1° Contenuto riservato: Outsourcing della conservazione digitale: opportunità e rischi contrattuali

CIRCOLARE MONOGRAFICA

DI BARBARA GARBELLI | 3 NOVEMBRE 2025

Opportunità strategiche, rischi e criticità da presidiare per un outsourcing consapevole

La conservazione digitale non è un semplice adempimento tecnico, ma un processo giuridico e organizzativo che garantisce la validità legale e probatoria dei documenti informatici nel tempo. La scelta di affidare tale funzione in outsourcing comporta il trasferimento a un soggetto esterno di attività che incidono direttamente sugli obblighi civilistici e fiscali dell’impresa.

L’art. 44  del Codice dell’Amministrazione Digitale e le Linee guida AgID definiscono i requisiti che un sistema di conservazione deve rispettare. Tuttavia, quando il servizio è gestito da un provider esterno, il soggetto obbligato resta giuridicamente responsabile dell’adempimento: in caso di ispezione, dovrà dimostrare non solo la conformità dei documenti conservati, ma anche la correttezza del processo di affidamento e monitoraggio del fornitore.

Opportunità strategiche dell’outsourcing

Un conservatore accreditato AgID dispone di sistemi ridondanti, backup geograficamente distribuiti e tecnologie di Business Continuity che una PMI difficilmente potrebbe implementare in autonomia. Questo riduce il rischio di perdita dati e aumenta la resilienza.

I provider monitorano costantemente le evoluzioni legislative (CAD,GDPR, norme fiscali), integrando gli aggiornamenti nei processi e nei sistemi. Ciò evita al cliente la necessità di presidiare in prima persona modifiche normative complesse e frequenti.

L’outsourcing consente di gestire picchi di volumi documentali (es. fatture elettroniche di fine anno o libri sociali alla chiusura esercizio) senza investimenti in hardware e software aggiuntivi.

Un’azienda multi-sede decide di esternalizzare la conservazione dei registri IVA e del libro giornale. Il fornitore implementa un’integrazione API con l’ERP aziendale, eliminando l’invio manuale e garantendo il versamento automatico entro i termini fiscali.

Rischi e criticità da presidiare

L’art. 44 CAD chiarisce che il responsabile della conservazione (interno o delegato) rimane comunque garante della conformità. Un errore del fornitore (es. mancata marca temporale entro i termini) può ricadere sull’impresa con sanzioni fiscali.

Molti provider utilizzano formati proprietari o non forniscono procedure semplici di riversamento in caso di cambio fornitore. Questo può generare dipendenza tecnica e costi imprevisti di migrazione.

Per documenti fiscali e societari, la conservazione in server extra-UE può esporre a rischi di non conformità e a complesse valutazioni sul trasferimento di dati personali. È fondamentale garantire che i data center siano situati nell’UE o in Paesi con decisione di adeguatezza.

Un fornitore può fallire o subire attacchi informatici. In assenza di un piano di disaster recovery contrattualmente vincolante, l’accesso ai documenti potrebbe essere compromesso.

Clausole contrattuali essenziali

SLA (Service Level Agreement) dettagliati

Devono specificare:

• Tempo massimo di versamento e indicizzazione (es. entro 48 ore dal caricamento) 
• Disponibilità minima del servizio (es. il 99,8%)
• Tempi di ripristino (RTO) e massima perdita accettabile di dati (RPO).

Clausola esempio:

“Il Fornitore garantisce la disponibilità della piattaforma di conservazione al 99,8% mensile, con tempi di ripristino inferiori a 4 ore per incidenti critici.”

Localizzazione e sicurezza dei dati

Clausole che vincolano il fornitore a:

• Conservare i dati solo in data center UE certificati ISO 27001.
• Garantire crittografia end-to-end e gestione sicura delle chiavi.

Clausola esempio:

“Il Fornitore conserva i documenti esclusivamente in data center situati nel territorio UE, dotati di certificazione ISO 27001, con cifratura AES-256 e gestione delle chiavi conforme alle best practice NIST.”

