Gazzetta n. 27 del 2 febbraio 2021 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI - DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE
DECRETO 12 dicembre 2020
Definizione delle regole tecniche del servizio di fatturazione automatica.


IL MINISTRO PER L'INNOVAZIONE
TECNOLOGICA E LA DIGITALIZZAZIONE

Visto il decreto legislativo del 7 marzo 2005, n. 82 recante il «Codice dell'amministrazione digitale» (di seguito «CAD») il quale all'art. 5, comma 2, prevede che la Presidenza del Consiglio dei ministri mette a disposizione una piattaforma tecnologica per l'interconnessione e l'interoperabilita' tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati;
Visto il comma 2-sexies dell'art. 5 del menzionato decreto legislativo, come introdotto dall'art. 21 del decreto-legge 26 ottobre 2019, n. 124, convertito con modificazioni dalla legge 19 dicembre 2019, n. 157, secondo cui «la piattaforma tecnologica di cui al comma 2 puo' essere utilizzata anche per facilitare e automatizzare, attraverso i pagamenti elettronici, i processi di certificazione fiscale tra soggetti privati, tra cui la fatturazione elettronica e la memorizzazione e trasmissione dei dati dei corrispettivi giornalieri di cui agli articoli 1 e 2 del decreto legislativo 5 agosto 2015, n. 127»;
Visto il comma 2-septies del medesimo articolo, che dispone che «con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per l'innovazione tecnologica e la digitalizzazione, di concerto con il Ministro dell'economia e delle finanze, sono definite le regole tecniche di funzionamento della piattaforma tecnologica e dei processi di cui al comma 2-sexies»;
Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, recante il codice in materia di protezione dei dati personali;
Visto il decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, e in particolare l'art. 8, comma 2, che prevede la costituzione di una societa' per azioni, interamente partecipata dallo Stato e sottoposta alla vigilanza del Presidente del Consiglio dei ministri o del Ministro delegato, per lo svolgimento delle attivita' di gestione della piattaforma di cui all'art. 5, comma 2, del decreto legislativo 7 marzo 2005, n. 82, nonche' dei compiti e funzioni relativi a tale piattaforma;
Visto il decreto del Presidente del Consiglio dei ministri 19 giugno 2019, il quale ha autorizzato la costituzione, su iniziativa della Presidenza del Consiglio, della societa' di cui all'art. 8, comma 2, del citato decreto-legge, denominata PagoPA S.p.a.;
Visto l'atto costitutivo della societa', di cui all'atto pubblico notarile del 24 luglio 2019;
Visto il decreto del Presidente della Repubblica 4 settembre 2019, con il quale la dott.ssa Paola Pisano e' stata nominata Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei ministri 5 settembre 2019, con il quale al predetto Ministro senza portafoglio e' stato conferito l'incarico per l'innovazione tecnologica e la digitalizzazione;
Visto il decreto del Presidente del Consiglio dei ministri 26 settembre 2019, registrato alla Corte dei conti il 3 ottobre 2019 e pubblicato nella Gazzetta Ufficiale in data 18 ottobre 2019, con il quale al predetto Ministro senza portafoglio e' stata conferita la delega di funzioni in materia di innovazione tecnologica e digitalizzazione;
Acquisito il parere del Garante per la protezione dei dati personali espresso il 29 ottobre 2020;
Di concerto con il Ministro dell'economia e delle finanze;

Decreta:

Art. 1

Oggetto

1. Il presente decreto, adottato ai sensi dell'art. 5, comma 2-septies del decreto legislativo del 7 marzo 2005, n. 82, definisce le regole tecniche del servizio di fatturazione automatica di cui al comma 2-sexies del medesimo articolo, relativamente alla parte sulla fatturazione elettronica.
 
