Attivazione della piattaforma di API Management per l’erogazione dei servizi di libero accesso – Provvedimento n. 118366 del 4 aprile 2023 dell’Agenzia delle Entrate

AGENZIA delle ENTRATE – Provvedimento n. 118366 del 4 aprile 2023

Attivazione della piattaforma di API Management per l’erogazione dei servizi di libero accesso

Dispone:

1. Definizioni

1.1. Ai fini del presente provvedimento, si intende per:

a) Sito internet: il sito internet istituzionale dell’Agenzia delle entrate;

b) Area riservata: l’area ad accesso autenticato del sito internet dell’Agenzia, dedicata ai servizi per gli utenti;

c) Utenti: soggetti, pubblici e privati, che aderiscono alle previste Condizioni generali di utilizzo specifiche per ciascuna tipologia di servizio con le funzionalità disponibili in area riservata;

d) API: Application Programming Interface – set di definizioni e protocolli con i quali vengono realizzati ed integrati software applicativi;

e) Servizi API: servizi puntuali che consentono la messa a disposizione ai sistemi informatici degli utenti, per il tramite di componenti API, dei dati gestiti dall’Agenzia;

f) Piattaforma API management: il sistema tecnologico per l’erogazione dei servizi API;

g) Piano di utilizzo: livelli di erogazione del servizio, che garantiscono un carico transazionale controllato e la conseguente disponibilità del servizio;

h) CAD: il Codice dell’amministrazione Digitale, di cui al decreto legislativo 7 marzo 2005, n. 82;

i) Codice: il Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196;

j) Regolamento: il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

2. Adesione ai servizi

2.1. L’Agenzia delle entrate rende disponibili agli utenti i servizi API di libero accesso

2.2.I servizi sono resi disponibili in base alla categoria di utenza individuata dall’Agenzia e resa nota sul sito internet. L’accesso ai servizi di interesse dell’utente avviene previa adesione alle Condizioni generali di utilizzo, specifiche per ciascuna tipologia di servizio, pubblicate nell’area riservata, che fissano le modalità di erogazione e di utilizzo dei servizi.

2.3.Con il presente provvedimento, sono approvate le condizioni generali per i servizi di cui al punto 3.1.

3. Servizi disponibili

3.1. A partire dal 15 maggio 2023, sono resi disponibili attraverso la piattaforma di API Management i seguenti Servizi API:

a) servizio per la verifica di esistenza e validità del codice fiscale, volto a verificare l’esistenza e la corrispondenza tra il codice fiscale e i dati anagrafici disponibili in Anagrafe Tributaria;

b) servizio per la verifica di esistenza e validità della partita IVA, volto a verificare la validità del numero di partita IVA attribuito e a fornire le informazioni relative allo stato di attività della partita IVA, alla denominazione del soggetto o, in assenza di questa, al cognome e nome della persona fisica titolare.

3.2. L’elenco dei servizi di libero accesso resi disponibili è pubblicato nell’area riservata.

L’introduzione di nuovi servizi e l’aggiornamento dell’elenco di cui al presente punto sono resi noti tramite apposito avviso pubblicato nella sezione dedicata del sito internet.

4. Sicurezza dei sistemi e dei dati

4.1. Al fine di assicurare la sicurezza del sistema informativo dell’Anagrafe tributaria, i cui dati sono resi disponibili attraverso i servizi di libero accesso di cui al presente provvedimento, è previsto un sistema di identificazione, autenticazione e autorizzazione degli accessi.

4.2. L’Agenzia procede al tracciamento degli accessi, nonché al monitoraggio e all’analisi periodica delle operazioni effettuate e verifica, anche a campione, il rispetto delle Condizioni generali di utilizzo dei servizi da parte degli utenti.

5. Trattamento dei dati personali

5.1. La base giuridica del trattamento dei dati personali – di cui agli articoli 6 paragrafo 3 lett. b) del Regolamento e 2-ter del Codice, è individuata negli articoli 7, 50, 64-bis e 71 del CAD.

5.2. Il trattamento dei dati personali, in specie riferibili a nome, cognome e codice fiscale degli utenti che hanno aderito alle Condizioni generali di utilizzo e dei soggetti incaricati di operare nell’area riservata per conto di questi è effettuato dall’Agenzia in qualità di Titolare del trattamento, secondo quanto previsto dall’articolo 4, paragrafo 7 del Regolamento e dal Codice, nel rispetto dei princìpi di liceità, necessità, correttezza, pertinenza e non eccedenza, esclusivamente per le finalità di cui alle predette Condizioni generali di utilizzo e nel rispetto di quanto previsto dalla normativa vigente in materia di protezione dei dati personali. L’Agenzia delle entrate si avvale del partner tecnologico Sogei S.p.A., al quale è affidata la gestione del sistema informativo dell’Anagrafe tributaria, per questo designata Responsabile del trattamento dei dati ai sensi dell’art. 28 del Regolamento.

