenti entro la fine dell’anno in corso. Ciò implica, ad esempio, la proroga dell’entrata in vigore di una legge prossima alla scadenza. In altre parole, lo scopo principale del provvedimento è prorogare scadenze di legge vicine al termine. Tale strumento è nato come misura eccezionale, ma è stato riproposto annualmente a partire dal 2005 al 2015 e nuovamente dal 2018.

Inoltre, molto spesso il decreto Milleproroghe include misure che il governo non è riuscito a inserire nella Legge di Bilancio di fine anno, che deve essere approvata entro il 31 dicembre per non rischiare il ricorso all’esercizio provvisorio. 

Decreto Milleproroghe 2022: quali sono le novità per la fatturazione elettronica?

Il decreto Milleproroghe 2022 contiene la proroga dell’introduzione dell’obbligo di trasmissione dei corrispettivi mediante sistema TS per le prestazioni sanitarie.

Dal 1° gennaio 2023, infatti, doveva scattare l’obbligo di fattura elettronica delle prestazioni sanitarie, ma con il Milleproroghe tutto è rimandato al 1° gennaio 2024. Quindi, con la proroga dell’esonero, i medici e tutti gli operatori del settore restano fuori dall’obbligo per un altro anno.

Dunque, per effetto delle novità contenute nel provvedimento, fino al 31.12.2023, i soggetti tenuti all’invio dei dati al Sistema Tessera Sanitaria ai fini dell’elaborazione della dichiarazione dei redditi precompilata, non possono emettere fatture elettroniche ai sensi delle disposizioni di cui all’art. 1, c. 3 D.Lgs. 5.08.2015, n. 127, con riferimento alle fatture i cui dati devono essere inviati attraverso il suddetto sistema.

In particolare, non potranno emettere fatture elettroniche tramite SdI (Sistema di Interscambio):

  • Gli operatori sanitari che inviano al Sistema Tessera Sanitaria, i dati di spesa sostenuti dai propri clienti nel corso dell’anno (ad esempio: gli ottici), ex art 10-bis del 119/2018;
  • Gli operatori sanitari che non sono tenuti ad inviare le informazioni sulle spese sanitarie al Sistema TS ma che assistono” privati, ex art.9-bis comma 2 DL 135/2018 (ad esempio: le cosiddette sanitarie o officine ortopediche qualora non siano autorizzate ai sensi dell’art. 8-ter del Decreto Legislativo n. 502 del 30 dicembre 1992).

Tali soggetti dovranno continuare ad emettere le fatture in formato cartaceo e a trasmettere i dati al Sistema TS secondo le ordinarie modalità.

Alla base dell’estensione del divieto di fatturazione elettronica nel settore sanitario ci sono le esigenze di tutela e riservatezza dei dati personali dei cittadini. Infatti, l’obbligo generalizzato di emissione di fattura elettronica, introdotto nel 2019, non è mai stato operativo per la fatturazione delle prestazioni sanitarie, in virtù del regime di esonero a tutela della privacy dei pazienti previsto dall’articolo 10-bis del DL 23 ottobre 2018, n. 199.

L’esclusione delle professioni sanitarie dall’obbligo di emettere fattura elettronica era stata introdotta nel 2018, con riferimento agli anni di imposta 2019/2020/2021, proprio a seguito delle criticità evidenziate dal Garante della Protezione dei dati personali in merito alla comunicazione dei dati dei cittadini in materia di salute.

Invio corrispettivi telematici al Sistema Tessera Sanitaria

Il decreto Milleproroghe ha inoltre previsto la possibilità per le strutture sanitarie pubbliche o private accreditate o convenzionate con il Servizio Sanitario Nazionale di utilizzare la fatturazione elettronica per le prestazioni sanitarie erogate nei confronti di soggetti privati a partire dal 1° gennaio 2024, a condizione che le prestazioni siano pagate mediante carte di credito, bancomat o altri strumenti di pagamento elettronici.

Quindi, a decorrere dal 1° gennaio 2024, i soggetti tenuti all’invio dei dati al Sistema Tessera Sanitaria dovranno adempiere all’obbligo di memorizzazione elettronica e trasmissione telematica all’Agenzia delle entrate dei dati relativi ai corrispettivi giornalieri esclusivamente mediante l’invio degli stessi al Sistema TS, utilizzando strumenti tecnologici che garantiscono l’inalterabilità e la sicurezza dei dati, ossia i registratori telematici

Decreto milleproroghe 2022 quando entra in vigore? Il decreto è stato pubblicato sulla Gazzetta Ufficiale Serie Generale n. 303 del 29.12.2022 ed è entrato in vigore il giorno successivo alla pubblicazione.

 

1...151617...39Pagina 16 di 39

Scelti dalla Redazione

Segui Namirial sui social

Trustpilot

Policy e Condizioni

© Namirial S.p.A. - C.F. e iscriz. al Reg. Impr. Ancona N. 02046570426 - REA N. AN157295 - Codice destinatario T04ZHR3 - Capitale sociale Euro 8.251.298,70 i.v.