Come archiviare la PEC Posta elettronica certificata a lungo termine

Con questo articolo desidero far chiarezza circa le modalità di conservazione della posta elettronica certificata (PEC), sintetizzando la normativa vigente.

Prima di entrare nel dettaglio, seguono alcune precisazioni indispensabili per i fruitori del servizio di pec e per i fornitori di tale servizio:

1 Il contenuto della PEC va conservato a norma, pena l’impossibilità di opporla come prova a terzi in caso di contenzioso.

2 La stampa di un messaggio PEC con le relative ricevute di accettazione e consegna non vale come prova legale di invio; idem per la ricezione, in quanto la stampa di un messaggio di Pec ricevuto non vale come prova legale al fine di dimostrare che essa sia stata inviata da un determinato mittente.

3 I documenti che nascono digitali devono necessariamente esser conservati in formato elettronico.

4 Alla scadenza del certificato, i messaggi di posta elettronica certificata, anche se ancora conservati nello spazio di web mail, perdono efficacia probatoria e non sono più opponibili a terzi. Spesso il certificato scade dopo 3 anni.

5 Il Fornitore del servizio di PEC ha l’obbligo di conservazione dei soli log.

6 Per conservare le pec oltre la validità del loro certificato, è necessario memorizzarle su supporti non riscrivibili apponendo sul singolo file, la marca temporale e la firma digitale.

7 La firma digitale non è una firma autografa o meccanografica scansionata.

8 La ricevuta di consegna della pec va richiesta in forma completa”.

Ora approfondiamo questi otto brocardi.

Il contenuto della PEC va conservato a norma, pena l’impossibilità di opporla come prova a terzi in caso di contenzioso.
Il Codice Civile agli artt. 2214 e 2220 prevedono l’obbligo di conservare la corrispondenza aziendale per una decade. Dunque anche la corrispondenza avvenuta avvalendosi di posta elettronica e posta elettronica certificata.

La stampa cartacea di un messaggio PEC con le relative ricevute di accettazione e consegna non vale come prova legale di invio di una comunicazione o di invio entro una certa data. Anche la stampa di un messaggio di Pec ricevuto, non ha valenza probatoria circa la provenienza da un determinato mittente.

Ciò perché, in base all’art. 43, comma 3, del D.Lgs. n. 82/2005 (cosiddetto “CAD”), i documenti che nascono in formato digitale vanno conservati in modo permanente in formato digitale. <<I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali…>>. Dunque una dicotomia tra esigenze correnti (esempio: copia cartacea per leggere il documento anche se il pc è spento) e conservazione permanente (con le modalità disciplinate dall’art. 7 CAD).

Molti gestori di PEC (Posta Elettronica Certificata), offrono certificati di validità triennale: ciò vuol dire che dopo 3 anni (o altra scadenza in base al certificato) i messaggi PEC, pur conservati nello spazio di posta elettronica dal quale sono stati inviati o nel quale sono stati ricevuti, perdono opponibilità rispetto a terzi.

Per mantenere la capacità probatoria, è necessario apporre la firma digitale e la marca temporale ai file di posta elettronica e salvarli su supporti non riscrivibili.

Questo processo di consolidamento probatorio risponde ai dettami normativi inerenti la cosiddetta conservazione digitale,  effettuata secondo ll DPCM 03 dicembre 2013 pubblicato in data 12 marzo 2014, che prescrive le caratteristiche di inalterabilità ed immodificabilità.

Il Fornitore del servizio di PEC ha l’obbligo di conservazione dei soli log per 30 mesi, ossia conservare i soli tracciati delle trasmissioni dei messaggi, non dunque le pec e gli allegati.

Ribadendo il concetto: il certificatore deve  mantenere, per legge, solo i “log” che sono la traccia del messaggio (data, mittente e destinatario) e tale traccia non contiene il messaggio. In caso di controversia sul contenuto di un messaggio, i log del gestore non costituirebbero una prova opponibile a terzi circa il contenuto.

A questo punto, da un punto di vista operativo, chi invia o riceve una pec ha la necessità di conservare la pec. Di qui una dicotomia tra conservazione entro la scadenza del certificato di posta elettronica e conservazione oltre la scadenza del certificato.

Con la conservazione sostitutiva si è subito sicuri di avere un documento digitale che sarà opponibile a terzi anche dopo la scadenza del certificato. Come visto, ciò avviene apponendo firma digitale (non mera firma elettronica) e marca temporale, salvando il file su supporto inalterabile (esempio: dvd non riscrivibile).