5.3. Nel rispetto del principio della limitazione della conservazione (art. 5, par.1, lett. e) del Regolamento), l’Agenzia delle entrate conserva i dati oggetto del trattamento per il tempo necessario per lo svolgimento delle attività connesse all’erogazione dei servizi.

5.4. L’informativa sul trattamento dei dati personali e sull’esercizio dei diritti da parte degli interessati viene pubblicata sul sito internet dell’Agenzia delle entrate.

5.5. Sul trattamento dei dati personali relativo alla gestione dei servizi di libero accesso erogati tramite la piattaforma API Management è stata eseguita l’analisi del rischio ai sensi degli articoli 24 e 25 del Regolamento.

5.6. Il trattamento dei dati personali resi disponibili dall’Agenzia ai sensi del presente provvedimento, è effettuato dagli utenti in qualità di Titolari autonomi, secondo quanto previsto dall’articolo 4, paragrafo 7 del Regolamento e dal Codice.

5.7. Ai fini di cui al punto precedente, gli utenti sono tenuti:

– a trattare i dati personali oggetto del presente provvedimento secondo i principi di liceità, necessità, correttezza, pertinenza e non eccedenza, nel rispetto del Regolamento e del Codice;

– ad adottare tutte le misure tecniche ed organizzative richieste dall’articolo 32 del Regolamento, necessarie a garantire la correttezza e sicurezza del trattamento dei dati personali, nonché la conformità di esso agli obblighi di legge e al Regolamento.

Motivazioni

Nell’ambito delle azioni intraprese dall’Agenzia volte alla semplificazione amministrativa e alla promozione dei servizi digitali, il presente provvedimento interviene per disciplinare l’erogazione, tramite API, di servizi di libero accesso. Tale modalità di erogazione realizza l’interoperabilità tra il sistema erogatore del servizio e quello fruitore, con modalità standard che consentono l’integrazione delle rispettive applicazioni. Si tratta di un modello di collaborazione volto a favorire l’efficacia dell’azione amministrativa, assicurando massima visibilità ai servizi disponibili e minimizzando i costi di investimento dei fruitori.

Il servizio di libero accesso è rivolto ad una platea di utenti interessata alla sua integrazione in applicazioni proprie.

L’erogazione è prevista con volumi differenziati in base a diverse categorie di fruitori, attraverso uno o più Piani d’utilizzo che garantiscono un carico transazionale controllato e la conseguente disponibilità del servizio stesso.

In fase di prima attivazione, si rendono disponibili i servizi di libero accesso già disponibili in modalità consultazione web sul sito internet dell’Agenzia, per la verifica di esistenza e validità del codice fiscale e per la verifica di esistenza e validità della Partita IVA.

Riferimenti normativi

a) Attribuzioni del Direttore dell’Agenzia delle Entrate:

– Decreto legislativo 30 luglio 1999, n. 300 e successive modificazioni (art. 57; art. 62; art. 66; art. 67, comma 1; art. 68, comma 1; art. 71, comma 3, lett. a); art. 73, comma 4);

– Statuto dell’Agenzia delle Entrate (art. 5, comma 1; art. 6, comma 1);

– Regolamento di amministrazione dell’Agenzia delle Entrate (art. 2, comma 1);

– Decreto del Ministro delle Finanze 28 dicembre 2000, pubblicato nella Gazzetta Ufficiale n. 9 del 12 gennaio 2001.

b) Disciplina di riferimento:

– Decreto legislativo 7 marzo 2005, n. 82, recante il Codice dell’amministrazione Digitale, ed in particolare:

– art. 7, che stabilisce il diritto di fruire dei servizi erogati dalle pubbliche amministrazioni e dagli altri soggetti indicati dall’articolo 2, comma 2, del medesimo decreto, in forma digitale e in modo integrato, tramite gli strumenti telematici messi a disposizione dalle pubbliche amministrazioni;

– art. 50, nella parte in cui dispone che “i dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l’uso delle tecnologie dell’informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall’ordinamento, da parte delle altre pubbliche amministrazioni e dai privati”;

