Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

minacce e tutele

La sicurezza della fatturazione elettronica: come proteggersi dai rischi

Il sistema di fattura elettronica presenta possibili rischi per la sicurezza. In particolare, sono diversi i punti d’accesso alle informazioni, dallo SDI al database dove le fatture vengono conservate, con il pericolo di fenomeni quali cybercrime, cyberwarfare, spionaggio e sabotaggio. Obbligatorio dunque fare prevenzione

31 Gen 2019

Pierguido Iezzi

Swascan Cybersecurity Strategy Director & Co Founder


L’introduzione dell’obbligo di fattura elettronica è un evento che, per portata, è paragonabile all’entrata in vigore del GDPR l’anno scorso. Il sistema di fatturazione digitale permette di emettere, trasmettere e conservare le fatture. Digitalizzando un processo così imponente, le conseguenze relative alla sicurezza sono piuttosto ovvie: bisogna garantire una protezione massima alle informazioni immesse nel sistema. Tuttavia, in questo caso, essendo coinvolte anche le aziende singole (e addirittura i privati), il sistema centrale non sarebbe l’unico punto di accesso alle informazioni.

Lo scopo della fatturazione elettronica

Per fattura digitale, stando alla definizione originale data dall’Agenzia delle Entrate nel decreto numero 89757, si intende:

“un documento informatico, in formato strutturato, trasmesso per via telematica al Sistema di Interscambio […] e da questo recapitato al soggetto ricevente”.

Risulta evidente come, per poter capire al meglio la definizione di fattura elettronica sia necessario introdurre un altro concetto: quello di SDI (Sistema Di Interscambio). Lo SDI si può descrivere come una piattaforma che ha il triplice scopo di ricevere le FE conformemente a quanto stabilito dalle leggi in materia di fatturazione elettronica, verificare che le FE siano in linea con gli standard richiesti, eventualmente convalidare le fatture in linea e destinarle all’ente o persona preposta a riceverla.

Con la scelta di adottare questo modello di fatturazione comune a tutti i paesi membri dell’Unione europea, l’Italia ha scelto di adattarsi agli standard dettati dal contesto europeo. Inoltre, ci sono degli obiettivi (non così secondari) che è possibile raggiungere attraverso l’implementazione di questo nuovo sistema di fatturazione digitale. Il primo, e senza dubbio primario in termini di importanza, è quello di limitare l’evasione fiscale e le frodi. Il secondo, non comunque da sottovalutare soprattutto per quanto riguarda l’impatto in prospettiva, è quello di digitalizzare un processo complesso come quello della fatturazione aiutando l’intero sistema paese.

Fatturazione elettronica e supply chain

Le problematiche di sicurezza legate alla fatturazione elettronica sono del tutto assimilabili a quelle della supply chain. I punti di accesso sono svariati (il sistema centrale di interscambio, il database dove sono storicizzate le fatture elettroniche e anche le singole aziende) e proteggerli tutti adeguatamente è molto difficile – se non impossibile (ogni azienda dovrebbe essere protetta).

A tutto questo si aggiunge un ulteriore punto di accesso: le terze parti. Com’è possibile? L’introduzione del sistema di fatturazione elettronica ha portato con sé una ventata di cambiamento anche sul mercato. Sono nati, infatti, i software per la fatturazione elettronica. Attraverso questi strumenti – previsti dalla normativa – un’azienda può, per esempio, conservare le fatture elettroniche (se decide di non usare lo strumento gratuito messo a disposizione dall’Agenzia delle Entrate).

La conservazione digitale, stando all’articolo 9 del DPCM del 3 dicembre 2013, è obbligatoria ed essendoci la possibilità che sia una terza parte a svolgere questa funzione, alla nostra precedente lista si aggiunge un punto di accesso. La conservazione delle fatture elettroniche deve avvenire – similmente alla conservazione dei dati relativa al GDPR – garantendone:

  • immodificabilità;
  • leggibilità;
  • autenticità;
  • integrità.

I rischi per la sicurezza legati alla fatturazione elettronica

I paragrafi precedenti hanno evidenziato come i punti di accesso siano molteplici lungo tutto il percorso di fatturazione elettronica. Questo vuol dire che le vulnerabilità, all’interno del sistema, possono annidarsi pressoché ovunque. Ma quali sono i rischi concreti legati all’intero sistema di fatturazione elettronica e per quali motivi dovremmo temere circa la sicurezza del sistema?

Analizziamo le possibili minacce legate a questo scenario di insicurezza:

  • Cyberwarfare: la guerra a livello informatico – così come sta avvenendo per quella vera e propria – non conosce alcun confine. Fare supposizioni limitate ai confini statali quando si parla di minacce di guerra cyber è ridicolo. Ma com’è possibile che questo tipo di minaccia sia legato al sistema di fatturazione elettronica? Per immaginarlo è sufficiente pensare: cosa succederebbe se l’intero sistema di fatturazione elettronica fosse in tilt a causa di un attacco informatico ben congegnato? La ovvia risposta è: sarebbe un disastro di dimensioni potenzialmente incalcolabili: l’economia di un intero paese sarebbe messa in serio pericolo. Questo vuol dire che ogni paese che il sistema di fatturazione elettronica deve corrispondere ad un’infrastruttura critica per il paese. Per infrastruttura critica per il paese si intende quell’elemento (può trattarsi di un processo, un sistema o una risorsa o un mix di questi elementi) la cui interruzione di funzionamento – benché parziali – arrecano danni significativi all’intero sistema nazione e alla sua efficienza. Anche solo pensare ad un simile evento nel nostro paese: quali sarebbero i danni che ne conseguono?
  • Cybercrime: il rischio di cybercrime si estende – e non potrebbe essere altrimenti – anche al sistema di fatturazione elettronica. I criminal hacker effettuano attacchi informatici quotidiani ad aziende e privati con le tecniche di ingegneria sociale, commettendo frodi e rubando identità, attraverso il phishing o introducendo malware. Tutte queste minacce devono essere traslate anche sul sistema di fatturazione elettronica. Abbiamo visto quali sono i suoi access point, non possiamo avere la pretesa che nessuno cercherà di attaccarli usando una o tutte queste tecniche. Un appunto su questo tema è quello relativo al phishing: le tecniche di phishing, col tempo, si sono raffinate e si stanno raffinando sempre di più. Le mail “esca” non contengono più strafalcioni grammaticali evidenti – e diventa così sempre più difficile identificarle. Questo, unito alla sofisticazione delle tecniche di ingegneria sociale può generare una proliferazione del phishing.
  • Spionaggio: le motivazioni legate allo spionaggio sono estremamente facili da capire. Allo stesso modo è estremamente semplice comprendere come trarre questo vantaggio attraverso le informazioni sottraibili dal sistema di fatturazione elettronica. Le attività di spionaggio industriale sarebbero estremamente facilitate sottraendo le informazioni dalla banca dati delle fatture. Le informazioni che potrebbero capitare in mano ad un criminal hacker con lo scopo di spiare – ad esempio – un’altra azienda sono: gli elenchi di clienti e fornitori, i valori economici legati alle fatture storicizzate oltre alla lista delle attività ricevute e commissionate. Subire un furto di questo per un’azienda vorrebbe dire perdita significativa di competitività sul mercato oltre che un gravissimo problema nel framework di sicurezza. Un terzo malintenzionato può venire a conoscenza, dalle fatture, dove sono diretti gli investimenti aziendali, su cosa si sta focalizzando il management e tutte queste informazioni strategiche sarebbero irrimediabilmente compromesse.
  • Sabotaggio: essendo la fatturazione elettronica un adempimento a cui nessuna azienda può sottrarsi, non sarà possibile effettuare pagamenti senza questo strumento. Cosa significa? Quando un sistema diventa indispensabile, inevitabilmente esso diventa oggetto di attacchi trasversali. Come posso arrecare danno ad un’azienda rivale? Impedendo a questa azienda l’operatività quotidiana, per esempio. Nel caso in cui un terzo attaccante malintenzionato decidesse di attaccare il Sistema Di Interscambio, o in alternativa, uno degli strumenti per la gestione delle fatture elettroniche, l’azienda non potrebbe accedere all’intero sistema di fatturazione. I conseguenti impatti sull’operatività e sui flussi di cassa sono immediatamente deducibili.

Il security framework della fatturazione elettronica

I player coinvolti all’interno dell’intero processo sono molti: le singole aziende o privati, le terze parti che producono software per la gestione della fatturazione elettronica e l’Agenzia delle Entrate stessa. È superfluo dire come ognuno di questi attori sia soggetto ad obblighi e responsabilità diverse ma, soprattutto, abbia un livello di rischio diverso in ambito cybersecurity.

Ciò che è fondamentale per ogni azienda, tuttavia, è l’implementazione di un cybersecurity framework relativo al sistema di fatturazione elettronica. Abbiamo visto quali sono i potenziali punti di attacco e la molteplicità di rischi possibili. Costruendo un framework adeguato sarà possibile garantire la sicurezza dei propri sistemi. Ma in cosa consiste un framework di sicurezza adeguato? In tre livelli di sicurezza: preventiva, proattiva e predittiva. Ad ogni modo, la piccola e media impresa con risorse limitate è necessario che implementi solamente il primo livello di sicurezza. Il primo livello è quello che deve essere implementato obbligatoriamente (anche perché questo è quanto stabilito dalla nuova normativa europea). Questo si deve, in realtà, a due motivazioni principali: essere compliant con il GDPR e garantire la security governance aziendale.

Il layer di sicurezza preventiva

La sicurezza preventiva, come abbiamo detto, è l’unico layer obbligatorio da implementare nel framework aziendale. Questo livello di sicurezza preventiva si compone di diverse componenti come:

  • Analisi del rischio umano: questa componente permette di valutare l’esposizione al rischio relativamente ai propri dipendenti. I dipendenti di un’organizzazione, il più delle volte, sono il punto più debole dell’intero processo a causa della scarsa formazione ricevuta in materia di sicurezza. Istruire i propri dipendenti, ad esempio, sul phishing è fondamentale. Inoltre, ci sono molti altri corsi specifici sulla cybersecurity e sull’awareness in ambito sicurezza che sarebbe ideale erogare al fine di limitare l’esposizione a minacce di ingegneria sociale.
  • Analisi del rischio organizzativo: questa componente di analisi preventiva si compone di tutte quelle valutazioni mirate a quantificare e misurare il rischio a livello organizzativo attraverso degli assessment relativi alla compliance GDPR, ISO27001, NIST.
  • Analisi del rischio tecnologico: di fondamentale importanza è il livello tecnologico. Le infrastrutture informatiche aziendali, come abbiamo visto in precedenza, rappresentano un punto di attacco ghiotto per i cyber criminali intenzionati ad entrare in possesso di informazioni sensibili. Questo vuol dire che la sicurezza preventiva deve aiutare l’azienda ad entrare in possesso di informazioni chiave circa lo stato di sicurezza dei propri strumenti. Le attività preposte alla misurazione e quantificazione del rischio in termini informatici sono: vulnerability assessment (che permetted i identificare le vulnerabilità di siti internet e web app), network scan (relativamente ai network aziendali), penetration test (testare i propri sistemi ragionando come se un hacker vero e proprio provasse ad accedervi in modo illegittimo) e la code review (per valutare eventuali vulnerabilità relative al codice sorgente).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4