La Posta Elettronica Certificata (PEC)

La Posta Elettronica Certificata (PEC) è una particolare e-mail, avente formato digitale “.eml”, rilasciata a chiunque ne faccia richiesta da uno qualsiasi dei Gestori PEC iscritti nell’elenco tenuto dall’Agenzia per l’Italia Digitale (AgID).
I principali riferimenti normativi in materia sono i seguenti:

• D.P.R 11 febbraio 2005, n. 68 (Regolamento recante disposizioni per l’utilizzo della PEC), il cui art. 3 dispone che «il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore»;
• Decreto Legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale), il cui art. 48 dispone che «la trasmissione di un documento informatico via PEC, equivale alla notificazione per mezzo della posta. La data e l’ora di trasmissione e di ricezione di un documento informatico trasmesso mediante PEC sono opponibili ai terzi»;
• Decreto Ministeriale 2 novembre 2005 (Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della PEC).

La PEC, secondo la definizione contenuta nel Codice dell’Amministrazione Digitale (CAD), è un «sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi», ed è stata disciplinata nel nostro ordinamento con il Regolamento per l’utilizzo della Posta Elettronica Certificata. E’ inoltre disciplinata all’interno del D.Lgs. 82/2005, il quale lo definisce come sistema di posta elettronica attestante l’invio e la consegna di documenti informatici con valenza legale.

Ai fini della corretta trattazione di questa particolare forma di notifica, è necessario soffermarsi sulle modalità di funzionamento della PEC: attraverso di essa, il mittente ottiene dal proprio gestore di posta una ricevuta con precisa indicazione temporale, che costituisce prova legale dell’avvenuta spedizione del messaggio e degli eventuali documenti allegati allo stesso.
I soggetti che intendono fruire del servizio di PEC devono avvalersi dei gestori inclusi nell’elenco pubblico tenuto dall’AgID. Pertanto, per certificare l’invio e la ricezione di un messaggio di PEC, è necessario preliminarmente aver sottoscritto un contratto con un gestore PEC.

L’elenco di certificatori attivi è disponibile sul sito dell’AgID, al seguente link: http://www.agid.gov.it/infrastrutture-sicurezza/pec-elenco-gestori

Secondo l’art. 13 del D.P.R 68/2005, i gestori devono possedere una serie di requisiti soggettivi e oggettivi, oltre la certificazione di qualità richiesta dalla legge. I gestori devono anche garantire il rispetto delle Regole tecniche per la formazione, la trasmissione e la validazione della posta elettronica certificata di cui al D.M. 2 novembre 2005, assicurando in ogni caso livelli minimi di servizio.

Il valore legale della PEC

La PEC permette di dare a un messaggio di posta elettronica lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale.

L’art 4, comma 2, del D.P.R. 68/2005 specifica che «la validità della trasmissione e ricezione del messaggio di posta elettronica certificata è attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna».

L’attestazione materialmente costituita da una e-mail contenente un file xml (daticert.xml) con i dati di accettazione, certificazione del gestore di PEC, l’indicazione di un codice identificativo univoco attribuito all’e-mail e la sottoscrizione del gestore, sarà opponibile ai terzi. Ne consegue che, anche la ricevuta di avvenuta consegna, rilasciata dal gestore di PEC del destinatario, a fronte della ricezione di una busta di trasporto valida al mittente, costituisce prova che il messaggio è pervenuto nella casella di PEC del destinatario e che si trova nella sua disponibilità, prescindendo dalla lettura del messaggio o meno.

Viene attribuito valore legale non alla lettura del documento, bensì alla ricezione del documento stesso il quale si trova nella materiale disponibilità del destinatario, determinandosi in tal caso una presunzione di conoscenza della comunicazione da parte del destinatario.

Sul punto è intervenuta recentemente la giurisprudenza, affermando che in caso di impossibilità materiale della conoscenza della comunicazione a causa di problemi tecnici «spetta al destinatario informare il mittente incolpevole delle difficoltà di cognizione del contenuto della comunicazione legate all’utilizzo dello strumento telematiche».

Una peculiarità del documento trasmesso tramite PEC riguarda l’integrità e l’immodificabilità del messaggio. Tale caratteristica attribuisce un’ulteriore valenza alla PEC rispetto alla raccomandata tradizionale.

Le caratteristiche di immodificabilità e integrità sono garantite dalla busta di trasporto, la quale costituisce un documento composto dal messaggio originale, inviato dall’utente, e i relativi dati di certificazione, sottoscritta dal gestore con firma elettronica qualificata.

Per quanto riguarda i documenti allegati alla PEC, è vero che vige il principio della immodificabilità del messaggio secondo cui è garantita la non modificabilità del contenuto ma, non è possibile attribuire la paternità di un documento informatico allegato al messaggio di PEC al mittente dello stesso messaggio.

