Posta certificata, facciamo chiarezza

di Manlio Cammarata - Le procedure e le infrastrutture della PEC producono una serie di implicazioni sul piano del diritto. Ecco il quadro alla luce delle più recenti novità normative. Cos'è, come funziona, che effetti ha

Roma - Lo schema di decreto sulla posta certificata, approvato dal Governo il 28 gennaio scorso, ha suscitato alcune critiche che non sembrano giustificate, almeno su alcuni punti. Un'attenta lettura delle norme, anche nel contesto delle disposizioni sui documenti informatici, può essere utile per mettere in chiaro gli aspetti più significativi. Partiamo da qualche considerazione di carattere generale.

1. La posta elettronica certificata (PEC) è indispensabile per completare il ciclo del documento informatico. Come tutti sanno ci sono alcuni casi in cui, per disposizione normativa o per tutelare qualche legittimo interesse, è necessaria l'attestazione di un soggetto terzo e fidato sulla spedizione di un documento, ed eventualmente anche del suo ricevimento. Nella maggior parte dei casi, per i documenti cartacei, si usa la posta raccomandata, con o senza avviso di ricevimento.
Per i documenti informatici fino a oggi è mancato uno strumento analogo, per il semplice motivo che i file che dovrebbero attestare i diversi passaggi sono troppo facilmente falsificabili e non ci sono soggetti "terzi" e affidabili che ne possano attestare la corrispondenza ai fatti. Con la PEC disponiamo di uno strumento informatico che equivale in tutto e per tutto alla raccomandata tradizionale, senza ricorrere alla carta.

2. La PEC sta alla e-mail che usiamo da anni esattamente come la raccomandata sta alla posta ordinaria. Così come la raccomandata non rende inutile la posta ordinaria, la PEC non fa venir meno l'utilità della e-mail non certificata, che possiamo continuare a usare. Ci serviremo della PEC solo nei casi in cui ci servano la ricevuta di partenza (con l'attestazione della data e dell'ora) ed eventualmente l'avviso di ricevimento (sempre con l'attestazione della data e dell'ora).
3. Dal punto di vista tecnico la PEC non fa altro che sfruttare alcune funzionalità dei protocolli di posta elettronica, che prevedono la generazione automatica delle ricevute da parte dei server. La normativa aggiunge la "busta di trasporto", che in di fatto comprende in un unico insieme di bit il messaggio e i dati di trasporto che lo accompagnano. La firma digitale del gestore del sistema (apposta dal server con procedura automatica) serve a validare i dati che compongono la busta e quindi consente di accertare se il tutto è integro.

4. Per spedire un messaggio di posta certificata è necessario disporre di una casella presso un provider PEC. La ricevuta di avvenuta consegna (o di mancata consegna) si può avere solo se anche il destinatario ha una casella di PEC: la stessa differenza che c'è tra la raccomandata ordinaria e la raccomandata con avviso di ricevimento.

Tutto qui: piuttosto semplice, no?
Ora è opportuno accennare ad alcuni aspetti che presentano implicazioni sul piano del diritto.

5. La firma digitale sulla busta non ha nulla a che fare con l'eventuale firma digitale sul documento trasmesso: si possono trasmettere con la PEC sia documenti firmati digitalmente sia documenti non firmati. I documenti non firmati non possono acquistare il valore di documenti firmati solo per il fatto che sono trasmessi attraverso la posta certificata: la firma del gestore non dice nulla circa l'effettiva identità del mittente e l'origine del documento.

6. La ricevuta di consegna attesta solo che il messaggio è stato recapitato nella casella del destinatario, non che lo abbia scaricato o letto. Nessun problema: si presume, salvo prova contraria, che il ricevente abbia letto il documento, esattamente come per la raccomandata postale l'avviso di ricevimento non dice nulla sull'effettiva apertura del plico o della busta e sulla lettura del contenuto.

7. A questo punto, qual è il valore legale di una e-mail non certificata? Esattamente quello che aveva prima dell'avvento della PEC: quello di un documento informatico privo di firma, che chiunque potrebbe avere formato o spedito.