Diritto di audit e obblighi di rendicontazione

Il cliente deve poter accedere a:

• Log di versamento, firme e marche temporali.
• Report periodici di conformità.

Clausola esempio:

“Il Cliente può effettuare audit annuali, anche tramite terzi incaricati, con accesso ai log di sistema e ai pacchetti di conservazione, senza oneri aggiuntivi.”

Piano di uscita e riversamento sostitutivo

È uno dei punti più critici:

• Definire tempi e modalità di consegna dei documenti alla cessazione del contratto.
• Garantire il mantenimento della validità probatoria (marche temporali e firme).

Clausola esempio:

“Alla cessazione del contratto, il Fornitore trasferirà tutti i documenti entro 30 giorni in formato PDF/A o XML con firme e marche temporali valide, corredati dai metadati e dal verbale di riversamento.”

Processo di selezione e gestione del fornitore

Analisi preliminare

• Mappatura dei documenti e dei relativi obblighi di conservazione.
• Valutazione dei requisiti tecnici e legali del servizio.

Due diligence

• Richiesta di documentazione tecnica e certificazioni.
• Verifica di eventuali subfornitori e catena di responsabilità.

Monitoraggio in corso di contratto

• Revisione periodica degli SLA.
• Audit e test di recupero documenti.

Integrazione con la governance aziendale

L’outsourcing non elimina la necessità di un Manuale della Conservazione, che deve essere aggiornato per includere:

• ruoli e responsabilità tra cliente e fornitore;
• procedure di versamento, audit e riversamento;
• gestione degli incidenti e dei piani di continuità operativa.

Conservazione Digitale: Gestione interna vs Outsourcing

La tabella seguente mette a confronto la gestione interna e l’affidamento in outsourcing della conservazione digitale dei documenti, evidenziando costi, benefici, rischi e aspetti di compliance.

Parametro	Gestione Interna	Vantaggi	Outsourcing	Vantaggi
Costi di avvio	Elevati (hardware, software, formazione)	Controllo diretto delle risorse e processi	Ridotti (canone di servizio)	Accesso immediato a infrastrutture e competenze
Costi operativi	Mantenimento personale interno qualificato	Governance interna	Inclusi nel canone	Prevedibilità di spesa
Conformità normativa	Richiede aggiornamenti interni continui	Massima personalizzazione delle procedure	Aggiornata automaticamente dal fornitore	Riduzione rischio non conformità
Sicurezza e backup	Responsabilità totalmente interna	Controllo totale su dati e accessi	Gestita dal provider con sistemi ridondati	Alta resilienza e continuità operativa
Scalabilità	Limitata dalle risorse aziendali	Adeguamento personalizzato	Alta scalabilità immediata	Facile gestione picchi documentali
Rischio fornitore	Assente	Stabilità interna	Presente (fallimento, lock-in tecnologico)	Mitigabile con contratti e SLA adeguati

Continuità operativa e piani di uscita

Uno degli aspetti più delicati nella gestione in outsourcing della conservazione digitale riguarda la continuità operativa. Un contratto ben strutturato non può limitarsi a garantire la disponibilità del servizio “in condizioni normali”, ma deve prevedere precise misure per assicurare la reperibilità dei documenti anche in scenari di emergenza.

Tra queste, è fondamentale la presenza di repliche dei dati in più siti geografici, così da evitare la perdita totale delle informazioni in caso di guasto o disastro che colpisca un singolo data center. Altrettanto importanti sono i test periodici di ripristino, che non devono essere meri adempimenti formali, ma vere e proprie simulazioni di emergenza, finalizzate a verificare tempi, modalità e affidabilità del recupero. A ciò si aggiunge l’obbligo di comunicare preventivamente eventuali interventi di manutenzione straordinaria, per permettere all’azienda cliente di predisporre eventuali misure alternative o pianificare le proprie attività senza interruzioni critiche.

