Bisogna firmare la fattura elettronica? Per il singolo professionista e in genere per la piccola realtà poco strutturata, la firma elettronica della fattura è di fatto un obbligo di legge. Il fatto che il Sistema di Interscambio non imponga la firma nel B2B non tragga in inganno. Se non si adotta un sistema alternativo per la garanzia di autenticità ed integrità la fattura elettronica deve essere firmata. Un’occorrenza che merita di essere approfondita dal punto di vista normativo e pratico.
La normativa UE e la circolare dell’Agenzia delle entrate
La legge n. 228/2012 (legge di stabilità 2013) in recepimento della direttiva 2010/45/UE è intervenuta sull’art. 21 del DPR 633/1972 innovandone il comma 3, con particolare riferimento alla garanzia di autenticità ed integrità/immodificabilità della fattura elettronica (quarto periodo): «Il soggetto passivo assicura l’autenticità dell’origine, l’integrità del contenuto e la leggibilità della fattura dal momento della sua emissione fino al termine del suo periodo di conservazione; autenticità dell’origine ed integrità del contenuto possono essere garantite mediante sistemi di controllo di gestione che assicurino un collegamento affidabile tra la fattura e la cessione di beni o la prestazione di servizi ad essa riferibile, ovvero mediante l’apposizione della firma elettronica qualificata o digitale dell’emittente o mediante sistemi EDI di trasmissione elettronica dei dati o altre tecnologie in grado di garantire l’autenticità dell’origine e l’integrità dei dati.»
Si tratta di un passo particolarmente importante, ma spesso sottovalutato da soggetti IVA e consulenti. In sostanza la normativa IVA (italiana e comunitaria) prescrive che chi emette la fattura deve adottare un sistema che
- garantisca l’identità del cedente / prestatore di servizi / terzo emittente della fattura (autenticità dell’origine);
- assicuri che il contenuto della fattura non sia stato alterato (integrità del contenuto).
La circolare 18/E/2014, con cui l’Agenzia delle Entrate illustra le modifiche alla normativa IVA in recepimento della direttiva 2010/45/UE, evidenzia da subito la novità dal punto di vista soggettivo: mentre il testo previgente dell’art. 21, richiedeva, in maniera impersonale, che la fattura elettronica fosse firmata e marcata temporalmente o trasmessa mediante sistemi EDI, il nuovo testo «…invece rimette al soggetto emittente l’utilizzo della tecnologia ritenuta più idonea a garantire i requisiti di autenticità e integrità…». I metodi per garantire l’autenticità e l’integrità della fattura sono invece elencati a mero titolo esemplificativo:
- i “sistemi di controllo di gestione” che assicurino un collegamento affidabile tra la fattura e la cessione di beni o la prestazione di servizi ad essa riferibile;
- la firma elettronica qualificata o digitale dell’emittente;
- i sistemi EDI (Electronic Data Interchange) di trasmissione elettronica dei dati;
- le altre tecnologie non specificate, lasciate alla discrezionalità del soggetto passivo.
I Sistemi EDI di trasmissione dati sono sistemi adottati da anni nelle filiere di alcune grandi aziende ma non facilmente replicabili su larga scala. Si tratta in sostanza di sistemi di scambio di dati di fatturazione e gestionali, che però riguardano esclusivamente le forniture tra due soggetti coinvolti e non necessariamente l’intera fatturazione attiva e passiva di un’impresa. Quindi se da un lato è possibile, rispettando determinati requisiti, che sulle forniture interessate da EDI siano effettivamente garantite autenticità ed integrità, la restante parte dell’attività aziendale ne resterebbe scoperta.
Che cos’è il controllo di gestione ai fini IVA
Per definire meglio il «controllo di gestione», dobbiamo risalire alla normativa originaria; in particolare il considerando 10 della direttiva 2010/45/UE recita:
«Le fatture devono corrispondere a cessioni o prestazioni realmente effettuate e occorre assicurarne l’autenticità, integrità e leggibilità. I controlli di gestione possono essere utilizzati per creare piste di controllo affidabili tra fatture e cessioni o prestazioni, assicurando in tal modo che qualsiasi fattura (sia essa cartacea o elettronica) soddisfi tali requisiti.» Se il testo italiano può dar luogo a qualche difficoltà interpretativa (il controllo di gestione tradizionalmente inteso tipicamente si concentra più su aspetti numerici che procedurali), il testo inglese (lingua tipicamente utilizzata anche nell’organizzazione aziendale) ci aiuta a chiarire maggiormente la parte in grassetto: «Business controls can be used to establish reliable audit trails linking invoices and supplies…».
In sostanza il “controllo di gestione” di cui all’art. 21 del dpr 633 e circ. 18/E/2014 non è il controllo di gestione tipico della letteratura aziendale (tipicamente assimilato al “performance audit”) ma un sistema di procedure gestionali atte a creare collegamenti affidabili tra fatture e forniture basate sul tracciare cronologicamente gli eventi gestionali. Personalmente ritengo che la traduzione “controllo di gestione” sia fuorviante e che sarebbe stato più corretto far riferimento al “sistema dei controlli interni” come inteso dalla letteratura aziendalistica.