Art. 2

Definizioni

1. Ai fini del presente decreto si intendono per:
a) «acquirer»: il prestatore di servizi di pagamento titolare di un contratto di convenzionamento con l'esercente per l'accettazione e il trattamento di pagamenti elettronici che comportano un trasferimento di fondi all'esercente stesso;
b) «anagrafe tributaria»: la banca dati di cui al decreto del Presidente della Repubblica del 29 settembre 1973, n. 605, ad esclusione della sezione di cui all'art. 7, comma 6, del medesimo decreto n. 605 del 1973, relativa all'archivio dei rapporti con gli operatori finanziari;
c) «app IO»: l'applicazione sviluppata dalla societa' ai sensi dell'art. 8, comma 3 del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, tramite cui il cessionario/committente puo' registrare gli strumenti di pagamento che intende utilizzare con il servizio di fatturazione automatica;
d) «ATM»: dispositivo utilizzabile autonomamente dalla clientela che, tramite l'utilizzo di una carta bancaria o di altri mezzi, distribuisce banconote in euro al pubblico con addebito sul conto bancario o consente di effettuare altre operazioni collegate a un rapporto bancario o a una carta di pagamento;
e) «carta prepagata»: lo strumento di pagamento su cui e' caricata moneta elettronica, quale definita all'art. 2, paragrafo 1, numero 2, della direttiva 2009/110/CE, munito di IBAN e ricaricabile anche tramite conto corrente;
f) «Codice dell'amministrazione digitale» o «CAD»: il decreto legislativo del 7 marzo 2005, n. 82;
g) «compratore»: il soggetto persona fisica che effettua materialmente l'acquisto di beni o servizi in qualita' di legale rappresentante, o in nome e per conto, del cessionario/committente e che, talvolta, puo' coincidere con quest'ultimo;
h) «cessionario»: il soggetto, persona fisica o giuridica, cessionario o committente, che aderisce al Sistema PagoPA - Fatturazione automatica al fine di richiedere attraverso il sistema stesso, l'emissione della fattura per gli acquisti effettuati in suo nome o per suo conto, dal compratore;
i) «esercente»: il soggetto, persona fisica o giuridica, cedente/prestatore che svolge attivita' di impresa o che esercita un'arte o una professione ed effettua la cessione di beni o prestazione di servizi, che aderisce al Sistema PagoPA - Fatturazione automatica e, tramite la stessa, emette la fattura;
j) «fornitore di servizi di fatturazione elettronica»: il soggetto che aderisce al Sistema PagoPA - Fatturazione automatica e genera, nell'interesse dell'esercente, in base a un contratto di fornitura, la fattura elettronica trasmessa al Sistema di interscambio (SDI);
k) «hash»: funzione matematica che genera, a partire da un'evidenza informatica, un'impronta in modo tale che risulti di fatto impossibile a partire da questa, ricostruire l'evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti;
l) «issuer»: la persona giuridica che emette lo strumento di pagamento utilizzato dal compratore;
m) «circuito Pagobancomat»: il circuito domestico di carte di debito emesse dalle singole banche italiane aderenti attraverso la societa' Bancomat S.p.a.;
n) «primary account number» o «PAN»: il numero identificativo di una carta di debito o di credito associato alla stessa fin dalla sua emissione;
o) «payment card industry data security standard» o «PCI DSS»: gli standard di sicurezza dei sistemi informativi relativi agli strumenti di pagamento sviluppati dal Payment Card Industry Security Standard Council;
p) «Sistema PagoPA - Fatturazione automatica» o «Sistema»: il sistema di raccolta delle transazioni di pagamento per la fatturazione automatica sviluppato ai sensi del presente decreto dalla societa' nell'ambito della piattaforma tecnologica di cui all'art. 5, comma 2, del CAD;
q) «point of sale» o «POS»: l'apparato fisico installato presso gli esercenti titolari di almeno un contratto con un acquirer per l'accettazione di strumenti di pagamento digitali;
r) «servizio di fatturazione automatica» o «servizio»: il servizio erogato dalla societa' per il tramite del Sistema;
s) «Sistema di interscambio» o «SDI»: il sistema di cui all'art. 1, commi 211 e 212, della legge 24 dicembre 2007, n. 244, gestito dall'Agenzia delle entrate ai sensi del decreto del Ministro dell'economia e delle finanze del 7 marzo 2008, pubblicato nella Gazzetta Ufficiale n. 103 del 3 maggio 2008;
t) «societa'»: la societa' PagoPA S.p.a., costituita ai sensi dell'art. 8, comma 2, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12 e che gestisce, ai sensi del medesimo articolo, la piattaforma di cui all'art. 5, comma 2, del CAD;
u) «transazione rilevante»: una transazione avvenuta tra compratore e esercente.
 
