In precedenza, con due articoli (qui il primo, qui il secondo), abbiamo affrontato i vari metodi per comprovare, con data certa, la paternità di un’opera musicale. Oggi pare andare molto di moda usare la PEC (Posta Elettronica Certificata) quale metodo alternativo (ed economico) per attribuire la data certa a varie cose, non solo opere dell’ingegno. Visto che se ne parla spesso e i malintesi sono all’ordine del giorno, meglio fare chiarezza sfatando varie leggende metropolitane. Come sempre, saremo il più possibile sintetici ma precisi parlando di un ambito molto complesso, sia tecnicamente che giuridicamente.
Partiamo dallo strumento: la PEC è un’invenzione tutta italiana, introdotta legislativamente nel 2005 con D.P.R. 11 Febbraio 2005, n. 68 nonché D.Lgs. 7 marzo 2005, n. 82. L’idea era quella di utilizzarla per semplificare la comunicazione con la Pubblica Amministrazione, visti gli effetti e vantaggi si è però pensato via via di adottarla anche per società e professionisti (dal 2011). In tutti gli altri casi, l’uso della PEC è per ora facoltativo. Chiusa la fallimentare esperienza della PEC di Governo ai cittadini nel 2014 (comunque valida solo per le comunicazioni con la P.A.), oggi sono disponibili solo indirizzi PEC a pagamento, forniti dai vari gestori accreditati.
Primo aspetto da valutare: la PEC ha un effetto certo solo in Italia, per l’estero si dovrà vedere caso per caso, Paese per Paese. Non è riconosciuta come standard internazionale, anche se adotta tecnicamente alcuni protocolli idonei, con relative incertezze sulla valenza all’estero. Pare che in futuro arriverà uno standard comunitario per le e-mail certificate, diverso dalla PEC, quindi la PEC prima o poi verrà sostituita con qualcos’altro. Se verrà eliminata, trasformata o sommata ad altro e con quali effetti nessuno oggi lo sa, però si tenga conto che la situazione muterà, tecnicamente e giuridicamente.
Detto questo, torniamo alla disciplina. Possiamo riassumere i suoi caratteri come segue:
- il servizio PEC può essere erogato esclusivamente dai gestori accreditati presso l’Agenzia per l’Italia Digitale (ex DigitPA ed ex CNIPA) che è l’organo pubblico preposto al controllo della PEC;
- la PEC inviata a un destinatario PEC prova con certezza l’invio (la spedizione), l’integrità (non è stata alterata l’email) e l’avvenuta consegna (anche se il messaggio non è stato effettivamente letto dal destinatario) del messaggio scambiato tra il mittente e il destinatario; ha quindi lo stesso valore legale della tradizionale raccomandata con avviso di ricevimento;
- la traccia informatica delle operazioni svolte (cd. Log, una sorta di registro informatico) viene conservata dal gestore PEC per almeno 30 mesi;
- la PEC inviata a un destinatario email non PEC comprova solo l’invio;
- una email tradizionale inviata a un destinatario PEC non comprova nulla di certo.
Detto questo, si consideri che invece la PEC NON prova:
– il suo effettivo contenuto (con relative integrità e immodificabilità, necessarie per aversi data certa): solo il destinatario, infatti, riceve il messaggio firmato digitalmente dal gestore PEC che ne certifica il contenuto; il Log del gestore riguarda solo la trasmissione, cioè tutte le informazioni relative a mittente e destinatario, data e ora, intestazioni del messaggio, identificativi del messaggio: non vengono archiviati i contenuti del messaggio stesso né gli eventuali allegati;
– né l’avvenuta apertura della mail, né gli eventuali allegati i quali, peraltro, potrebbero essere sostituiti e modificati con banali accorgimenti (non c’è bisogno di essere hacker di alto profilo…); difatti la PEC garantisce che durante la trasmissione di un messaggio gli allegati non vengano alterati, senza però certificare alcun modo quali fossero tali allegati;
– né l’identità del mittente della PEC, da ottenere piuttosto con l’uso di una firma digitale (disciplinata dal Decreto Legislativo 7 marzo 2005, n. 82, vedi inoltre i dettagli tecnici qui) sul messaggio e sugli allegati;
– che il destinatario abbia effettivamente ricevuto il messaggio: pensiamo ad es. al caso di una casella PEC colma di email e spam, tale per cui i messaggi non riescono più a essere recapitati; certo, arriverà un avviso di mancata consegna, bisogna però farci caso e stare attenti a ogni eventualità.
Alla luce di quanto sopra, ne deriva che la PEC non sostituisce altri mezzi per ottenere data certa, fornendo prove molto limitate e discutibili. C’è modo di usare la PEC comunque per ottenere prove certe ai nostri fini?
Ci sono due possibilità alternative:
- adottare un sistema di PEC ampliata, offerto da alcuni certificatori, che estenda la prova anche al contenuto nonché eventuali allegati; di fatto, viene associata anche una marca temporale allo scambio di messaggi;
- adottare da sé una marca temporale (si veda qui per i dettagli) per “timbrare” il contenuto della PEC ed eventuali allegati, ottenendo la data certa anche su tali elementi.
In entrambi i casi sarà opportuno usare anche una firma digitale per assicurarsi la paternità del messaggio PEC inviato. Sia la marca che la firma hanno dei costi, da considerare nell’insieme. Inoltre si dovranno archiviare elettronicamente, a propria cura, tutte le PEC scambiate, perlomeno dopo i 30 mesi garantiti dal gestore, di nuovo utilizzando marche temporali.
Quanto sopra è tuttora in evoluzione, anche a fronte di una giurisprudenza e chiarimenti normativi sempre in corso (specie oggi che è partita la riforma del processo telematico, ove si adotta la PEC come strumento di trasmissione). A fronte di tutto, per essere sicuri al 100% tuttora è preferibile adottare uno degli altri sistemi di datazione certa analizzati nei nostri precedenti articoli dedicati al tema (come ad es. il deposito opera inedita offerto da SIAE), piuttosto che rischiare un passo falso che potrebbe costare caro, quando si pensava invece di “risparmiare” usando la PEC.