La paternità del documento potrà essere riconosciuta unicamente con l’apposizione della firma.

Il file da notificare deve avere uno dei seguenti formati: .pdf, .odf, .rtf, .txt, .jpg, .gif, .tiff, .xml; Tuttavia, appare consigliabile utilizzare il formato .pdf, agevolmente gestito dalla maggiore parte degli scanner da ufficio in commercio, i quali producono direttamente la copia informatica in tale formato.

La procedura di invio di un messaggio tramite PEC

La procedura di invio di un messaggio tramite PEC è regolata dal Decreto del Ministro della giustizia 17 luglio 2008 (Regole tecnico-operative per l’uso di strumenti informatici e telematici nel processo civile), e prevede l’invio da parte del mittente, previa autenticazione, del messaggio di posta, il quale sarà sottoposto al gestore. Successivamente, si procederà ad una verifica da parte del gestore circa la correttezza formale del messaggio e l’assenza di virus.

In tale fase, in caso di esito positivo, il gestore restituisce al mittente la ricevuta di accettazione e genera automaticamente la busta di trasporto con il file postacert.eml che contiene il messaggio originale, e il file daticert.xml che riproduce l’insieme di tutte le informazioni relative all’invio (mittente, gestore del mittente, destinatari, data e ora dell’invio). La busta è firmata dal gestore tramite firma elettronica qualificata.

La ricevuta di accettazione è costituita da un messaggio di posta elettronica, inviato al mittente e riportante data ed ora di accettazione, dati del mittente e del destinatario e oggetto.

La busta di trasporto, secondo quanto stabilito dal D.M. 17 luglio 2008, consiste in un messaggio generato dal punto di accesso e che contiene il messaggio originale ed i dati di certificazione. Tale procedura consente al gestore del destinatario di verificare l’inalterabilità durante il trasporto. «All’interno della busta di trasporto è inserito in allegato l’intero messaggio originale immodificato in formato conforme alla RFC 2822 (tranne per quanto detto a proposito del Message ID) completo di header, corpo ed eventuali allegati. Nella stessa busta di trasporto è inoltre incluso un allegato XML che specifica in formato elaborabile i dati di certificazione già riportati nel testo ed informazioni aggiuntive sul tipo di messaggio e tipo di ricevuta richiesta. Alla busta di trasporto possono inoltre essere allegati ulteriori elementi opzionali per specifiche funzionalità fornite dal gestore di posta certificata».

In caso di esito negativo, il gestore rilascia un avviso di non accettazione che riporta anche il motivo del rifiuto.

Il gestore del destinatario, una volta ricevuta la busta di trasporto ed effettuati i controlli sulla validità e assenza di virus, la accetta e consegna al gestore del mittente la ricevuta di presa in carico che attesta il passaggio di consegna tra i due gestori, e successivamente deposita il messaggio nella casella di posta del destinatario. Se la consegna va a buon fine, il gestore del destinatario invia a quello del mittente una ricevuta di avvenuta consegna.

In base alla scelta impostata dal mittente, le ricevute di consegna possono essere distinte in tre tipologie: completa, breve e sintetica.

La ricevuta di consegna completa è formata dal file postacert.eml, contenente il messaggio originale composto da messaggi di testo allegati, e il file daticert.xml che riproduce, l’insieme di tutte le informazioni relative all’invio, in particolare il mittente, i destinatari, il gestore in oggetto, data e ora dell’invio, codice identificativo del messaggio.

La ricevuta di consegna breve è composta dal file daticert.xml e un estratto del messaggio originale.

La ricevuta di consegna sintetica è composta dal solo file daticert.xml. Scegliendo tale opzione, se il gestore del destinatario non riesce a consegnare il messaggio, invia un avviso di mancata consegna al gestore del mittente che lo inoltra a quest’ultimo. Conseguentemente, qualora il gestore del mittente non riceve nulla da quello del destinatario entro 12 ore dall’inoltro della busta di trasporto, ne informa il mittente. Non escludendo che questo possa avvenire in seguito, si ritiene utile considerare che l’invio del messaggio potrebbe non andare a buon fine. Il sistema provvederà comunque a inviare un ulteriore avviso di mancata consegna se nelle prossime dodici ore non vi sarà la conferma della ricezione da parte del destinatario. Decorse 22 ore, ma prima che siano trascorse 24 ore, comunica al mittente la notizia che il messaggio non è stato consegnato.

