La disciplina della PEC

Fonte: PMI - Ipsoa Editore, n. 4/2009 — Gianfranco Visconti, Consulente di Direzione aziendale, Lecce

Il provvedimento in esame ha regolamentato, dopo una lunga gestazione, le caratteristiche e le modalità di utilizzo della posta elettronica certificata (PEC). Per posta elettronica certificata si intendono quelle e-mail i cui sistemi di gestione confermano la sicurezza (inviolabilità) e la tracciabilità del messaggio e vengono trasmesse al mittente documentazioni (ricevute) elettroniche attestanti, con una specifica indicazione temporale, l’invio e la consegna all’indirizzo elettronico del destinatario dei documenti informatici spediti, in modo tale che il valore legale di esse sia equivalente a quello di una raccomandata cartacea con avviso di ricevimento (art. 4, commi 1 e 6, ed art. 6).

I soggetti del servizio di posta elettronica certificata sono: il mittente, il destinatario e il gestore del servizio, cioè il soggetto, pubblico o privato, che eroga il servizio e gestisce domini (indirizzi di siti e caselle su Internet) di posta elettronica certificata (DPR 11 febbraio 2005, n. 68, art. 2).

Coloro che possono scambiarsi messaggi di posta elettronica certificata sono sia i privati (persone fisiche, persone giuridiche private ed imprese, associazioni e comitati che non sono persone giuridiche) sia le Pubbliche Amministrazioni (PA - persone giuridiche pubbliche, di cui all’art. 11 cc). Per i privati il solo indirizzo di PEC valido per ogni effetto giuridico è quello espressamente dichiarato ai fini di ciascun procedimento con la PA o di ogni singolo rapporto tra privati o tra questi e le PA (art. 4, comma 2).

Le imprese, per i rapporti tra loro intercorrenti, possono utilizzare la PEC. Tale facoltà è diventata un obbligo per le sole imprese aventi forma di società in forza dei commi 6 e 9 dell’art. 16 del DL 29 gennaio 2008, n. 185, convertito con modificazioni nella legge 28 gennaio 2009, n. 2. Il comma 11 dell’art. 16 del DL n. 185/2008 ha abrogato il comma 4 dell’art. 4 del DPR n. 68/2005 col presumibile scopo di rendere obbligatoria per tutte le imprese l’indicazione dell’indirizzo di PEC all’atto dell’iscrizione nel Registro delle Imprese; dato che il comma 6 dello stesso art. 16 rende questo obbligo valido solo per «le imprese costituite in forma societaria», le imprese individuali restano non obbligate all’indicazione dell’indirizzo di PEC al momento dell’iscrizione nel Registro delle Imprese.

Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore e si ritiene consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato (art. 3 che modifica il comma 1 dell’art. 14 del DPR 28 gennaio 2000, n. 445). Nel caso in cui il gestore del mittente e quello del destinatario non coincidano, essi devono garantire l’interoperabilità dei servizi offerti secondo quanto previsto dalle regole tecniche di cui all’art. 17 (art. 5). Il gestore del destinatario deve rilasciare una ricevuta elettronica che attesta l’avvenuta presa in carico del messaggio (art. 7).

Su ogni messaggio di PEC il gestore appone il «riferimento temporale» (documento informativo contenente i dati e l’ora di invio o di ricezione del messaggio) ed una «marca temporale» corrispondente sul registro informatico dei messaggi (art. 10). L’integrità di tutte le parti del messaggio di posta elettronica certificata viene garantita dal gestore attraverso l’inclusione di esso nella «busta di trasporto» (art. 11, comma 1), cioè il documento informatico che contiene il messaggio di PEC (art. 1, lett. a).

Le ricevute rilasciate dai gestori di PEC e la busta di trasporto sono sottoscritte con una firma elettronica avanzata (cd. firma digitale) ai sensi dell’art. 1, comma 1, lettera dd) del DPR n. 445/2000, apposta automaticamente dal sistema di posta elettronica su chiavi asimmetriche a coppia, una pubblica e una privata, tale da garantire la provenienza, l’autenticità e l’integrità del messaggio di PEC (art. 9).

Quando il messaggio di PEC non è consegnabile il gestore deve comunicare al mittente, entro le 24 ore dall’invio, la mancata consegna tramite un avviso elettronico (art. 8). Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte viene conservata per un periodo di trenta mesi dai gestori in un «registro» informatico dei messaggi, con lo stesso valore giuridico delle ricevute (art. 11, comma 2, ed art. 6, comma 7).

I gestori dei sistemi di posta elettronica certificata sono inclusi in un apposito elenco pubblico tenuto dal CNIPA — Centro Nazionale per l’Informatica nella Pubblica Amministrazione — che verifica i requisiti soggettivi ed oggettivi previsti inerenti alla capacità, competenza ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza inclusi sistemi di emergenza, alla certificazione ISO 9000 del processo di gestione della PEC, ecc.

I gestori di posta elettronica certificata devono garantire i livelli minimi di servizio previsti dalle regole tecniche di cui all’art. 17 (art. 13). Inoltre, i gestori, sia del mittente che del destinatario, sono tenuti a verificare l’eventuale presenza di virus informatici e, in caso di impossibilità di dare corso alla trasmissione, a conservare i messaggi per trenta mesi secondo le modalità definite dalle regole tecniche di cui all’art. 17 (art. 12).

Le regole tecniche per la formazione, la trasmissione e la validazione della posta elettronica certificata sono state definite dal Ministro per l’Innovazione e le Tecnologie ed emanate con Decreto del Presidente del Consiglio dei Ministri del 2 novembre 2005, pubblicato sulla Gazzetta Ufficiale n. 266 del 15 novembre 2005.

Tutti gli atti normativi sulla disciplina della posta elettronica certificata e della firma digitale sono consultabili su: www.cnipa.gov.it