In questo periodo si sente sempre più spesso parlare di Posta Elettronica Certificata, questo a causa, e avremmo preferito dire per merito, di vari provvedimenti legislativi con i quali si è rilanciato uno strumento che potrebbe essere importante, quale appunto la PEC. L’attuale legislatore sembra avere una particolare ostinazione a regolamentare e ri-regolamentare, con una certa soave leggerezza, in materia di digitalizzazione documentale e in materia di strumenti IT! Questo causa già un certo disorientamento negli studiosi del diritto dell’informatica, figuriamoci in coloro che questi processi e strumenti li dovrebbero conoscere e utilizzare!
Come più volte sottolineato, sarebbe stata molto opportuna una pausa di riflessione e sedimentazione nell’attuale panorama normativo in materia di amministrazione digitale e digitalizzazione documentale, in modo da permettere in futuro una riforma più ponderata e concreta in materia.
Da ultimo, due recentissimi Decreti della Presidenza del Consiglio dei Ministri del 6 maggio 2009 (DPCM 6 maggio 2009 su rilascio e uso della casella di PEC ai cittadini pubblicato in Gazzetta Ufficiale n.119 del 25 maggio 2009 e DPCM recante Individuazione delle regole tecniche per le modalità di presentazione della comunicazione unica e per l’immediato trasferimento dei dati tra le Amministrazioni interessate , in attuazione dell’articolo 9, comma 7, del decreto-legge 31 gennaio 2007, n. 7 pubblicato in G.U. n..152 del 3 luglio 2009) hanno incentivato l’utilizzo della PEC nei rapporti tra PA e cittadini e PA e imprese.
Prima di conoscere le novità più importanti contenute nei decreti appena pubblicati e provare a fare un commento obiettivo e non necessariamente (o totalmente) critico su queste nuove normative, vediamo brevemente cos’è la PEC e quale valore giuridico le sia stato riconosciuto, in modo da fare un minimo di chiarezza su questo strumento così caro al nostro legislatore, tanto da solleticare questa foga normativa pre-estiva.
La Posta Elettronica Certificata
La Posta Elettronica Certificata (c.d. PEC) consiste in un sistema di posta elettronica nel quale, a seguito dell’invio di comunicazioni e documenti informatici, viene fornita al mittente una attestazione elettronica, con valenza legale, in merito all’invio e alla consegna di quanto inoltrato.
Un sistema molto simile a quello delle raccomandate postali A/R. Tuttavia, il sistema di posta elettronica certificata risolve alcune carenze intrinseche della raccomandata tradizionale:
– la conoscibilità certa della casella mittente e, quindi, del titolare della casella di PEC, (mentre non è tracciato con certezza colui che spedisce una raccomandata);
– la possibilità di legare in maniera certa ed opponibile la trasmissione con il documento trasmesso; tale possibilità è preclusa con la raccomandata.
Certificare l’invio e la ricezione – i due momenti fondamentali nella trasmissione dei documenti informatici – significa fornire al mittente una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte è conservata per un periodo di tempo definito a cura dei gestori (minimo 30 mesi ex art 11, comma 2, DPR. 68/2005), con lo stesso valore giuridico delle ricevute.
Il valore legale delle ricevute e, in generale, del processo di gestione della PEC necessitava di uno specifico riconoscimento normativo: norme primarie, decreti ministeriali e regole tecniche hanno così stabilito il formato delle ricevute e le caratteristiche tecniche di funzionamento, oltre ad aver introdotto e disciplinato, nell’ordinamento italiano, la figura del gestore del servizio di posta elettronica certificata (fornitore del servizio).
Anche se un primo richiamo alla Posta Elettronica Certificata è rintracciabile già nell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59 è con il D.P.R. 11 Febbraio 2005, n. 68 , rubricato Disposizioni per l’Utilizzo della Posta Elettronica Certificata (G.U. 28 aprile 2005, n. 97) che la materia viene compiutamente disciplinata ed introdotta nel nostro ordinamento giuridico.
Al DPR sono seguite le regole tecniche contenute nel Decreto Ministeriale 2 novembre 2005 , “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” (G.U. del 14 novembre 2005, n. 265). Il Decreto Ministeriale approfondisce parte dei contenuti proposti dal DPR e prevede come allegato l’insieme dei requisiti tecnico/funzionali necessari per la compiuta realizzazione di una piattaforma software ai fini dell’erogazione del servizio. In particolare, introduce nuovi elementi di dettaglio relativi a:
– obbligo per il gestore di acquisire la certificazione ISO 9001:2000 (art. 20);
– definizione dei requisiti organizzativi dei gestori (art. 21/22/23).
Si tratta di un documento di contenuto molto tecnico, che definisce le modalità di funzionamento del sistema informatico che realizza la Posta Elettronica Certificata.
La PEC nel Codice dell’Amministrazione Digitale
Anche il Codice della Amministrazione Digitale ( D. Lgs. 82/2005 ) si è occupato di Posta Elettronica Certificata prevedendo indicazioni circa l’utilizzo della posta elettronica certificata per la PA (art. 6), richiedendo che ogni ente pubblico si doti di almeno una casella di posta elettronica certificata (art. 47) e rendendo obbligatorio l’utilizzo di quest’ultima nei casi per i quali è necessaria l’evidenza dell’avvenuto invio e ricezione di un documento informatico (art.48).
In tal modo, la posta elettronica certificata diventa lo strumento d’elezione per ogni scambio di informazioni, tanto tra privati, quanto nei rapporti tra questi ultimi e le pubbliche amministrazioni: è bene, infatti, da subito precisare che l’art. 48, non limita la sua applicazione alle trasmissioni tra pubbliche amministrazioni, ma estende la sua disciplina sia ai rapporti intercorrenti tra amministrazione e privati sia a quelli intercorrenti solo tra privati. Il “Decreto anticrisi”: la PEC e la contro-PEC
Un ulteriore ed importante passo verso un utilizzo sistematico della PEC si è avuto il 28 novembre 2008 con l’approvazione, da parte del Consiglio dei Ministri, del decreto legge “anticrisi” il quale contiene delle inattese novità in materia di Posta Elettronica Certificata.
Il cd. Decreto “anticrisi”, convertito in Legge con L. 2/2009 , ha previsto, tra le misure per la riduzione dei costi amministrativi a carico delle imprese, rilevanti modifiche al Codice dell’Amministrazione Digitale (D. Lgs. n. 82/2005) e al Regolamento per l’utilizzo della Posta Elettronica Certificata (D.P.R. n. 68/2005).
I commi 6,7,8,9 e 10 dell’art. 16 della Legge n. 2/2009 obbligano le PA, le imprese ed i liberi professionisti a dotarsi, entro termini di legge perentori e precisi (3 anni per le imprese e 1 per i professionisti – le PA avrebbero già dovuto provvedere ai sensi dell’articolo 47, comma 3, lettera a), del CAD), di un indirizzo di Posta Elettronica Certificata e a renderlo pubblico mediante l’iscrizione in registri o elenchi liberamente consultabili; l’utilizzo di tale strumento di comunicazione, inoltre, non avrà più bisogno di autorizzazione da parte del destinatario, ma sarà liberamente utilizzabile.
È importante notare come, con la Legge di conversione 2/2009, il Parlamento abbia di fatto reso possibile per pubbliche amministrazioni, società e professionisti l’utilizzo, accanto alla PEC, di altri sistemi di trasmissione elettronica dei messaggi che certifichino la data e l’ora dell’invio e della ricezione delle comunicazioni e garantiscano l’integrità del contenuto delle comunicazioni trasmesse e ricevute, assicurando l’interoperabilità con analoghi sistemi internazionali (interoperabilità non del tutto garantita – come si sa bene – dal nostro sistema, tutto italiano, di posta elettronica certificata). Tra l’altro, dalla lettura di questa norma, molto generica e ampia nelle sue disposizioni e indicazioni tecniche, appare spontaneo e naturale sostenere che l’utilizzo di certificati S/MIME ben potrebbe oggi sostituire l’utilizzo della PEC.
Come già commentato , in nome della neutralità tecnologica, con questa nuova normativa si è dovuto finalmente dare ragione a chi da tempo sostiene che il sistema di posta elettronica certificata (e non solo quello!) non poteva essere prescritto ex lege e a colpi di termini e sanzioni e che la normativa che lo voleva imporre presentava al suo interno profili di contrasto con la legislazione comunitaria .
Purtroppo a questo passo in avanti verso la neutralità tecnologica e l’interoperabilità sono seguiti uno, se non due passi indietro .
I Decreti della Presidenza del Consiglio dei Ministri del 6 maggio 2009 (I)
Con il D.P.C.M. 6 maggio 2009 (pubblicato in Gazzetta Ufficiale 25 maggio 2009, n. 119), che individua le modalità con cui ogni cittadino, direttamente o tramite l’affidatario del servizio, potrà richiedere l’assegnazione di un indirizzo di posta elettronica certificata (PEC), si è data, quindi, attuazione alla previsione contenuta nell’art. 16-bis, commi 5 e 6, della Legge 2/2009 (legge di conversione del DL 29 novembre 2008, n. 185) favorendo così la diffusione della PEC e dando la possibilità ai cittadini di inviare documenti informatici per via telematica e dialogare in maniera più veloce con le Pubbliche Amministrazioni .
Il DPCM dimentica però di riconoscere validità anche ad indirizzi di posta elettronica analoghi alla PEC (basati su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni, l’integrità del contenuto delle stesse e che garantiscano interoperabilità con analoghi sistemi internazionali); sarebbe stato più corretto, in un’ottica di neutralità dell’amministrazione centrale, limitarsi a descrivere le finalità che la soluzione tecnologica da utilizzare dovrà garantire e magari salvaguardare più strade alternative per perseguire i giusti principi ispiratori della norma.