E qui occorre una precisazione, perché su questo argomento sono state scritte diverse inesattezze, grazie anche a una normativa che è poco definire confusionaria. Meno male che con l'emanando "Codice dell'amministrazione digitale" il legislatore ha rimesso le cose a posto.

La norma di partenza è quella contenuta nell'art. 15, comma 2, della legge 59/97: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge", ma, attenzione, la norma non finisce qui e precisa: "I criteri di applicazione del presente comma sono stabiliti, per la pubblica amministrazione e per i privati, con specifici regolamenti da emanare, entro centottanta giorni dalla data di entrata in vigore della presente legge ai sensi dell'articolo 17, comma 2 della legge 23 agosto 1988 n. 400. Gi schemi dei regolamenti sono trasmessi alla Camera dei Deputati e al Senato della Repubblica per l'acquisizione del parere delle competenti Commissioni".

I "criteri" richiesti dalla legge per la validità ed efficacia dei documenti informatici sono stati emanati con l'ormai storico decreto del Presidente della Repubblica 513/97, che all'art. 2 recitava: "Il documento informatico da chiunque formato, l'archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del presente regolamento". E all'art. 4: "Il documento informatico munito dei requisiti previsti dal presente regolamento soddisfa il requisito legale della forma scritta." Disposizioni e requisiti che riguardavano, appunto, la firma digitale che oggi chiamiamo "forte", perché in quella fase non si pensava nemmeno all'uso di firme non qualificate.

Quella disposizione torna ora nel "codice" di prossima emanazione. Si legge infatti all'art. 17: "1. Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente decreto ed alle regole tecniche di cui all'articolo 72. - 2. Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 72 che garantiscano l'identificabilità dell'autore e l'integrità del documento".

Conclusione: se non c'è la garanzia dell'identificabilità dell'autore e dell'integrità del documento, (che si può avere solo con la firma digitale), il documento stesso non è "valido e rilevante a tutti gli effetti di legge" e non soddisfa il requisito legale della "forma scritta".

Altra cosa è il valore che un documento informatico può assumere di fronte al giudice civile. Anche su questo punto il nuovo codice metterà le cose in chiaro, precisando che il documento con firma digitale vale come un documento cartaceo firmato, quello con firma elettronica "debole" potrà essere valutato dal giudice sulla base della sua affidabilità e quello senza firma varrà come una riproduzione meccanica. Ma su questi aspetti potrà essere utile un altro articolo.

Manlio Cammarata
InterLex


NOTA: Chi volesse poi approfondire alcune questioni più specificamente giuridiche sollevate dal regolamento sulla PEC, può andare a vedere i primi articoli su InterLex di domani, 10 febbraio. E nell'indice della sezione sulla firma digitale ci sono molti altri articoli sulla materia.
48 Commenti alla Notizia Posta certificata, facciamo chiarezza
Ordina
  • Che ne dite di intasare l'emali di Stanca di posta certificata?
    non+autenticato
  • Ragazzi il Cammarata è consulente del CNIPA che ha fatto questa legge... insomma viene "pagato da loro per parlare bene delle loro leggi"!...meditate gente meditate...
    bello poi il link al suo sito per approfondimenti.....
    :\

    Questa legge danneggia tutti
    i piccoli provider
    lo sviluppo del commercio elettronico tra privati
    mettendo tutto in mano a pochi certificatori
    come le stesse Poste Italiane e Infocamere
    che si faranno pagare profumatamente i loro servizi!
    Bel progresso tecnologico!!!
    E mi stupisco del fatto che Punto Informatico dia tanto spazio a chi cura tanto certi interessi... mah...

    Leggete qualche altro articolo tipo questo sempre pubblicato su Punto Informatico:
    Email certificata o Internet imbrigliata? di Andrea Lisi
    http://punto-informatico.it/p.asp?i=51439

    Ciao a tutti! Paolo
    non+autenticato
  • - Scritto da:
    > Ragazzi il Cammarata è consulente del CNIPA che
    Ha anche scritto dei libri e degli articoli molto critici , non mi sembra uno che fa le cose per cortesia.

    In ogni caso fa un ragionamento corretto , le cose stanno cosi.


    > Questa legge danneggia tutti
    > i piccoli provider
    > lo sviluppo del commercio elettronico tra privati

    Nel commercio la raccomandta non è utilizzata tranne che per le procedure di recupero crediti

    > mettendo tutto in mano a pochi certificatori

    certamente è un servizio PENSATO per i grandi anzichè (come ha detto qualcuno) pensare ad uno standard che ognuno potevo adottare, si è scelta la strada dei GESTORI CERTIFICATI il chè non è per niente innovativo, come non è innovativa la PEC.

    > Leggete qualche altro articolo tipo questo sempre

    E' datato, credo che anche l'Avv. Lisi oggi , pur non condividendo come me la PEC, ne darebbe una spiegazione come quella fornita da Manlio.
  • ... del "terzo incomodo"?

    Con le chiavi asimmetriche se io "firmo" una mail con la mia chiave privata e con la chiave pubblica del destinatario e mi giunge ricevuta di consegna e apertura firmate con la chiave privata del destinatario e con la mia chiave pubblica, non è più che sufficiente per dimostrare legalmente che il destinatario ha ricevuto e letto la mail? O il destinatario ha lasciato in giro la sua chiave (e sono mazzi suoi) o ha per forza letto la mail. Se la posso esibire in un formato standard quando necessario non dovrebbe essere difficile poter dimostrare la spedizione, la ricezione/lettura e l'autenticità del contenuto.

    Che bisogno c'è di un terzo ente certificatore? Con la vecchia raccomandata cartacea sì, non esiste alcun meccanismo per certificare la consegna, ma con la posta elettronica le cose sono ben diverse. L'unica cosa che serve casomai è un ente che rilasci le chiavi e certifichi a chi appartiene quella chiave.

    Non è che si sta apprestando il solito ente inutile - tipo PRA, per intenderci - tanto per garantire a qualcuno di poter continuare a lucrare quando non ce n'è alcuna necessità.
  • Per evitare che l'emissione della ricevuta di ritorno venga inibita dal destinatario o venga emessa successivamente al ricevimento. Quindi in qualche modo una terza parte riconosciuta affidabile ci vuole. Le questioni che secondo me sono invece molto criticabili sono:
    - I criteri con cui viene riconosciuta l'affidabilità della terza parte (secondo loro in base al capitale sociale)
    - I criteri con cui viene determinato il ricevimento (ricevimento sulla casella postale del provider di servizi di posta certificata e non download del messaggio da parte dell'utente)
    non+autenticato
  • > Per evitare che l'emissione della ricevuta
    > di ritorno venga inibita dal destinatario o
    > venga emessa successivamente al ricevimento.

    Appunto per questo parlavo di RFC. Si tratta casomai di utilizzare software "certficati", non terze parti inutili.

  • E al mittente chi garantisce che stai usando un software certificato?
    non+autenticato
  • - Scritto da: ldsandon
    > ... del "terzo incomodo"?
    >
    > Con le chiavi asimmetriche se io "firmo" una mail
    > con la mia chiave privata e con la chiave
    > pubblica del destinatario e mi giunge ricevuta di
    > consegna e apertura firmate con la chiave privata
    > del destinatario e con la mia chiave pubblica,
    > non è più che sufficiente per dimostrare
    > legalmente che il destinatario ha ricevuto e
    > letto la mail? O il destinatario ha lasciato in

    si, anche se c'è un problema, io e te ci mettiamo d'accordo, mandiamo indietro la data dei server, ci scambiamo l'email e rimettiamo tutto a posto.

    abbiamo facilmente falsificato la data di una raccomandata elettronica
  • Cioe', io adesso devo far valere il mio diritto di recesso su un acquisto errato. Entro i 10 gg posso mandare una disdetta via PEC?
    Quanto costera' avere una casella PEC ?
    E la firma elettronica?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)