– art. 64-bis, nella parte in cui stabilisce che le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, del medesimo decreto rendono fruibili i propri servizi in rete, in conformità alle Linee guida, progettano e sviluppano i propri sistemi e servizi in modo da garantire l’integrazione e l’interoperabilità tra i diversi sistemi e servizi e con i servizi di cui ai commi 1 e 1-ter, espongono per ogni servizio le relative interfacce applicative e, al fine di consentire la verifica del rispetto degli standard e livelli di qualità di cui all’articolo 7, comma 1, adottano gli strumenti di analisi individuati dall’AGID con le Linee guida;

– art. 71 (“Regole tecniche”), nella parte in cui dispone che l’AGID, previa consultazione pubblica, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del medesimo decreto;

– Linee guida sull’interoperabilità tecnica, di cui alla determinazione AGID n. 547 del 1° ottobre 2021.

La pubblicazione del presente provvedimento sul sito internet dell’Agenzia delle Entrate tiene luogo della pubblicazione nella Gazzetta Ufficiale, ai sensi dell’articolo 1, comma 361, della legge 24 dicembre 2007, n. 244.

Allegato

CONDIZIONI GENERALI DI UTILIZZO DEI SERVIZI DI LIBERO ACCESSO IN API MANAGEMENT

Il soggetto richiedente, di seguito “utente”

PREMESSO CHE

– l’art. 6 del DPR 29 settembre 1973, n. 605 elenca gli atti nei quali deve essere indicato il numero di codice fiscale;

– l’art. 35-quater del DPR 26 ottobre 1972, n. 633 dispone che “al fine di contrastare le frodi in materia di imposta sul valore aggiunto, l’Agenzia delle entrate rende disponibile a chiunque, con servizio di libero accesso, la possibilità di verificare puntualmente, mediante i dati disponibili in anagrafe tributaria, la validità del numero di partita IVA attribuito ai sensi dell’articolo 35 o articolo 35-ter. Il servizio fornisce le informazioni relative allo stato di attività della partita IVA inserita e alla denominazione del soggetto o, in assenza di questa, al cognome e nome della persona fisica titolare”;

– l’art. 38, comma 6, del decreto-legge 31 maggio 2010, n. 78 stabilisce che “… l’Amministrazione finanziaria rende disponibile a chiunque, con servizio di libero accesso, la possibilità di verificare, mediante i dati disponibili in Anagrafe Tributaria, l’esistenza e la corrispondenza tra il codice fiscale e i dati anagrafici inseriti”;

– l’art. 7 del decreto legislativo 7 marzo 2005, n. 82 stabilisce il diritto di fruire dei servizi erogati dalle pubbliche amministrazioni e dagli altri soggetti indicati dall’articolo 2, comma 2, del medesimo decreto, in forma digitale e in modo integrato, tramite gli strumenti telematici messi a disposizione dalle pubbliche amministrazioni e il punto di accesso di cui al successivo articolo 64-bis del decreto;

– l’art. 50 del d.lgs. n. 82 del 2005 dispone che “i dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l’uso delle tecnologie dell’informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall’ordinamento, da parte delle altre pubbliche amministrazioni e dai privati”;

– l’art. 64-bis del menzionato d.lgs. n. 82 del 2005 stabilisce che le pubbliche amministrazioni e gli altri soggetti di cui all’articolo 2, comma 2, del medesimo decreto rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri, e progettando e sviluppando i propri sistemi e servizi in modo da garantire l’integrazione e l’interoperabilità tra i diversi sistemi e servizi ed espongono per ogni servizio le relative interfacce applicative e adottando gli strumenti di analisi individuati dall’AgID con Linee guida;

– l’art. 71 del d.lgs. n. 82 del 2005 (“Regole tecniche”) dispone che l’AgID, previa consultazione pubblica, sentiti le amministrazioni competenti e il Garante per la protezione dei dati personali nelle materie di competenza, nonché acquisito il parere della Conferenza unificata, adotta Linee guida contenenti le regole tecniche e di indirizzo per l’attuazione del medesimo decreto;

– con determinazione n. 547 del 1° ottobre 2021 l’AGID ha definito la Linea di indirizzo sull’interoperabilità tecnica;

– l’Agenzia delle entrate (di seguito “Agenzia”), in conformità alle citate disposizioni, ha previsto l’attivazione di servizi di libero accesso per la verifica del codice fiscale e per la verifica della partita iva;

– i suddetti servizi sono realizzati e gestiti dal partner tecnologico Sogei S.p.A..

PRENDE VISIONE E ACCETTA LE SEGUENTI CONDIZIONI GENERALI DI UTILIZZO

Art. 1

Definizioni

1. Ai fini delle presenti Condizioni generali di utilizzo si riportano le seguenti definizioni:

a) Agenzia: l’Agenzia delle entrate;

b) CG: le presenti Condizioni generali di utilizzo per l’accesso in via telematica ai servizi API erogati dall’Agenzia;

c) Sito internet: il sito internet istituzionale dell’Agenzia;

d) Area riservata: l’area riservata del sito internet dedicata ai servizi per gli utenti registrati;

e) API: Application Programming Interface – set di definizioni e protocolli con i quali vengono realizzati ed integrati software applicativi;

f) Servizi API: servizi puntuali che consentono la messa a disposizione ai sistemi informatici degli utenti, per il tramite di servizi API, dei dati gestiti dall’Agenzia;

g) Piattaforma API management: il sistema tecnologico per l’erogazione dei servizi API;

h) Piano di utilizzo: livelli di erogazione del servizio, che garantiscono un carico transazionale controllato e la conseguente disponibilità del servizio;

i) CAD: il Codice dell’Amministrazione Digitale, di cui al decreto legislativo 7 marzo 2005, n. 82;

j) Codice: il Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196;

k) Regolamento: il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Art. 2

Oggetto

1. Le presenti CG disciplinano le modalità e i termini per l’accesso gratuito, da parte dell’utente, ai servizi di libero accesso erogati tramite Piattaforma di API management.

Art. 3

Modalità di adesione ed accesso ai servizi API

1. L’Agenzia rende disponibile l’accesso ai servizi API agli utenti registrati nell’area riservata del sito internet che aderiscano alle presenti condizioni di utilizzo.

2. In una sezione dedicata dell’area riservata l’utente aderisce ai servizi di interesse che saranno assegnati secondo il piano di utilizzo previsto per la categoria di appartenenza predeterminata dall’Agenzia secondo criteri esposti sull’area riservata.

3. L’accesso da parte dell’utente, secondo piani di utilizzo attribuiti dall’Agenzia, è consentito nel rispetto della normativa in materia di protezione dei dati personali.

Art. 4

Modalità di erogazione dei servizi

1. L’erogazione dei servizi API avviene secondo le modalità tecnico-operative individuate dall’Agenzia e rese note attraverso il sito internet.

2. L’Agenzia potrà modificare in qualsiasi momento le modalità tecniche di erogazione dei servizi API, dandone preventiva comunicazione tramite pubblicazione nell’area riservata.

3. L’utente dovrà dotarsi di tutte le soluzioni informatiche necessarie per la fruizione dei servizi.

Art. 5

Condizioni di utilizzo

1. L’utente, nell’utilizzo del servizio, è tenuto a:

a) adottare le procedure necessarie alla verifica sistematica e alla revisione periodica delle proprie applicazioni integrate con i servizi API dell’Agenzia;

b) utilizzare le informazioni acquisite per fini consentiti dalla legge, nel rispetto di quanto previsto dalla normativa vigente, in materia di protezione dei dati personali;

c) adottare le procedure necessarie a garantire la conservazione delle informazioni acquisite per il tempo strettamente necessario allo svolgimento delle attività per cui i dati sono stati acceduti e la loro cancellazione quando gli stessi non siano più necessari;

d) utilizzare i servizi in linea con i piani di utilizzo e le specifiche tecniche, nonché con quanto previsto al successivo art. 8.

Art. 6

Gestione e manutenzione dei servizi

1. L’Agenzia potrà sospendere i servizi in occasione di interventi manutentivi programmati, dandone avviso con adeguato anticipo tramite pubblicazione nell’area riservata.

2. L’Agenzia potrà procedere a revisioni del piano di utilizzo necessarie a far fronte alla sostenibilità dei sistemi anche in funzione di esigenze straordinarie. Per tali interventi di revisione l’Agenzia darà comunicazione con adeguato anticipo tramite pubblicazione nell’area riservata.

3. L’Agenzia non è responsabile per danni di qualsiasi natura, diretti e indiretti, per le variazioni suddette né per eventuali sospensioni o interruzioni dei servizi.

Art. 7

Trattamento dei dati personali

1. L’accettazione delle presenti CG implica un trattamento di dati personali in specie riferibili a nome e cognome dell’utente o dei soggetti incaricati di operare nell’area riservata per conto di questi.

2. Il trattamento dei dati personali è effettuato dall’Agenzia in qualità di Titolare del trattamento, secondo quanto previsto dall’articolo 4, paragrafo 7 del Regolamento e dal Codice, nel rispetto dei princìpi di liceità, necessità, correttezza, pertinenza e non eccedenza, esclusivamente per le finalità di cui alle presenti CG e nel rispetto di quanto previsto dalla normativa vigente in materia di protezione dei dati personali.

3. In particolare l’Agenzia si impegna:

– a non comunicare i dati personali a soggetti terzi, eccezion fatta per i soggetti designati quali Responsabili del trattamento dei dati ai sensi dell’articolo 28 del Regolamento ovvero alle persone autorizzate al trattamento dei dati personali che operano sotto l’autorità diretta del Titolare o del Responsabile, se non ai fini dell’esecuzione di cui alle presenti CG o nei casi espressamente previsti dalla legge, nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ovvero per adempiere ad un ordine dell’Autorità Giudiziaria;

– ad adottare tutte le misure tecniche ed organizzative richieste dall’articolo 32 del Regolamento, necessarie a garantire la correttezza e sicurezza del trattamento dei dati personali, nonché la conformità di esso agli obblighi di legge e al Regolamento;

– a consentire, nella maniera più agevole possibile, l’esercizio del diritto di accesso ai propri dati e degli ulteriori diritti in materia di protezione dei dati personali da parte dei soggetti interessati.

4. L’Agenzia provvede a pubblicare sul proprio sito internet l’informativa di cui all’art. 13 del Regolamento sul trattamento dati derivante dalle presenti CG.

Art. 8

Sicurezza e controlli

1. L’utente, nell’utilizzo del servizio, si impegna a:

– utilizzare le API in un modo da non arrecare pregiudizio, danneggiare, deteriorare, interrompere i servizi e i sistemi dell’Agenzia ovvero tentare di ottenere un accesso non autorizzato ad essi;

– non effettuare accessi massivi alle API e a non costruire basi dati derivate, con l’eccezione di quanto necessario per consentire l’ordinario utilizzo dei dati;

– non utilizzare le API, o qualsiasi dato ottenuto dall’utilizzo delle stesse, al fine di identificare, sfruttare o divulgare a terzi qualsiasi potenziale vulnerabilità di sicurezza, e a segnalare le vulnerabilità di sicurezza che dovessero eventualmente essere rilevate esclusivamente all’Ufficio Sicurezza Informatica dell’Agenzia;

– non falsificare, alterare, oscurare o condividere con terzi, qualsiasi dato o identificativo univoco o di riferimento assegnato all’utente per l’utilizzo in sicurezza dei servizi oggetto del presente accordo.

2. L’Agenzia potrà effettuare controlli, anche a campione, sul rispetto delle presenti condizioni attivando eventuali misure di riduzione dei rischi e mitigazione degli impatti, quali, a titolo esemplificativo e non esaustivo, limitazioni del volume di richieste API che possono essere effettuate dall’utente.

Art. 9

Durata

1. L’Agenzia rende disponibili i servizi per cinque anni decorrenti dalla data di adesione.

Art. 10

Disabilitazione dai servizi

1. L’Agenzia potrà procedere alla disabilitazione dei servizi:

a) nel caso di mancata fruizione da parte dell’utente per 12 mesi continuativi;

b) nel caso in cui vengano rilevati comportamenti dell’utente non conformi a quanto disposto dagli articoli 5 e 8 o comunque lesivi della sicurezza dei sistemi di Agenzia.

Art. 11

Recesso dell’utente

1. L’utente può recedere per mezzo della stessa applicazione di registrazione. Il recesso è immediatamente efficace dal momento della richiesta e comporta l’immediata interruzione del servizio.

Art. 12

Aggiornamento delle Condizioni generali

1. L’Agenzia potrà aggiornare o modificare le presenti CG, dandone preventiva informativa tramite l’area riservata.

2. L’utilizzo dei servizi, decorsi 30 giorni dalla messa a disposizione della nuova versione delle presenti CG, comporterà l’accettazione delle stesse così come modificate.

Art. 13

Variazione e disattivazione dei servizi API

1. L’Agenzia potrà variare o disattivare uno o più servizi API, in caso di sopravvenute modifiche normative che incidano sulle condizioni per l’accesso ovvero per la fruizione dei dati, dandone avviso tramite pubblicazione nell’area riservata.