Accanto alla continuità operativa, un buon contratto di outsourcing deve disciplinare in modo dettagliato anche il piano di uscita dal rapporto. Questo documento operativo definisce tempi e modalità con cui il fornitore dovrà restituire la piena disponibilità dei documenti in caso di cessazione del servizio. È opportuno che sia stabilito un termine massimo – ad esempio 30 giorni – entro cui completare il trasferimento dei documenti verso il cliente o verso un nuovo conservatore. I documenti dovranno essere consegnati con metadati, firme digitali e marche temporali ancora valide, così da preservarne il valore probatorio. L’operazione dovrà concludersi con la redazione di un verbale di riversamento firmato digitalmente, che attesti la regolarità del trasferimento e diventi prova documentale in caso di contestazioni.

Casi pratici di criticità

Per comprendere l’importanza di presidiare contrattualmente questi aspetti, bastano due esempi concreti.

Caso A – Marca temporale scaduta

Durante una verifica fiscale, un’azienda scopre che le marche temporali apposte dal provider sui propri documenti contabili erano scadute da tempo e non erano state rinnovate. La conseguenza è stata grave: il libro giornale, privo di un’evidenza di datazione opponibile a terzi, è stato considerato privo di efficacia probatoria. Questo ha portato alla contestazione dell’intera tenuta contabile, con potenziali ricadute fiscali e sanzionatorie.

Caso B – Fornitore in default

Un’altra impresa si è trovata improvvisamente senza accesso ai documenti conservati, poiché il fornitore era fallito e non aveva predisposto un piano di riversamento. La mancanza di un protocollo di emergenza ha comportato la perdita parziale dell’archivio digitale e costi elevatissimi per tentare un recupero tardivo dei dati.

Questi due scenari dimostrano che il rischio non è solo teorico e che la cura nella redazione del contratto è determinante per evitare danni patrimoniali e probatori.

Checklist di valutazione del fornitore (estratto operativo)

Per selezionare un partner affidabile, è utile disporre di una checklist operativa che consenta di verificare i requisiti tecnici, organizzativi e giuridici del potenziale fornitore.

• Accreditamento AgID
  • Domanda chiave: Il fornitore è iscritto nell’elenco ufficiale dei conservatori accreditati?
  • Evidenza richiesta: Copia dell’iscrizione rilasciata da AgID.
    
• Certificazioni di sicurezza
  • Domanda chiave: Dispone di certificazioni ISO 27001 aggiornate?
  • Evidenza richiesta: Certificato in corso di validità.
    
• SLA e penali
  • Domanda chiave: Sono definite metriche di servizio chiare e penali in caso di inadempienza?
  • Evidenza richiesta: Copia del contratto con dettaglio SLA.
    
• Localizzazione dei dati
  • Domanda chiave: I server di conservazione sono situati all’interno dell’Unione Europea o in Paesi con decisione di adeguatezza?
  • Evidenza richiesta: Dichiarazione ufficiale del fornitore.
    
• Piano di uscita
  • Domanda chiave: Il contratto prevede il riversamento con garanzia probatoria dei documenti in caso di cessazione del servizio?
  • Evidenza richiesta: Procedura scritta e verificata.

Questa checklist, se utilizzata sistematicamente, consente di prevenire la maggior parte delle criticità e di scegliere un partner in grado di garantire continuità, sicurezza e piena conformità normativa.

Conclusione: outsourcing consapevole

Affidare la conservazione digitale in outsourcing è un’opportunità di efficienza e sicurezza, ma richiede consapevolezza contrattuale. L’impresa deve mantenere il controllo giuridico e operativo sul ciclo di vita dei documenti, evitando di delegare totalmente la governance. 

Riferimenti normativi:

• D.Lgs. 7 marzo 2005, n. 82, artt. 20– 44
• Regolamento UE 27 aprile 2016, n. 679/2016
• AgID, Linee guida su formazione, gestione e conservazione documenti informatici
• Standard ISO 27001, ISO 22301, ETSI EN 319 401

Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.

Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.

Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise