La posta elettronica certificata (PEC) viene comunemente equiparata alla raccomandata con ricevuta di ritorno con una serie di garanzie in più. Da un lato la PEC contribuisce alla dematerializzazione dei documenti consentendo lo scambio di informazioni esclusivamente con un approccio digitale (anziché in forma cartacea) e dall’altro favorisce un notevole risparmio azzerando i costi di invio e gestione. Le imprese possono eventualmente integrare gli account PEC con i principali sistemi di gestione documentale così da semplificare l’intero flusso.
Una parte della giurisprudenza attribuisce alla PEC il valore di sistema di trasmissione sicuro capace, allo stesso tempo, di garantire integrità, autenticità dei contenuti e identità del mittente.
A suffragio di questo tipo di valutazione, si fa riferimento al fatto che i testi e gli eventuali allegati dei messaggi PEC non sarebbero modificabili dopo l’apposizione della firma digitale da parte del gestore del servizio. Per tale motivo, i messaggi PEC inviati a un certo destinatario non sarebbero da quest’ultimo ripudiabili.
Permangono però alcune criticità sul funzionamento della PEC che meritano di essere analizzate e che spesso sono del tutto sconosciute, anche “agli addetti ai lavori”.
Come funziona la PEC
La PEC è uno strumento nato nel nostro Paese e il cui utilizzo è limitato a cittadini e imprese italiani. Tanto che quando venne ufficialmente introdotta dal legislatore nel 2005 molti la battezzarono come un'”anomalia italiana”.
Per inviare e ricevere messaggi PEC, è necessario rivolgersi a un gestore accreditato da AgID e attivare un account presso quest’ultimo nel caso in cui si fosse un soggetto fisico o giuridico.
I gestori accreditati da AgID sono “titolati a certificare le ricevute”. Cosa significa?
Quando si invia un messaggio PEC a un altro indirizzo PEC, il gestore scelto dall’utente prepara la cosiddetta busta di trasporto: all’interno di essa vengono inseriti il testo del messaggio, gli eventuali allegati originali e alcuni dati di certificazione.
La busta di trasporto eredita dal messaggio originale inviato dal client di posta (installato in locale sul dispositivo client dell’utente) o dall’applicazione web (i.e. webmail) per la gestione della PEC, una serie di header (intestazioni) dell’email. Tali intestazioni vengono riportate tal quali. Altre vengono invece modificate dal gestore per inserire la data di effettiva accettazione del messaggio, per aggiungere “POSTA CERTIFICATA:” al soggetto, per indicare nel campo “From:” la dizione “Per conto di:” seguita dall’indirizzo PEC del mittente.
Aprendo il messaggio PEC si troveranno, come allegati, l’email originale completa di header, gli eventuali allegati e il file con i dati di certificazione (daticert.xml
). Questi ultimi integrano i dati già riportati nel testo dell’email elaborata dal gestore oltre che informazioni aggiuntive sul tipo di messaggio e di ricevuta richiesta.
A fronte dell’invio di una mail PEC, il mittente ottiene:
- La ricevuta di accettazione dell’email inviata dal gestore PEC scelto dal mittente stesso
- La ricevuta di avvenuta consegna del messaggio PEC proveniente dal gestore scelto dal destinatario
L’errore che molti compiono è attribuire scarso peso alla ricevuta di avvenuta consegna non archiviandola correttamente o, peggio ancora, eliminandola.
Inoltre, non tutti sanno che esistono tre possibili ricevute di avvenuta consegna: completa, breve e sintetica. Esse hanno un peso molto differente sul piano dell’efficacia probatoria ed è il mittente del messaggio PEC a chiedere al gestore del destinatario quale ricevuta di avvenuta consegna desidera ottenere.
La ricevuta di avvenuta consegna completa permette di:
- Ottenere una certificazione circa la ricezione del messaggio PEC da parte del destinatario contenente un certo testo, ad una certa data e ora
- Ricevere certificazione che il destinatario ha ricevuto gli eventuali allegati al messaggio PEC a una certa data e ora
Entrambe le certificazioni vengono fornite solo richiedendo una ricevuta di avvenuta consegna in formato completo.
Per assicurarsi di richiedere la ricevuta di avvenuta consegna completa, è fondamentale selezionare l’impostazione corrispondente nella webmail.
Nel caso in cui si utilizzasse un client di posta elettronica (Outlook, Thunderbird, Mailbird, Gmail,…) per inviare e ricevere i messaggi PEC, si può verificare che per default venga sempre richiesta la ricezione della ricevuta di avvenuta consegna completa accedendo alle impostazioni dell’account presso il proprio gestore.
Come capire se la ricevuta di avvenuta consegna è completa?
Basta verificare che il messaggio ottenuto dal gestore di destinazione in risposta all’invio del messaggio PEC contenga Ricevuta di avvenuta consegna come titolo e in basso una copia del messaggio originale in formato .eml
e tutti gli eventuali allegati.
Con una ricevuta breve si avrà in allegato il testo dell’email originale mentre gli allegati non saranno presenti se non nella forma di hash (funzione non reversibile che permette di attestare che il contenuto di un file, separatamente presentato, corrisponde alla copia che è stata inviata via PEC).
La ricevuta sintetica contiene in allegato soltanto i dati di certificazione del gestore del destinatario del messaggio ma nessun riferimento agli eventuali allegati originariamente presenti e spediti.
La presenza della sola ricevuta sintetica non rende il servizio PEC in grado di offrire elementi idonei a far emergere eventuali modifiche applicate successivamente alla spedizione del messaggio e all’apposizione della firma da parte del gestore.
L’effettiva certezza di risalire al testo dell’email PEC effettivamente consegnata al destinatario e agli allegati eventualmente presenti insieme con il loro contenuto è quindi subordinata alla richiesta, da parte del mittente, di una ricevuta di avvenuta consegna completa o al massimo breve anche se consigliamo la prima soluzione.
Se il mittente è in grado di presentare una ricevuta di avvenuta consegna completa essa potrà essere usata in sede probatoria per attestare l’invio di messaggi e allegati.
Inoltre il gestore non può in alcun modo venire a conoscenza del contenuto dei messaggi PEC ma è comunque tenuto a conservare copia crittografata della busta di trasporto su server “GDPR compliant“. Nei log del proprio gestore PEC, accedendo all’area privata, si potrà accedere al contenuto delle buste di trasporto e delle ricevute limitatamente ai tempi di conservazione definiti per legge.
Una criticità importante: la PEC non certifica l’identità del mittente. PEC-ID e firma digitale con SPID
Forse in tanti non ci avranno pensato ma c’è una criticità di fondo ancora irrisolta: la PEC, nella sua attuale formulazione e implementazione, non certifica in maniera certa l’identità del mittente.
Il gestore che fornisce l’account PEC non è chiamato a verificare puntualmente l’identità del richiedente come si fa ad esempio per le identità digitali SPID: SPID, come funziona davvero e a che cosa serve.
Non c’è un riconoscimento de visu, un’autenticazione preventiva con CNS, CIE, firma digitale o altri strumenti: per l’attivazione di un account PEC l’utente deve oggi semplicemente conferire una serie di dati personali autocertificandone la veridicità sotto la sua piena responsabilità.
Gli allegati trasmessi via PEC senza l’apposizione di una firma digitale possono quindi essere considerati, in sede di giudizio, come privi di sottoscrizione: Differenza tra firma digitale, firma qualificata e firma elettronica.
Ecco perché è sempre bene considerare la PEC come uno strumento di comunicazione, seppur certificato, e la firma digitale come l’unico ausilio utile ad attestare in maniera inoppugnabile l’autenticità e l’integrità dei documenti trasmessi.
AgID stessa osserva: “la PEC soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente, la casella di PEC e non è previsto che il gestore debba obbligatoriamente sottoporsi a delle verifiche di conformità da parte degli organismi designati“.
Il legislatore ha infatti più volte fatto riferimento alla necessità di attivare il nuovo meccanismo PEC-ID ma per il momento tutto è rimasto lettera morta.
La normativa europea eIDAS (electronic IDentification, Authentication and trust Services) integra tutta una serie di prescrizioni e indicazioni per gli Stati membri in materia di servizi fiduciari, per l’autenticazione e per l’identificazione degli utenti.
Come spiega AgID, l’attuale PEC soddisfa alcuni requisiti ma “cade” ad esempio sul tema della certificazione del mittente. È inoltre fondamentale che il servizio elettronico di recapito certificato garantisca:
- L’identificazione del destinatario prima della trasmissione dei dati
- L’invio e la ricezione dei dati i quali devono essere garantiti da una FEA (firma elettronica avanzata) o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari in modo da escludere la possibilità di modifiche non rilevabili dei dati
Con PEC-ID l’idea era quella di poter inviare alle Pubbliche Amministrazioni (PA) documenti allegati non firmati digitalmente grazie alla preventiva attestazione che il gestore offre circa l’identità del mittente.
Alcune PA scrivono infatti, oggi: “quando i gestori dei servizi PEC forniranno caselle PEC-ID il titolare potrà inviare documenti non firmati digitalmente alle PA: questi documenti assumeranno comunque valenza giuridica in quanto è la casella PEC-ID stessa che identifica univocamente l’autore del messaggio“.
Il DPCM del 27 settembre 2012, all’art.6, prevede una serie di strumenti per l’identificazione del titolare del servizio PEC-ID che sono sostanzialmente sovrapponibili con quelli utilizzabili oggi per l’ottenimento di un’identità digitale SPID.
Ecco perché l’apposizione della firma digitale sui documenti mediante SPID sta per diventare una realtà: Firmare digitalmente i documenti con l’identità SPID: ecco come funziona.
Un uso crescente della PEC connessa a sistemi di identificazione certa può infatti contribuire a snellire ulteriormente la trasformazione digitale a ogni livello.
È quindi fondamentale considerare sempre un messaggio PEC alla stregua di qualunque altra email che si riceve: gli account PEC sono comunque esposti ad attacchi informatici e possono essere utilizzati come veicolo per la diffusione di malware (vedere I malware si diffondono anche attraverso le caselle di posta elettronica certificata).
È bene quindi agire sempre con la massima cautela un messaggio PEC potrebbe non essere partito davvero dal possessore dell’account corrispondente o comunque dal mittente specificato. Si sono verificati in passato molteplici casi di sottrazione delle altrui credenziali, usate poi per inviare mail phishing, ad esempio, verso determinate categorie professionali (usando ad esempio gli archivi pubblici).
Tutti i gestori, inoltre, consentono di specificare cosa fare se l’account PEC dovesse ricevere messaggi di posta da account non certificati.
Potrebbe aver senso selezionare Accetta solo messaggi di posta certificata quantomeno per evitare la mole dei messaggi di spam ricevuti o contenenti virus. Mai comunque abbassare la guardia e considerare sempre autorevoli le comunicazioni arrivate come messaggi PEC.
Vale la pena osservare che sebbene la maggior parte degli account PEC possano essere configurati per ricevere email normali (quindi anche da account “non-PEC”) la certificazione dell’invio si ha esclusivamente tra indirizzi PEC. Inviare messaggi da un account di posta tradizionale a una casella PEC o viceversa fa inoltre decadere buona parte del valore probatorio che assicura lo scambio di dati tra PEC e PEC.
Esportare i messaggi PEC fa perdere loro la validità legale?
Un aspetto sul quale è importante concentrare l’attenzione è quello relativo alla conservazione sostitutiva. Si tratta di una procedura legale-informatica definita dalla normativa italiana che mira a garantire nel tempo la validità legale di un documento informatico.
Non è che l’esportazione dei messaggi PEC dalla casella del gestore e la loro successiva memorizzazione in locale ne inficia intrinsecamente il valore legale.
L’aspetto che va tenuto presente è che l’utilizzo della conversazione sostitutiva non vale soltanto per i messaggi di posta elettronica certificata eventualmente scaricati in locale ma anche per quelli memorizzati nella casella PEC.
Basti pensare che i certificati digitali usati dai vari gestori per firmare la busta di trasporto utilizzata per trasmettere ciascun messaggio PEC ha una validità limitata (non superiore a 3 anni). Durante un contraddittorio portare come prova un messaggio PEC con un certificato scaduto potrebbe non essere più sufficiente a dimostrare le proprie ragioni.
Inoltre i gestori sono obbligati a mantenere i log delle comunicazioni via PEC (non i contenuti dei messaggi, come detto in precedenza) per soli 30 mesi.
Che lo si faccia appoggiandosi a un provider oppure si preferisca memorizzare i messaggi PEC in locale, questi dovranno essere conservati per almeno 10 anni attenendosi alle disposizioni in materia di conservazione sostitutiva. La semplice archiviazione sui propri sistemi di una copia dei messaggi PEC o la stampa cartacea non sono pratiche atte a conservare correttamente le informazioni.
In ogni caso, infatti, alla scadenza del certificato digitale, il messaggio potrebbe perdere i requisiti fissati dall’articolo 2702 del Codice Civile ed essere declassato, a discrezione dei giudice, ai sensi del successivo articolo 2712.
La conservazione sostitutiva in ambito locale è certamente possibile ma pone in capo al responsabile tutta una serie di obblighi normativi (tra cui l’approvazione da parte di un conservatore accreditato).
Ecco perché in molti preferiscono affidarsi ai servizi di conservazione sostitutiva offerti dagli stessi gestori delle caselle PEC o da soggetti diversi ma egualmente accreditati ovvero i cosiddetti conservatori specializzati.
I conservatori specializzati mettono a disposizione piattaforme integrate per gestire non solo i messaggi PEC (possono monitorare automaticamente gli account PEC senza alcun intervento da parte dell’utente) ma anche gli altri documenti aziendali.
In questo modo, per quanto riguarda la PEC e qualunque altro documento digitale, si sarà certi di prolungarne il valore legale nel tempo.