Se invece si ha interesse a conservare il messaggio di posta elettronica entro la scadenza del certificato, possiamo conservare su web mail la pec con allegati o su hard disk il file eml della mail inviata.

Alcune precisazioni sulla ricevuta sono necessari.

Esistono 2 tipi di ricevuta, quella di invio e quella di consegna.

La ricevuta di invio attesta che la pec è stata inviata, quella di consegna attesta che la pec è stata ricevuta (non attesta che sia stata letta). Facendo un parallelo con la raccomandata cartacea con ricevuta di ritorno, la ricevuta di consegna è come la ricevuta cartacea della raccomandata. Quindi è indispensabile conservare la ricevuta di consegna. E, come spiegato, è digitale e va conservata digitalmente, non stampandola su carta.

Quando si invia una pec, si può scegliere il tipo di ricevuta tra le seguenti opzioni: completa, breve, sintetica.

Ricevuta di consegna completa: incorpora il messaggio originale completo di allegati.

Ricevuta di consegna breve: il messaggio originale è allegato alla ricevuta di consegna ma gli eventuali allegati inviati con la pec verranno sostituiti con i rispettivi hash.

Ricevuta di consegna sintetica: il messaggio originale e gli eventuali allegati non saranno incorporati nella ricevuta di consegna.

Anche riguardo al formato di salvataggio della pec, lo scrivente ritiene utile illustrare qualche dettaglio.

Il formato standard previsto dal DPCM 3 dicembre 2013 è il formato RFC2822/MIME. Il MIME è uno standard aperto, previsto in Italia dall’art. 6.1 delle regole tecniche di cui al D.M. 2 novembre 2005. E’ possibile salvare i messaggi come EML che risponde allo standard RFC 5322. Il file eml in lettura si presenta come una copia informatica del messaggio di posta inviato, contenente anche i documenti informatici oggetto di notifica.

In ultimo, prima di citare le fonti normative, un riassunto inerente la firma digitale e la marca temporale.

La firma digitale attesta integrità del documento e autenticità del mittente. Si basa su protocolli crittografici.

La marca temporale è il certificato che viene associato a un documento informatico e stabilisce in maniera certa e univoca l’esatta data e ora di ricezione o generazione di un documento. (Si basa sul formato UTC, Tempo Coordinato Universale . L’orario è costantemente aggiornato attraverso un servizio (NTP) di sincronizzazione con gli orologi atomici mondiali).

La marca temporale è fondamentale perché, alla scadenza del certificato, solo la combinazione di firma digitale e marca temporale prolunga la opponibilità.

Segue il dettame dell’art 62 DPCM 22/2013:
<<La firma digitale, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma digitale in un momento precedente alla sospensione, scadenza o revoca del suddetto certificato>>.

 

Fonti normative

DPR n.68 del 11 febbraio 2005: Regolamento recante disposizioni per l’utilizzo della PEC.
D.Lgs. n.82 del 7 marzo 2005: Codice dell’Amministrazione digitale, coordinato e aggiornato dal D.Lgs. n.235 del 30 dicembre 2010.
art. 43, comma 3, del D.Lgs. n. 82/2005.
DPCM del 6 maggio 2009: Disposizioni in materia di rilascio e uso di caselle PEC.
D.L. n.179 del 18 ottobre 2012 (conv. Legge n.221 del 17 dicembre 2012) – artt. 16‐18: Giustizia digitale – Utilizzo della PEC nel fallimento e nelle procedure concorsuali
Decreto Ministero Giustizia n.48 del 3 aprile 2013: Regole tecniche informatiche per il processo civile e il processo penale.
DPCM del 3 dicembre 2013: Regole tecniche in materia di conservazione dei documenti digitali.

Art 62 DPCM 22/2013

Autore: Andrea Gandini, informatico laureato in giurisprudenza, consulente di innovazione per Eureka equipe. Sito personale: www.dottorgandini.it Copyright: Andrea Gandini:
il presente articolo può essere condiviso e utilizzato solo se riportato integralmente citando l’autore e il sito www.eurekaequipe.eu. Inoltre il testo potrà essere utilizzato solo senza scopo di lucro.

Disclaimer: le normative sono soggette a modifiche ed abrogazioni ed è sempre necessario verificare le fonti normative. L’articolo non può essere utilizzato per dare pareri definitivi. Non ci assumiamo responsabilità per eventuali errori o omissioni presenti nel testo.