È un martedì pomeriggio di novembre. In ufficio ti squilla il fisso, e dall’altra parte c’è l’ufficio legale di un cliente industriale, un’azienda metalmeccanica dei dintorni di Brescia con cui hai un contratto di manutenzione sugli impianti di climatizzazione del capannone da sei anni. Il tono è asciutto, quasi freddo. L’audit interno ha trovato un’incongruenza: il report di intervento del tuo tecnico Marco, datato 14 settembre, con orario dichiarato dalle 09:30 alle 12:15, non risulta dalle registrazioni della portineria, che quella mattina non ha segnato nessun veicolo esterno in ingresso. Il cliente sospetta che il report sia stato compilato a posteriori, dopo il guasto all’impianto del 22 settembre, per coprire l’obbligo contrattuale di manutenzione preventiva. La penale prevista è di 18.000 euro a episodio. E l’ufficio legale ti dà dieci giorni lavorativi per fornire un elemento di prova oggettivamente verificabile, altrimenti la pratica passa all’avvocato.
Tu sai che Marco era lì. Ci hai parlato mentre rientrava in auto. Ma quello che hai in mano è un documento Word, salvato su un disco di rete, con i metadati di ultima modifica che dicono “28 settembre”, perché quel giorno una collega aveva sistemato un refuso. La firma del responsabile cliente è stata aggiunta dopo per scansione, perché Marco il modulo cartaceo originale l’aveva lasciato in auto e l’aveva ripreso giorni dopo. Le foto delle parti d’impianto sono sul suo telefono personale, senza dati di scatto agganciati al report. Non c’è un log GPS della sua presenza in stabilimento, non c’è un’impronta crittografica del report al momento della creazione, non c’è una marca temporale di un fornitore terzo. Hai ragione. Ma non puoi dimostrarlo. E in una causa civile, non poterlo dimostrare è identico ad avere torto.
Questa scena, nell’assistenza tecnica italiana, ormai è la regola, non l’eccezione. Clienti industriali, gruppi multinazionali, assicurazioni e revisori hanno alzato di parecchio, negli ultimi anni, le pretese sulla forza probatoria della documentazione di servizio. Un rapportino scritto a mano, una firma scansionata dopo, un Word ritoccato il giorno seguente: davanti a un tribunale civile o a un liquidatore assicurativo oggi non valgono quasi niente. E nel contenzioso l’onere della prova non sta al cliente che eccepisce, sta a te, che devi dimostrare di aver adempiuto al contratto come si deve.
Perché il rapportino classico, in tribunale, non regge più
Il problema, alla radice, è semplice: qualsiasi documento che si può modificare dopo la creazione senza lasciare una traccia verificabile, in sede giudiziaria, è una prova debole. Un file Word o PDF su un server aziendale si può retrodatare. Una foto si può ritoccare nei dati di scatto con un qualsiasi editor. Una firma scansionata si può spostare da un documento vecchio a uno nuovo. Il cliente che mette in dubbio il tuo adempimento non deve dimostrare la manipolazione, gli basta mostrare che era possibile farla, e in un documento non protetto crittograficamente la possibilità c’è sempre, per definizione. Il Codice dell’Amministrazione Digitale, all’articolo 20, dice che il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale ha l’efficacia probatoria dell’articolo 2702 del Codice Civile, cioè fa piena prova fino a querela di falso. Il documento senza quella firma, invece, il giudice lo valuta liberamente, e nel dubbio dà ragione a chi contesta.
Poi c’è la prassi dei liquidatori assicurativi, che è la stessa storia da un’altra porta. Se l’impianto del tuo cliente ha un fermo macchina e la compagnia apre la pratica di rimborso, chiede lo storico delle manutenzioni degli ultimi dodici mesi. Se i report non sono sigillati crittograficamente, il liquidatore può ragionevolmente sospettare che siano stati ricostruiti dopo per coprire l’obbligo, e a quel punto riduce o nega l’indennizzo. Il cliente perde il rimborso, e la sua rivalsa arriva dritta su di te, perché il contratto di manutenzione ti mette addosso l’obbligo di diligenza. Paghi la penale, paghi il danno, perdi il cliente: tre perdite da un solo report che non era opponibile. E intanto i capitolati di qualifica fornitori dei grandi gruppi, automotive, chimica, farmaceutica, infrastrutture, chiedono già nero su bianco una documentazione di servizio non manipolabile, con marca temporale e firma qualificata. Chi si presenta con rapportini Word esce dall’audit fornitori al primo giro.