Art. 3

Obiettivi e principi

1. La societa' realizza, nell'ambito della piattaforma di cui all'art. 5, comma 2, del CAD, il sistema e le funzionalita' necessarie a garantire la fornitura del servizio di fatturazione automatica di cui al presente decreto.
2. Le soluzioni tecnologiche adottate ai sensi del comma 1 consentono il raggiungimento dei seguenti obiettivi:
a) la realizzazione di un sistema centralizzato che semplifica lo scambio di informazioni fra i soggetti coinvolti in una transazione commerciale che prevede l'emissione della fattura elettronica, cosi' favorendo la diffusione del sistema e dei servizi di fatturazione elettronica da parte di professionisti e micro-imprese presso piccoli o medi esercenti che possono riscontrare difficolta' nell'utilizzo dei relativi servizi;
b) la realizzazione di un sistema fruibile a richiesta anche da parte di coloro che effettuano acquisti al di fuori dell'esercizio dell'attivita' di impresa, dell'esercizio di un'arte o di una professione;
c) l'incentivazione della digitalizzazione dei pagamenti tramite l'utilizzo di carte e strumenti di pagamento tracciabili presso esercenti residenti o stabiliti nel territorio dello Stato;
d) la possibilita' di sfruttare l'evoluzione delle tecnologie gia' in uso, quali, tra le altre, l'adeguamento dei sistemi di cassa.
3. Lo sviluppo delle tecnologie necessarie alle integrazioni di cui al comma 1 avviene nel rispetto dei seguenti principi:
a) disponibilita': il sistema realizzato ha impatti minimi sull'esperienza dei processi di pagamento e garantisce ad ogni cittadino l'accesso in qualsiasi momento alle informazioni relative alle transazioni effettuate;
b) correttezza: durante la raccolta e l'elaborazione delle transazioni, il sistema assicura la correttezza e l'affidabilita' del trattamento delle informazioni, limitando il salvataggio all'insieme minimo di informazioni necessario al funzionamento del sistema stesso;
c) efficienza e auto-sostenibilita': le soluzioni tecnologiche implementate garantiscono le funzionalita' di cui al presente decreto e un'esperienza utente adeguata, nonche' rispettano criteri di efficienza economica tali da permettere l'auto sostenibilita' nella gestione del sistema e del servizio;
d) sicurezza e protezione dei dati personali: le soluzioni implementate rispettano la normativa in materia di protezione dei dati personali e, in particolare, i principi di privacy by default e by design, ivi inclusi gli aspetti relativi alla sicurezza dei dati e delle informazioni processate, con la predisposizione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che la soluzione comporta.
4. La copertura dei costi di esercizio della societa' per le attivita' derivanti dalla gestione del sistema e del servizio sono assicurati anche dai ricavi derivanti dai corrispettivi richiesti a fronte dei servizi resi.
 
Art. 4

Ambito di applicazione

1. Il servizio di fatturazione automatica di cui al presente decreto si applica alle operazioni di pagamento effettuate presso POS presenti sul territorio nazionale, effettuate mediante l'utilizzo di carte di debito, carte di credito, carte prepagate, ivi inclusi gli strumenti di pagamento di cui all'art. 2, comma 2, lettera m), del decreto legislativo 27 gennaio 2010, n. 11, nonche' tramite applicazioni che consentono di effettuare bonifici di pagamento o tramite altri sistemi di pagamento messi a disposizione presso punti vendita presenti sul territorio nazionale.
2. Sono escluse dall'ambito di applicazione del presente decreto le transazioni di pagamento effettuate presso ATM.
 
Art. 5

Adesione al servizio

1. Salvo quanto previsto dal comma 2 per gli acquirer, l'adesione al servizio e' su base volontaria per tutti i soggetti coinvolti e presuppone una fase di registrazione al servizio che si effettua come segue:
a) gli esercenti che intendono beneficiare del servizio si registrano al Sistema, fornendo i propri dati anagrafici e gli altri dati necessari al funzionamento del Sistema, ivi inclusi quelli necessari per identificare il proprio acquirer e per identificare lo stesso esercente presso il fornitore di servizi di fatturazione elettronica, scelti tra quelli aderenti al servizio;
b) i fornitori di servizi di fatturazione elettronica aderiscono al Sistema stipulando un accordo con la societa' ed integrando i propri sistemi informativi con la stessa;
c) i cessionari che intendono beneficiare del servizio registrano, nell'App IO o nei sistemi messi a disposizione dal proprio issuer, uno o piu' strumenti di pagamento di cui intendono avvalersi per usufruire del servizio, indicando anche gli estremi della propria partita IVA ovvero del proprio codice fiscale. Il Sistema, attraverso le metodologie tecniche comunicate dall'Agenzia delle entrate alla societa', verifica che la partita IVA e il codice fiscale siano esistenti, validi ed attivi al momento della registrazione. Quando il cessionario registra una carta di debito abilitata al circuito PagoBancomat, mediante il codice fiscale dello stesso, la societa' ottiene dal gestore del circuito PagoBancomat gli estremi identificativi della carta di debito in uso al cessionario.
2. Gli acquirer hanno l'obbligo di integrare i propri sistemi tecnologici con il Sistema, previa stipula di un accordo con la societa', per la trasmissione dei dati relativi alle transazioni di pagamento per il funzionamento del Sistema, comprese quelle gestite internamente (c.d. modalita' on-us) ed incluse le operazioni di storno o riaccredito.
 