I messaggi sono trasferiti tra gestori usando una codifica a 7 bit sia per gli header sia per il corpo del messaggio e gli eventuali allegati. Ai fini della determinazione dei dati di certificazione fanno fede, per il sistema, gli elementi utilizzati per l’effettivo instradamento del messaggio verso i destinatari. Nelle fasi di colloquio mediante protocollo SMTP (ad esempio presso i punti di accesso e di ricezione) i dati di reverse path e forward path (comandi mail from e rcpt to) sono quindi considerati come dati di certificazione rispettivamente del mittente e dei destinatari. I dati di indirizzamento presenti nel corpo del messaggio (campi To e Cc) sono usati esclusivamente per discriminare tra destinatari primari del messaggio e riceventi in copia, qualora necessario; i dati di indirizzamento presenti nel campo Ccn non sono considerati validi dal sistema.

Allo scambio di messaggi di posta certificata corretti tra differenti gestori di posta certificata, il gestore ricevente emette una ricevuta di presa in carico nei confronti del gestore mittente.
Le ricevute di presa in carico emesse sono relative ai destinatari ai quali è indirizzato il messaggio in ingresso, così come specificato nei dati di instradamento (forward path e reverse path) della transazione SMTP. All’interno dei dati di certificazione della singola ricevuta di presa in carico sono elencati i destinatari a cui la stessa fa riferimento. In generale, a fronte di una busta di trasporto, ogni gestore destinatario dovrà emettere una o più ricevute di presa in carico per i destinatari di propria competenza.

L’insieme di tali ricevute coprirà, in assenza di errori di trasporto, il complessivo dei destinatari del messaggio.

Proseguendo l’analisi di tale procedura, «il destinatario dotato di casella PEC riceve la busta di trasporto con il file postacert.eml contenente il messaggio originale, completo di testo ed eventuali allegati, e il file daticert.xml che riproduce l’insieme di tutte le informazioni relative all’invio».
Caratteristica del sistema di PEC è la possibilità del gestore di imporre limiti dimensionali per il singolo messaggio.
Il secondo comma dell’art.12 del Decreto 2 novembre 2005 (Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata) dispone che il limite imposto dal gestore «deve garantire la possibilità dell’invio di un messaggio: (a) almeno fino a cinquanta destinatari; (b) per il quale il prodotto del numero dei destinatari per la dimensione del messaggio stesso non superi i trenta megabytes».

Il registro di log

Ai sensi del punto 6.2 del D.M. 2 novembre 2005, i gestori hanno l’obbligo di registrare tutte le operazioni relative alle proprie PEC nel log del proprio sistema.
I dati registrati sui singoli log dipendono dalla tipologia dell’operazione tracciata in particolare dalla ricezione di un messaggio, generazione ricevute, ecc. «Deve essere garantita la possibilità di reperire, a richiesta, le informazioni contenute nei log di estrarre le registrazioni con cadenza giornaliera, apponendo una marca temporale e di conservarle per almeno 30 mesi, nel rispetto delle norme di legge in materia di conservazione». Inoltre, ai sensi del D.M. predetto, il registro di log dovrà contenere:

• il codice identificativo univoco assegnato al messaggio originale (Message-ID),
• la data e l’ora dell’evento,
• il mittente del messaggio originale,
• i destinatari del messaggio originale,
• l’oggetto del messaggio originale,
• il tipo di evento,
• il codice identificativo (Message-ID) dei messaggi correlati generati,
• il gestore mittente

Le modalità di conservazione conformi alla normativa vigente sono indicate nel documento Istruzioni per la conservazione dei log dei messaggi e dei messaggi di posta elettronica certificata con virus.
Pertanto, ai fini della disciplina in materia di Posta Elettronica Certificata, vengono coordinate le norme del Decreto Ministeriale 2 novembre 2005, relativo alle regole tecniche per la formazione della PEC, con il Decreto del Presidente della Repubblica 11 febbraio 2005 n. 68, il quale disciplina l’utilizzo della posta elettronica certificata, la trasmissione e la validazione, e con le disposizioni dell’Agenzia per l’Italia Digitale, la quale al fine di attribuire omogeneità in materia di PEC ha introdotto una serie di istruzioni rivolte a:

• gestori di posta elettronica certificata nel processo di conservazione dei log dei messaggi di
  PEC e dei messaggi contenenti virus;
• conservatori incaricati di conservare i log dei messaggi di PEC e i messaggi contenenti
  virus.

Orbene, secondo il Decreto Legislativo 7 marzo 2005 n. 82, l’Agenzia per l’Italia Digitale (AgID) riporta i requisiti per la conservazione dei documenti informatici e stabilisce che il sistema di conservazione dei documenti informatici deve garantire:

• l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione che
  ha prodotto il documento;
• l’integrità del documento;
• la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;
• il rispetto delle misure di sicurezza previste dagli artt. da 31 a 36 del Decreto Legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.

La conservazione del documento può essere svolta all’interno della struttura organizzativa del soggetto produttore dei documenti informatici da conservare (in house) oppure affidandola in modo totale o parziale ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche (outsourcing).
I soggetti che operano attività di conservazione hanno l’obbligo di redigere il Manuale di Conservazione, in relazione allo Schema manuale di conservazione v.2 rilasciato dall’Agenzia per l’Italia Digitale.

Durante le fasi di trattamento del messaggio presso i punti di accesso, ricezione e consegna, il sistema di gestione dei messaggi PEC deve mantenere traccia delle operazioni svolte. Il log è un’operazione essenziale ai fini del corretto funzionamento della PEC e consiste in una registrazione sequenziale e cronologica di eventi generati a seguito di una operazione con finalità di analisi, monitoraggio e verifica. Tale operazione coinciderà per il gestore di PEC del mittente, con il processo di presa in carico del messaggio originale, mentre per il gestore di PEC del destinatario, con il ricevimento del messaggio di PEC predisposto ed inviato dal gestore di PEC del mittente.

A seguito del log verranno creati i metadati, un insieme di informazioni necessariamente associate a un documento informatico, volte alla sua identificazione e descrizione circa il contenuto e la struttura e per consentirne la gestione nel tempo nel sistema di conservazione. Ogni documento informatico dovrà contenere dei metadati minimi:

• identificativo univoco del file di log;
• data di chiusura del documento intesa come data della creazione dell’impronta del file di log;
• impronta del file di log;
• gestore dei messaggi di PEC che ha inviato il file in conservazione;
• oggetto, ossia la tipologia del log;
• formato del file di log;
• destinatario del file di log, rappresentato dal responsabile della sicurezza dei log dei messaggi (DM 2 novembre 2005) del gestore di PEC;
• data di inizio del periodo di riferimento per la registrazione dei log;
• data di fine del periodo di riferimento per la registrazione dei log.

Come chiarito dall’Agenzia Digitale per l’Italia, il gestore di PEC, quindi, a seguito di tali operazioni, predispone il pacchetto di versamento e lo invia in conservazione. L’esito dell’operazione di versamento deve essere puntualmente verificato dal conservatore e comunicato al gestore di PEC tramite il rapporto di versamento automaticamente generato dal sistema di conservazione. Il rapporto di versamento deve essere univocamente identificato e contenere un riferimento temporale e una o più impronte calcolate sull’intero contenuto di ogni pacchetto di versamento a cui fa riferimento.
Il rapporto deve riportare l’accettazione o il rifiuto del pacchetto in questione. In caso di esito negativo il conservatore dovrà indicare quali anomalie si sono verificate. In caso di esito positivo il sistema di conservazione predispone un Pacchetto di Archiviazione (PdA) a partire dal PdV e procede con le attività di conservazione.

Messaggi di PEC con virus informatici

Potrà accadere che il messaggio di posta elettronica certificata contenga un virus informatico. Tale pacchetto avrà le stesse caratteristiche di un messaggio di posta elettronica standard trasportando, però, nel corpo o nell’allegato un software malevolo potenzialmente dannoso.

In tal caso il D.P.R. 11 febbraio 2005, n. 68, dispone che il gestore del mittente, che riceva messaggi con virus informatici, è tenuto a non accettarli, informando tempestivamente il mittente. In tale incombenza incorrerà anche il gestore del destinatario che riceva messaggi con virus informatici, il quale è tenuto a non inoltrarli al destinatario, informando tempestivamente il gestore de mittene.

La presenza del virus verrà rilevata attraverso il software antivirus, il quale trasmette il messaggio al sistema di gestione messaggi del gestore di PEC che procede accettando il messaggio o rifiutandolo e inviando una copia alla conservazione: nel caso in cui il virus venga rilevato dal gestore di PEC del mittente del messaggio originale, il gestore, produrrà una ricevuta di non accettazione per virus informatico, e procederà con l’invio in conservazione del messaggio; nel caso in cui invece il virus verrà rilevato dal gestore di PEC del destinatario del messaggio originale, questi produrrà un avviso di rilevazione di virus informatico, e invia il messaggio di PEC in conservazione, senza inoltrarlo al destinatario.

In ogni caso. ai sensi dell’art. 4 comma 2 del D.P.C.M. del 3 dicembre 2013, i gestori sono tenuti a memorizzare messaggi con virus per almeno trenta mesi; nel caso in cui decorrano i tempi previsti dalla normativa per lo scarto del PdA, previa autorizzazione del gestore, il sistema di conservazione rileva il PdA, e dopo le opportune verifiche, procede allo scarto definitivo