I cinque pilastri di un report che non si può falsificare
Perché un report digitale arrivi davvero al valore probatorio dell’articolo 2702 del Codice Civile, e regga davanti ad assicurazioni, revisori e giudici, deve avere cinque caratteristiche, e tutte e cinque insieme. La prima è la marca GPS e oraria nel momento della creazione: quando Marco entra in stabilimento alle 09:30, l’app aziendale àncora in modo immutabile quelle coordinate e quell’orario nel report. Non l’ora che lui digita in un campo, ma l’ora del server nel momento del fix GPS, come ancoraggio. La seconda è l’impronta crittografica del report: ogni volta che si compila un campo, si allega una foto, si raccoglie una firma, il sistema produce un hash dello stato corrente. Qualsiasi modifica successiva genera un hash diverso, e quindi si vede subito che il documento è stato toccato.
Il terzo pilastro sono le foto. Quando Marco fotografa l’impianto prima e dopo, le foto devono nascere dentro l’app, non essere importate dalla galleria del telefono. Solo così il sistema garantisce che i dati di scatto, ora, coordinate, identità del dispositivo, non siano stati alterati, e può ancorare l’impronta dell’immagine originale al report. Il quarto è il registro di audit immutabile: ogni azione sul report, creazione, modifica, firma, esportazione, invio, viene scritta con orario, identità e tipo di azione in un registro che si può solo aggiungere, mai riscrivere. L’impronta finale, volendo, si àncora presso un fornitore di marca temporale qualificata secondo il regolamento europeo eIDAS, e a quel punto il report è un documento informatico qualificato a tutti gli effetti dell’articolo 20 del CAD. Il quinto pilastro è la verificabilità da parte di terzi: un liquidatore, un avvocato, un revisore deve poter controllare l’autenticità del report senza entrare nel tuo sistema. Per questo il sistema produce un PDF con l’impronta incorporata e un indirizzo di verifica: il terzo ricalcola l’hash, lo confronta con quello stampato sul PDF, e se coincidono l’integrità è dimostrata matematicamente.
Questi cinque pilastri, messi insieme, producono un report che non è “probabilmente autentico”, ma “dimostrabilmente non modificato dal momento in cui è stato creato, sul posto”. È la differenza tra una prova che regge in tribunale e una che viene presa in giro.
CAD, GDPR e firma qualificata: il quadro italiano
Nell’ordinamento italiano si sovrappongono più livelli, e la tua attività in trasferta li deve gestire con pulizia. Il GDPR chiede, per la geolocalizzazione dei tecnici in trasferta, una valutazione d’impatto, perché si tratta di monitoraggio sistematico di lavoratori in luoghi variabili. Quella valutazione deve dimostrare che la geolocalizzazione è circoscritta, limitata cioè al luogo e all’orario dell’intervento, e che il tecnico fuori da quelle finestre non viene tracciato. Uno strumento che traccia ventiquattro ore su ventiquattro il principio di minimizzazione non lo rispetta. Uno che geolocalizza solo al tap “avvia intervento” e si ferma al tap “concludi intervento”, sì. Va poi rispettato l’articolo 4 dello Statuto dei Lavoratori, con accordo sindacale o autorizzazione dell’Ispettorato del Lavoro per gli strumenti da cui possono derivare informazioni sull’attività dei lavoratori.
Sopra a tutto questo c’è il regolamento eIDAS, recepito dal CAD, che regola la firma elettronica qualificata, equiparata dalla firma autografa dall’articolo 21 del CAD. Quando il referente del cliente firma sul tablet di Marco e quella firma nasce da un certificato qualificato di un prestatore di servizi fiduciari iscritto nella lista dell’AgID, vale come una firma a penna su carta, con il vantaggio enorme di essere apposta in modo dimostrabile nel momento dell’intervento, non scansionata dopo. Nel caso del metalmeccanico bresciano, il contenzioso si sarebbe chiuso nell’istante in cui avresti mandato all’ufficio legale il PDF con l’impronta incorporata, il log GPS con ingresso e uscita dalla portineria, quattro foto dell’impianto con i dati di scatto integri e la firma qualificata del capoturno apposta in tempo reale alle 12:15. La portineria che non aveva registrato il veicolo si sarebbe rivelata una falla del registro interno, magari Marco quel giorno aveva l’auto di un collega. La penale non sarebbe nemmeno entrata in discussione, e la pratica si sarebbe chiusa in una telefonata invece che in dieci giorni di scambio con l’avvocato.
