Sul fatto che il SdI sia stato messo all'indice dal Garante della Privacy perché a esso giungono i dettagli dell'acquisto si è già detto e scritto molto. È un problema limitato: non sono dati resi pubblici.

Esiste però un altro aspetto che non è stato finora evidenziato:
Sarà facile per i produttori di software gestionali reperire elenchi di clienti dei concorrenti.

Ora che nelle fatture è obbligatorio per le aziende indicare il proprio "Codice Destinatario" (o in alternativa la PEC), per praticità le aziende italiane stanno iniziando a evidenziarlo nel piè di pagina del proprio sito web, assieme ai dati aziendali obbligatori come Ragione Sociale, Partita IVA, etc..


Esempio di footer di pagina web con Codice Destinatario

Perché si preferisce il Codice Destinatario alla PEC?

Il Codice Destinatario consente di fare instradare la fattura inviata dal SdI (Sistema di Interscambio) dell'Agenzia delle Entrate verso un "Hub" (un web service accreditato presso l'Agenzia delle Entrate) di un intermediario. In pratica verso una struttura del fornitore del software usato in azienda, o dal proprio commercialista.
Il vantaggio è che ci è evitato di accedere regolarmente alla casella PEC per controllare se abbiamo ricevuto fatture elettroniche in formato XML, inviarle al commercialista perché le inserisca nel proprio sistema così da tenerne traccia (o che debba farlo il nostro reparto amministrativo interno).
Il servizio Hub riceve la fattura e la elabora direttamente. In sé è una cosa bella.


Funzionamente del Sistema di Interscambio come "postino digitale"

Dov'è la fragilità in termini di riservatezza?

I clienti degli hub non hanno un Codice Destinatario personalizzato, usano tutti lo stesso codice associato allo hub.
Conoscendo il codice destinatario possiamo sapere che software gestionale usa l'azienda (o il commercialista dell'azienda). O per lo meno che famiglia di software gestionali.

Sebbene oggi l'usanza di mettere il codice destinatario nel footer del sito non sia ancora diffusissima, siamo ancora agli inizi e secondo le nostre osservazioni in netta crescita.

Abbiamo provato a fare una prova di concetto, vedere quanti clienti riusciamo a individuare per ogni fornitore di software gestionale.

La modalità per ottenere le cifre non è per nulla affidabile, va presa con le pinze, tuttavia abbiamo preso delle accortezze per minimizzare l'errore e ci ha permesso di individuare a solo un mese dall'entrata in vigore dell'obbligo della fatturazione elettronica liste significative di clienti dei vari produttori.

Come ottenere il numero (e l'elenco) di clienti di un hub:

  • Cerchiamo su Google il codice destinatario dello hub, tra doppie virgolette (così da cercare il testo esatto).
    Il numero di risultati sarà un numero gonfiato e del tutto inaffidabile, ma possiamo migliorarlo.

  • In fondo alla lista scegliamo la voce per cui decidiamo di visualizzare anche i risultati omessi:

  • Andiamo all'ultima pagina disponibile dei risultati di Google.

  • A questo punto recuperiamo il numero di risultati mostrato in alto a sinistra della SERP:

Fornendo l'URL della ricerca di Google - magari paginando ogni 100 risultati - a uno dei tanti programmi scraper si può facilmente scarica l'elenco dei link per elaborazioni successive.

Notare che l'elenco non sarà esaustivo, saranno solo gli utenti che hanno pubblicato nel proprio sito il codice destinatario, e vi saranno inevitabili falsi positivi e duplicazioni. È sempre meglio di nulla!

Risultato della ricerca

La nostra ricerca è stata solo una prova di concetto, e non vuole essere né esaustiva, né elencare i clienti trovati di un particolare prodotto.
Non forniremo liste, peraltro facilmente reperibili evolvendo la procedura illustrata, ma solo un breve conteggio del numero di clienti trovati di alcuni degli hub più diffusi:

Clienti trovati per ogni fornitore di servizi
CodiceHub/Provider/ProduttoreNr. risultati
KRRH6B9Aruba379
PZIJH2VRegister.it62
7HE8RN5Centro Software300
T9K4ZHODatev Koinos293
M5UXCR1Danea Easyfatt
TeamSystem (Agyo)
TeamSystem (Fatture in Cloud)
418
SUBM70NZucchetti Digital Hub - vari prodotti gestionali373
USAL8PVSistemi Profis329
W7YVJK9Wolters Kluwer403
A4707H7Licon Uno312
BA6ET11Buffetti / Dylog300
5RUO82DPassHub (Passepartout)386

Certo, sono liste da estrarre e scremare, ma immaginate quanti risultati di qualità riuscirebbe a produrre un software che automatizzi in gran parte i controlli incrociati.

Conclusioni

Torno a rimarcare quanto sia inaffidabile e ballerino il numero dei risultati in SERP (per esempio, tra la prima ricerca e il momento in cui abbiamo preso gli screenshot si può vedere che un risultato è cambiato), tuttavia il punto è che siamo stati in grado con un'ispezione estremamente sommaria di reperire centinaia di domini di clienti degli hub.

Il prodotto gestionale usato da un'azienda non è un "dato sensibile"; è possibile che l'azienda cliente non abbia eccessivo interesse a difenderne il segreto, tuttavia rappresenta a nostro avviso una cricità per più motivi:

  1. i produttori di software usati dai clienti non hanno piacere a divulgare elenchi di propri utenti, se non sono casi d'uso pubblicizzabili, perché la concorrenza potrebbe fare su di essi campagne di vendita aggressive;
  2. i loro concorrenti d'altra parte sarebbero ben interessati a saperlo, così da poter eventualmente cercare di rubarne i clienti;
  3. ultima, ma non per importanza, è una questione di sicurezza informatica: meno il mondo esterno conosce la natura del software usato all'interno di un sistema, minore sarà la probabilità che attacchi hacker possano sfruttarne vulnerabilità note.

Per i prossimi mesi, attendetevi chiamate da commerciali di produttore di software gestionali che vi diranno "Lei per la contabilità usa il programma XXX, perché non passa a YYY con la nostra offerta bla...bla...bla?"