Conservazione a norma: cosa significa davvero
Il termine "conservazione digitale a norma" è usato spesso senza spiegarlo. Conserva-r-e digitalmente un documento, in senso giuridico, non significa metterlo in un cloud, in una cartella, in un NAS, in un backup. Significa preservare il suo valore probatorio nel tempo — tipicamente per 10 anni — garantendo:
- Integrità: il documento non è stato modificato dopo la conservazione
- Autenticità: il documento è quello che lo studio ha effettivamente archiviato
- Leggibilità: il documento è ancora apribile e comprensibile dopo 10 anni, anche con software diversi da quello usato per crearlo
- Affidabilità: la conservazione è gestita da un soggetto con responsabilità identificabile e procedure documentate
Riferimenti normativi
Art. 2220 Codice Civile (retention 10 anni); CAD art. 43-44 (D.Lgs. 82/2005, Codice dell'Amministrazione Digitale); Linee Guida AgID 2022 (Formazione, gestione e conservazione dei documenti informatici); eIDAS Reg. UE 910/2014 (marca temporale qualificata); Decreto MEF 17 giugno 2014 (modalità conservazione documenti rilevanti ai fini delle imposte sui redditi e IVA).
I tre percorsi di conservazione
Non tutti i documenti dello studio richiedono lo stesso livello di rigore. Le Linee Guida AgID e il CAD prevedono di fatto tre percorsi, calibrati per tipologia di documento e per valore probatorio richiesto.
| Percorso | Documenti tipici | Requisiti tecnici |
|---|---|---|
| CAD Qualified (massima protezione) |
Bilanci, dichiarazioni dei redditi, verbali di assemblea, atti societari con valore costitutivo | Firma elettronica qualificata (FEQ) del responsabile + marca temporale qualificata eIDAS + Indice di Pacchetto di Archiviazione (IPdA) firmato + manuale di conservazione |
| Base Preservation (standard) |
Fatture elettroniche e cartacee digitalizzate, F24, registri IVA, libri sociali, mandati FEA, ricevute | PDF/A + hash SHA-256 + marca temporale qualificata + IPdA + storage UE qualificato |
| Cloud Only (policy interna) |
Documenti operativi non soggetti a conservazione fiscale: bozze, appunti interni, materiali di lavoro, corrispondenza cliente non rilevante | Storage cifrato in UE + backup + accesso tracciato. Non richiesta marca temporale né IPdA |
Il 90% dei documenti di uno studio commercialista standard rientra nel percorso Base Preservation. Il percorso CAD Qualified serve solo per bilanci, dichiarazioni, atti societari (10-15% dei documenti totali). Il percorso Cloud Only copre la materia di lavoro che non ha valore fiscale.
Cosa significa "PDF/A + hash + marca temporale + IPdA"
Tradotto in operativo, ogni documento conservato a norma deve passare attraverso questa pipeline:
1. PDF/A (formato standard duraturo)
PDF/A è uno standard ISO 19005 — sottoinsieme di PDF progettato per essere leggibile nei prossimi 50+ anni indipendentemente dal software. Differisce da un PDF normale perché incorpora tutti i font, non usa contenuti dinamici, non si appoggia a risorse esterne, non contiene JavaScript. Esistono varianti (PDF/A-1, PDF/A-2, PDF/A-3): per i documenti fiscali italiani PDF/A-3 è lo standard de facto.
2. Hash SHA-256 (impronta crittografica)
L'hash è una stringa di 64 caratteri esadecimali calcolata sul file. Se anche un solo byte del file cambia, l'hash cambia completamente. Conservando l'hash al momento del versamento, in qualsiasi momento futuro si può ricalcolare l'hash del file conservato e confrontarlo: se coincidono, il documento è integro.
3. Marca temporale qualificata (timestamp ufficiale)
È una firma elettronica che attesta che, in un dato istante, esisteva un certo documento con un certo contenuto. Viene rilasciata da una Trust Service Provider qualificata UE accreditata da AgID/eIDAS (Aruba, InfoCert, Namirial, Poste Italiane). Tecnicamente segue lo standard RFC 3161. Senza marca temporale qualificata, l'hash da solo non ha valore probatorio nel tempo.
4. IPdA (Indice di Pacchetto di Archiviazione)
L'IPdA è un file XML che descrive il pacchetto di archiviazione: quali documenti contiene, i loro hash, le firme presenti, le marche temporali, i metadati. Deve essere firmato dal responsabile della conservazione (figura formalmente nominata) e accompagna i documenti per tutta la durata della conservazione. È il "documento accompagnatorio" che dà struttura formale all'archivio.
5. Manuale di conservazione (documento di procedura)
Documento pubblico (o consultabile a richiesta) che descrive le procedure di conservazione adottate: chi fa cosa, con quali tempistiche, con quali sistemi. È un requisito formale delle Linee Guida AgID.
Cosa rischia chi conserva male
"Tanto chi controlla?" è una domanda che si sente spesso. La risposta è: l'Agenzia delle Entrate, in fase di accertamento, e il giudice civile in fase di contenzioso con il cliente.
Le sanzioni amministrative per omessa o irregolare conservazione (Art. 9 D.Lgs. 471/97) vanno da 1.000€ a 8.000€ per ogni periodo d'imposta, con possibilità di raddoppio in caso di reiterazione. Per uno studio con 5 anni di conservazione irregolare, la sanzione potenziale è 20-40.000€.
Ma più del rischio sanzione c'è il rischio professionale: in caso di contenzioso tra il cliente e l'Agenzia delle Entrate, se la documentazione che lo studio gli aveva archiviato non è considerata valida, il commercialista può rispondere personalmente per il danno. La polizza di responsabilità professionale copre il danno, ma il caos amministrativo è suo.
Errori più comuni in studio
Errore 1: "Conservo tutto su Google Drive / Dropbox"
Drive e Dropbox sono storage cloud generici. Non firmano IPdA, non rilasciano marche temporali qualificate, non garantiscono la non-modificabilità nel tempo. Possono essere parte del flusso (es. raccolta documenti), ma non sono il sistema di conservazione. Per la conservazione legale serve un provider accreditato.
Errore 2: "Stampo e archivio cartaceo"
Ammesso, ma costoso e con limiti pratici. Se il documento nasce in formato elettronico (es. fattura SDI XML), per legge va conservato in formato elettronico. La stampa è una copia, non l'originale.
Errore 3: "Faccio firmare PDF dal cliente senza marca temporale"
Una firma PDF senza marca temporale qualificata non ha pieno valore probatorio nel tempo. Tra 5 anni, qualcuno può sostenere che la firma sia stata applicata dopo. La marca temporale qualificata risolve la questione: c'è una prova UE-riconosciuta che il documento esisteva con quella firma in quel momento.
Errore 4: "Tengo solo l'ultima versione del documento"
Le Linee Guida AgID richiedono di conservare la versione esatta al momento del versamento, non l'ultima modificata. Modificare un documento dopo il versamento richiede un nuovo versamento (non un overwrite).
Errore 5: "Il manuale di conservazione lo scrivo se me lo chiedono"
Il manuale di conservazione è obbligatorio sin dalla prima archiviazione. Va scritto, firmato, datato e reso disponibile per consultazione.
Provider standalone vs piattaforma integrata
Per arrivare a una conservazione a norma, ci sono due strade:
Provider di conservazione standalone
Aruba Conserva, InfoCert Conservazione, Namirial. Costi tipici 60-300€/anno per studi piccoli, fino a 1.500€/anno per studi grandi. Pro: provider accreditati AgID, conservazione certificata. Contro: bisogna integrarli manualmente con il gestionale e con la piattaforma operativa; ogni versamento richiede caricamento manuale o integrazione tecnica; manuale di conservazione e nomina responsabile sono a carico dello studio.
Piattaforma operativa con conservazione integrata
Soluzioni come Optlyx Prisma includono la conservazione a norma nel flusso operativo: quando lo studio firma un mandato, riceve una fattura, archivia un F24, il documento passa automaticamente al modulo di conservazione (uno dei 3 percorsi a seconda del documento), riceve hash + marca temporale + IPdA firmato dal responsabile della conservazione, e viene archiviato in storage UE qualificato. Senza che lo studio debba muovere un dito.
Per studi che gestiscono più di 500-1.000 documenti l'anno (la quasi totalità degli studi commercialisti), la conservazione integrata è quasi sempre più conveniente economicamente e operativamente.
Confronto in pratica
Studio standard, 4 persone, 100 clienti, ~3.000 documenti/anno conservati. Provider standalone: ~600€/anno + 30 ore di lavoro segretaria per caricamento manuale = ~1.650€/anno totali. Piattaforma integrata: 0€ aggiuntivi (incluso nel canone) + 0 ore di lavoro = canone Prisma Professional ~1.700€/anno per la persona dedicata. Costo paragonabile, ma con la piattaforma integrata hai anche tutto il resto (firma, mandato, scadenziario, inbox).
Cosa cambierà nel 2026-2027
AgID sta lavorando a un aggiornamento delle Linee Guida che dovrebbe introdurre nel 2026-2027 tre novità rilevanti:
- Maggiore granularità sui metadati obbligatori: oltre ai 13 metadati attuali (mittente, destinatario, oggetto, classificazione, ecc.) ne saranno aggiunti per documenti sanitari, AML, e atti tributari
- Conservazione lunga (50 anni): nuova classe per atti che hanno valore storico/amministrativo (cessazioni di studio, fusioni STP)
- Integrazione con ANPR: i documenti che attestano l'identità del cliente saranno collegati al codice fiscale ANPR per verifica
Per gli studi: nulla di cui preoccuparsi se si usa una piattaforma integrata aggiornata. Per chi usa provider standalone, conviene chiedere al provider il piano di adeguamento.
Checklist operativa per lo studio
- Hai nominato il responsabile della conservazione? (può essere il titolare stesso, ma serve una nomina formale scritta)
- Hai un manuale di conservazione scritto e disponibile?
- I documenti vengono convertiti in PDF/A prima dell'archiviazione?
- Per ogni documento conservato hai hash SHA-256 + marca temporale qualificata?
- Stai usando un provider accreditato AgID per la conservazione (non solo Drive/Dropbox)?
- L'IPdA viene firmato dal responsabile a ogni versamento?
- I documenti sono in storage UE (Belgio, Irlanda, Italia, mai fuori UE)?
- Hai un piano di migrazione formato in caso PDF/A-3 diventi obsoleto fra 10 anni?
Se rispondi "no" a più di 2 di queste, c'è un gap di compliance da chiudere. Non è urgenza da panico, ma è priorità da pianificare nei prossimi 3-6 mesi.
Conclusione
La conservazione a norma AgID non è un esercizio burocratico. È quello che separa il documento "che dimostra qualcosa" dal documento "che esiste in una cartella". Per uno studio commercialista, è anche quello che separa l'ordinaria responsabilità professionale dall'aprire un contenzioso col cliente con dati che il giudice non considera validi.
I 3 percorsi (CAD Qualified, Base Preservation, Cloud Only) coprono ogni tipologia di documento di studio. La scelta operativa è tra integrare la conservazione nel flusso quotidiano (piattaforma operativa) o gestirla separatamente (provider standalone). Per studi con volumi medi, l'integrata vince per costo e operatività; per studi con volumi molto alti o requisiti speciali, lo standalone resta una scelta valida.
Optlyx Prisma implementa i 3 percorsi conformi alle Linee Guida AgID 2022, con responsabile della conservazione integrato, manuale auto-generato, IPdA firmato a ogni versamento, storage in europe-west1 (Belgio). Tutto invisibile al flusso quotidiano dello studio.
Conservazione integrata in 5 minuti, su un caso reale.
Demo 15 minuti: ti mostriamo come una fattura SDI o un mandato FEA passa automaticamente al modulo di conservazione, riceve marca temporale e IPdA, finisce in storage UE accessibile per 10 anni.
Prenota demoDomande frequenti sulla conservazione AgID
La conservazione digitale è obbligatoria per i commercialisti?
Sì, per tutti i documenti fiscali e contabili soggetti a conservazione decennale (Art. 2220 CC). Se il documento nasce digitale o viene digitalizzato, la conservazione deve essere a norma AgID secondo le Linee Guida 2022.
Quanto deve durare la conservazione?
Almeno 10 anni per documenti contabili e fiscali. Per alcuni documenti specifici (atti societari, libro soci SRL) la retention può essere maggiore. Per i mandati professionali FEA, almeno 10 anni dalla cessazione del rapporto.
Cosa significa "a norma AgID"?
Conservazione conforme alle Linee Guida AgID 2022: PDF/A, hash SHA-256, marca temporale qualificata, IPdA firmato dal responsabile, manuale di conservazione, storage in provider qualificato UE.
Posso conservare i documenti su Google Drive o Dropbox?
Non come unica soluzione. Drive e Dropbox sono storage cloud generici, non sistemi di conservazione a norma. Per la conservazione legale serve un provider qualificato o una piattaforma con conservazione integrata.
Quanto costa la conservazione a norma?
Provider standalone (Aruba, InfoCert): 60-300€/anno studio piccolo, fino a 1.500€/anno studi grandi. Piattaforme integrate come Optlyx Prisma: incluse nel canone. Per studi con più di 1.000 documenti l'anno la soluzione integrata è quasi sempre più conveniente.
Cosa succede se la conservazione non è a norma?
Il documento perde valore probatorio fiscale. Sanzioni Art. 9 D.Lgs. 471/97: 1.000-8.000€ per periodo d'imposta, raddoppiabili. In più, il commercialista può subire profili di responsabilità professionale verso il cliente.