Cosa succede se resti col rapportino classico
Nei prossimi anni perdi, in modo strutturale, i contratti industriali a marginalità sana. I grandi clienti mettono nei capitolati la documentazione di servizio non falsificabile, e tu vieni escluso al primo audit fornitori perché i tuoi Word non rispettano lo standard. Le assicurazioni tagliano i rimborsi con la motivazione che la prova manutentiva non è opponibile, e ribaltano la responsabilità su di te. Gli avvocati dei clienti imparano in fretta che ogni minaccia di penale contro di te ha un buon tasso di successo, perché l’onere della prova non riesci a sostenerlo. I tuoi tecnici passano mezze giornate a ricostruire report a posteriori invece di fare interventi. E nel frattempo i concorrenti che lavorano già con documentazione sigillata crittograficamente si prendono le commesse grandi, mentre tu vieni spinto sui cantieri minori, dove il margine è sempre più sottile.
Cosa succede se rendi ogni report non falsificabile
Le telefonate degli uffici legali cambiano tono. Quando il metalmeccanico bresciano chiama e sostiene che il report è stato compilato dopo, dall’ufficio apri l’app, estrai il PDF con l’impronta incorporata, il log GPS e la firma qualificata, e lo mandi via email mentre sei ancora al telefono. L’ufficio legale verifica l’hash sull’indirizzo di verifica, vede che coincide, chiude la pratica. Dopo due o tre episodi così, quel cliente smette di mettere in dubbio i tuoi adempimenti e anzi inizia a citarti, nei suoi meeting interni, come esempio di fornitore gestito bene. Le assicurazioni dei tuoi clienti liquidano i sinistri sugli impianti che manuteni in giorni invece che in mesi, perché lo storico è inattaccabile. Negli audit di qualifica dei gruppi industriali esci sopra la media e finisci nella lista dei fornitori preferiti, con contratti pluriennali al posto dei rinnovi annuali. E la tua polizza di responsabilità civile professionale, col tempo, costa meno, perché la tua statistica sinistri migliora: gran parte dei contenziosi potenziali si chiude nei primi trenta secondi di telefonata, con l’invio del report.
Cosa ti serve, in concreto, per arrivarci
Per proteggere la tua attività in trasferta e i tuoi clienti ti serve uno strumento che, nell’istante esatto in cui il tecnico tocca “avvia intervento”, produca il fix GPS, la marca oraria del server e l’impronta iniziale del report, tutto immutabile e tutto verificabile da terzi. Deve scattare le foto dentro l’app e proteggerne i dati di scatto, raccogliere la firma del referente con un prestatore qualificato eIDAS, produrre un PDF con impronta incorporata e indirizzo di verifica che chiunque può controllare senza entrare nel tuo sistema. Deve mettere a disposizione una valutazione d’impatto privacy già pronta per il Garante e rispettare l’articolo 4 dello Statuto. E nel lavoro di tutti i giorni del tecnico non deve costare un minuto in più di un report Word, altrimenti non viene usato e sei punto e a capo.
GeoTapp è costruito esattamente su questo bisogno, sul campo, parlando con imprese di assistenza tecnica che la telefonata dell’ufficio legale la vivevano come un rischio fisso: marca GPS e oraria al tap “avvia intervento”, impronta del report a ogni azione, foto scattate dall’app con i dati di scatto protetti, firma elettronica qualificata eIDAS, registro di audit immutabile, PDF con impronta incorporata e indirizzo di verifica per i terzi, valutazione d’impatto GDPR pronta all’uso. Guarda come funziona, e prova a immaginare la prossima telefonata dell’ufficio legale, quella che ti dice che il report è stato modificato dopo, con questo strumento in mano.
E a te, quante volte è capitato di dover difendere un report di intervento dal sospetto di essere stato compilato a posteriori, senza una prova crittografica in mano? Raccontalo nei commenti qui sotto. La richiesta di documentazione non falsificabile è ormai lo standard nell’industria italiana, ma nel piccolo e medio settore tecnico se ne parla ancora poco, e quello che scrivi aiuta altri colleghi nella stessa situazione.
Pubblicato originariamente su geotapp.com/blog
Top comments (0)