Art. 6

Funzionalita' e flussi di funzionamento

1. La soluzione tecnologica adottata per il servizio di fatturazione automatica garantisce le seguenti funzionalita':
a) il cessionario, tramite l'App IO o altro portale dedicato (home banking e/o mobile banking) messo a disposizione dal proprio issuer, memorizza (una tantum, con possibilita' di modifica o revoca) in modo sicuro i propri strumenti di pagamento, abbinandoli alla propria partita IVA o al proprio codice fiscale;
b) l'esercente si iscrive al servizio (una tantum, con possibilita' di modifica o cancellazione), direttamente o tramite soggetti terzi, tra i quali l'acquirer o il fornitore di servizi di fatturazione elettronica;
c) il compratore, al momento dell'acquisto e fermi restando gli obblighi previsti dalla legislazione vigente in tema di fatturazione, chiede all'esercente la fattura per i pagamenti selezionati, in nome e per conto del cessionario;
d) l'esercente invia alla societa', utilizzando i protocolli messi a disposizione dal proprio sistema di cassa, i seguenti dati:
1) identificativo della transazione;
2) elementi della fattura;
e) l'acquirer giornalmente, previa verifica dell'adesione del cessionario, sulla base del PAN, fornito in sede di registrazione di cui alla lettera a), opportunamente protetto mediante una funzione crittografica non reversibile, e sulla base della lista di identificativi delle transazioni effettuate nella giornata e per le quali sia stata richiesta la fattura, entrambi messi a disposizione dalla societa', individua e restituisce alla societa' i dati di cui alla seguente lettera f);
f) al termine dell'operazione di cui alla lettera e), l'acquirer trasmette alla societa' i seguenti dati, relativi unicamente ai cessionari che hanno effettuato la registrazione:
1) hash del PAN dello strumento di pagamento;
2) per ognuna delle transazioni per le quali e' stata richiesta la fattura, gli estremi della transazione inviata e presente anche sul sistema cassa, ovvero i dati contenuti nella ricevuta elaborata dal POS anche in forma cartacea, tra cui:
a) il timestamp della transazione di pagamento;
b) l'importo della transazione espresso in euro;
c) il tipo di operazione (se di pagamento o di storno);
d) un identificativo univoco (quale, tra gli altri, STAN o RRN) che colleghi le fasi dell'operazione di pagamento;
e) conferma, storno;
f) la categoria merceologica dell'esercente;
g) l'identificativo univoco del merchant;
g) il Sistema, attraverso le metodologie tecniche comunicate dall'Agenzia delle entrate alla societa', verifica che la partita IVA e il codice fiscale del cessionario nonche' la partita IVA dell'esercente siano ancora esistenti, validi ed attivi al momento dell'acquisto;
h) il Sistema invia i dati anagrafici del cessionario e dell'esercente e quelli relativi ai beni o servizi acquistati al fornitore di servizi di fatturazione elettronica dell'esercente, ai fini della generazione della fattura da trasmettere al Sistema di interscambio (SDI);
i) il cessionario riceve la notifica, attraverso l'App IO o altro portale dedicato messo a disposizione dal proprio issuer, relativa alla disponibilita' di transazioni per le quali e' stata richiesta la fattura;
j) il cessionario e l'esercente possono visualizzare la fattura direttamente sui servizi messi a disposizione dall'Agenzia dell'entrate o, se del caso, tramite i servizi messi a disposizione dal proprio fornitore di servizi di fatturazione elettronica;
k) nell'ipotesi in cui le verifiche di cui alla lettera g) del presente comma diano esito negativo, la societa' comunica all'esercente che non e' stato possibile procedere alla generazione della fattura.
 
Art. 7

Trattamento di dati personali

1. La societa' tratta i dati raccolti tramite l'App IO, o altro portale dedicato messo a disposizione dall'issuer, e trattati nell'ambito del Sistema, in qualita' di titolare del trattamento, esclusivamente per le finalita' di cui al presente decreto. La societa' e' altresi' titolare del trattamento effettuato per la messa a disposizione ai cessionari dei dati di cui all'art. 6, comma 1, lettera i), del presente decreto, nonche' per le verifiche di cui agli articoli 5, comma 1, lettera c), e 6, comma 1, lettera g), da attuarsi secondo le modalita' previste dalla apposita convenzione con l'Agenzia delle entrate, sottoscritta e allegata alla valutazione di impatto di cui al comma 6 del presente articolo.
2. La societa' e' designata responsabile dagli esercenti, ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati per conto degli stessi nell'ambito del servizio di fatturazione automatica di cui al presente decreto.
3. Gli issuer sono designati responsabili dalla societa', ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati, in virtu' di un'apposita convenzione, per lo svolgimento delle attivita' ad essi affidate ai sensi del precedente art. 6, comma 1, lettera i), del presente decreto.
4. Al fine di individuare le transazioni rilevanti, e' fatto obbligo agli acquirer, previa messa a disposizione da parte della societa' dei dati relativi alle registrazioni dei cessionari e agli identificativi delle transazioni effettuate per le quali sia stata richiesta la fattura, di comunicare alla societa' i dati necessari a tal fine. L'attivita' di comunicazione e' svolta dagli acquirer in qualita' di titolari del trattamento, nel rispetto degli obblighi di sicurezza previsti dalla normativa rilevante nonche' dagli standard di settore. E' fatto divieto agli acquirer di utilizzare i dati relativi alle registrazioni dei cessionari forniti dalla societa' per finalita' non strettamente necessarie all'espletamento dei propri compiti ai sensi del presente decreto. Gli acquirer tengono aggiornati i dati ricevuti dalla societa' e li cancellano automaticamente non appena non piu' necessari all'espletamento delle attivita' di cui al presente decreto, secondo le modalita' individuate nella valutazione di impatto di cui al comma 6 del presente articolo. In sede di prima applicazione, gli acquirer possono demandare lo svolgimento di talune delle attivita' previste dal presente decreto alla societa' stessa, che le svolgera' previa designazione come responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679, come dettagliate nella valutazione di impatto di cui al comma 6 che segue.
5. Il trattamento dei dati avviene nel rispetto delle misure e degli obblighi imposti dal regolamento UE 2016/679 e dal decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni.
6. La societa' effettua, prima del trattamento, la valutazione di impatto ai sensi dell'art. 35 del regolamento (UE) 2016/679 e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali.
7. Nella valutazione di impatto sono indicate, inter alia, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonche' a tutela dei diritti e delle liberta' degli interessati. Nella valutazione, sono altresi' disciplinati i tempi e le modalita' di conservazione dei dati trattati ai sensi del presente decreto, assicurando che gli stessi siano conservati solo per il tempo necessario all'erogazione del servizio.
 
Art. 8

Adeguamento tecnologico e normativo

1. Le disposizioni di cui al presente decreto sono interpretate nel senso di consentire l'adeguamento del Sistema all'evolversi delle tecnologie e del quadro normativo di riferimento.
 
Art. 9

Implementazione tecnologica e operativa

1. La societa' implementa la soluzione tecnologica rispondente alle regole tecniche di funzionamento e dei processi di cui al presente decreto secondo le best practice di settore, curandone gli aspetti tecnologici di dettaglio e fornendo indicazioni operative per la messa in produzione del Sistema, nel rispetto e nei limiti di cui al presente decreto e degli eventuali indirizzi forniti dalla Presidenza del Consiglio dei ministri.
Il presente decreto e' inviato ai competenti organi di controllo ed e' efficace dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 12 dicembre 2020

Il Ministro per l'innovazione
tecnologica e la digitalizzazione
Pisano Il Ministro dell'economia
e delle finanze
Gualtieri

Registrato alla Corte dei conti il 18 gennaio 2021 Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, reg. n. 101