Come si realizza il controllo di gestione
La circ. 18/E/2014 ci viene in soccorso e ci illustra come, secondo l’Agenzia delle Entrate, debba essere realizzato il controllo di gestione (ovvero il “sistema di controlli interni”) affinché siano garantite autenticità dell’origine ed integrità del contenuto:
- Strutturando un «percorso che documenta, passo per passo, la storia di un’operazione dal suo inizio, rappresentato dal documento originario (ad esempio, un ordine d’acquisto), fino al suo completamento (che può essere, ad esempio, la registrazione finale nei conti annuali), permettendo così di creare un collegamento logico tra i vari documenti di un processo.»
- La realizzazione di un simile percorso permette di ricostruire in qualunque momento l’oggetto dell’operazione certificata dalla fattura, garantendone l’integrità.
Per creare il percorso affidabile («reliable audit trails») che garantisce l’integrità servono:
- i documenti originali (ordine d’acquisto, contratti, corrispondenza, ddt, collaudo, SAL, documentazione bancaria, etc.);
- la lista delle operazioni eseguite (eventualmente supportata da documentazione interna, quale ad esempio “la distinta base”);
- i collegamenti tra le varie operazioni e i documenti.
La circolare cita espressamente il fatto che, a testimonianza dell’integrità del sistema, devono esistere riscontri provenienti da soggetti indipendenti, citando quale esempio gli estremi del pagamento riscontrabili dall’estratto conto bancario (ma potrebbe essere documentazione relativa al trasporto o altre evidenze che coinvolgano soggetti diversi ed indipendenti dalle due controparti). La circ. 18/E/2014 evidenzia quale esempio di sistema di controllo di gestione a norma quello che prevede:
- un ERP che integri tutti i processi di business rilevanti (vendite, acquisti, magazzino, contabilità) che acquisisca e mantenga i diversi documenti prodotti ed i relativi riferimenti incrociati;
- un registro di controllo delle modifiche apportate ai documenti;
- un registro di controllo delle modifiche apportate ai dati di business;
- un registro di controllo delle attività svolte dall’ERP, come ad esempio l’abbinamento di un ordine di acquisto ad una fattura.
Dovrà sempre restare memorizzata ed accessibile non solo la fattura, ma anche tutta la documentazione che ne garantisce l’autenticità e l’integrità:
- le registrazioni di business interne create durante il processo di fatturazione: contratti, ordini ai fornitori, DDT di vendita, avviso di spedizione merce ai clienti, notifica di ricezione ai fornitori;
- documentazione esterna ricevuta durante il processo di fatturazione: ordini dei clienti, DDT di acquisto, avviso di spedizione merce dai fornitori, notifica di ricezione merce dai clienti, documentazione bancaria;
- dati principali di business storicizzati;
- prove dei controlli effettuati per verificare la qualità dei dati.
Al riguardo, la circ. 18/E/2014 non cita espressamente l’obbligo di conservazione a norma di documenti digitali o digitalizzati, ma ciò perché in linea teorica non è obbligatorio che il sistema di “controllo di gestione” sia realizzato mediante strumenti informatici. È però vero che tutti gli esempi posti dalla circolare parlano di “ERP” (Enterprise Resource Planning, ovvero un sistema informatico evoluto che integri tutti i processi di business) ed in effetti anche noi riteniamo che l’unico modo di realizzare efficacemente un simile sistema, i cui effetti positivi si dovranno propagare al sistema di controlli interni propriamente detti, sia tramite un pervasivo utilizzo di moderne tecnologie e soluzioni gestionali che includano conservazione a norma, firma elettronica e altri strumenti di informatica giuridica atti a garantire in ogni momento la validità civilistica e fiscale della documentazione e dei processi di business gestiti dall’impresa.
Considerazioni finali
Inutile girarci attorno: per singoli professionisti e piccole realtà, la firma della fattura è un obbligo. La compliance, non solo fiscale, sta sempre di più trasformandosi da buona pratica aziendale ad obbligo di legge. Si tratta di un processo iniziato con il D Lgs. 231/2001 e che ha probabilmente raggiunto il suo apice con la pubblicazione del nuovo Codice della crisi d’impresa e dell’insolvenza che ha introdotto notevoli obblighi in materia di adeguatezza dell’assetto organizzativo per le società e gravato di nuove e rilevanti responsabilità amministratori e organi di controllo (sindaci e revisori) anche per piccole imprese.
La sfida per gli imprenditori e per i loro consulenti sarà di non fare della compliance un aggravio di costi ed adempimenti ma gestire e riorganizzare i processi aziendali affinché alle necessarie caratteristiche di controllo e sicurezza si abbinino anche efficacia ed efficienza. Solo così possiamo vincere la sfida dell’innovazione nei processi amministrativi.