Inoltre, secondo questa nuova normativa, per i cittadini che utilizzano il servizio di PEC, l’indirizzo valido ad ogni effetto giuridico, ai fini dei rapporti con le pubbliche amministrazioni, è quello espressamente rilasciato gratuitamente sulla base di questi innovativi articoli; e, inoltre, la volontà del cittadino espressa ai sensi dell’art. 2, comma 1, rappresenta la esplicita accettazione dell’invio, tramite PEC, da parte delle pubbliche amministrazioni di tutti i provvedimenti e gli atti che lo riguardano . Insomma, da una parte si regala, ma dall’altra si sviluppa in capo al cittadino l’ elezione di un domicilio informatico, senza averlo adeguatamente informato e formato ai sensi dell’art. 8 del CAD!
I Decreti della Presidenza del Consiglio dei Ministri del 6 maggio 2009 (II)
In Gazzetta Ufficiale n. 152 del 3 luglio 2009 è stato pubblicato un altro Decreto della Presidenza del Consiglio dei Ministri del 6 maggio 2009, con il quale è stata introdotta la Comunicazione Unica per l’apertura di un’impresa. In tale Decreto si è anche stabilito che, qualora l’impresa non possedesse già un proprio indirizzo PEC, allora sarà la Camera di Commercio competente ad assegnare tale indirizzo, senza oneri aggiuntivi per l’impresa, finendo per dar vita ad un vero e proprio monopolio delle Camere di Commercio nella scelta del fornitore di servizi legati alla PEC. Si legge infatti che: ” Nel caso l’impresa non sia provvista di casella PEC, le camere di commercio provvedono immediatamente ad assegnare una casella PEC ai fini del procedimento senza costi per l’impresa, ai sensi dell’art. 9, comma 6, del decreto-legge n. 7 del 2007. Le istruzioni operative sono pubblicate in opportuna sezione del sito, dandone comunicazione ai sensi del comma 1 “. (Art.8, co. 2, DPCM 6 maggio 2009). Il Decreto Legge 1 luglio 2009 n.78: La PEC: strumento di identificazione?
Con la “Manovra d’estate 2009” ( DL 1 luglio 2009 n.78 ) sono state portate alcune modifiche al CAD che hanno ad oggetto l’utilizzo della PEC.
L’art. 17, comma 28, della Manovra introduce un nuovo art. 57-bis con il quale viene istituito un Indice degli indirizzi delle pubbliche amministrazioni , nel quale sono indicati la struttura organizzativa, l’elenco dei servizi offerti e le informazioni relative al loro utilizzo, gli indirizzi di posta elettronica da utilizzare per le comunicazioni e per lo scambio di informazioni e per l’invio di documenti a tutti gli effetti di legge fra le amministrazioni e fra le amministrazioni ed i cittadini.
Ancora, il comma 28 dell’Art. 17 della Manovra, introduce anche la lettera c-bis al comma 1 dell’art. 65 del CAD. Le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono ora valide anche quando ” l’autore è identificato dal sistema informatico attraverso le credenziali di accesso relative all’utenza personale di Posta Elettronica Certificata ” parificando, di fatto, l’identificazione mediante credenziali di accesso alla PEC all’identificazione mediante Carta d’Identità Elettronica, Carta Nazionale dei Servizi o Firma Digitale.
Tale modifica intervenuta nel CAD appare strettamente correlata con quanto specificato nell’art. 4 comma 4 del DPCM 6 maggio 2006 sul rilascio e uso di PEC, laddove si precisa che le pubbliche amministrazioni accettano le istanze dei cittadini inviate tramite PEC nel rispetto dell’art. 65, comma 1, lettera c), del decreto legislativo n. 82 del 2005. L’invio tramite PEC costituisce sottoscrizione elettronica ai sensi dell’art. 21, comma 1, del decreto legislativo n. 82 del 2005; le pubbliche amministrazioni richiedono la sottoscrizione mediante firma digitale ai sensi dell’art. 65, comma 2, del citato decreto legislativo .
Tali principi possono anche essere condivisibili dal punto di vista giuridico-informatico, infatti la comunicazione via posta elettronica può essere considerata una comunicazione con forma scritta e firmata elettronicamente , ma il Legislatore sembra aver dimenticato che le garanzie di sicurezza nell’accertamento dell’identità dell’utente offerte da sistemi come la Firma Digitale o la CIE o la CNS sono di gran lunga superiori a quelle offerte dalle credenziali di accesso alla PEC.
Oltre alle ovvie garanzie di identificazione offerte dalla Carta d’identità elettronica, dobbiamo ricordare come l’art. 32 del CAD al comma 1 lett.a), preveda che il Certificatore, all’atto della creazione del certificato di Firma, proceda alla identificazione della persona che fa richiesta della certificazione e al comma 4 stabilisca che ” il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi “.
Inoltre, le regole tecniche stabilite ai sensi dell’articolo 71 del CAD confermano la necessità di verificare l’autenticità delle richieste di creazione, revoca e sospensione dei certificati di firma elettronica.
Infine, nella legge di recepimento della Convenzione di Budapest in materia di criminalità informatica (Legge 18 marzo 2008 n. 48), sono state inserite nel nostro ordinamento delle nuove fattispecie di reato per titolari di firma digitale e per certificatori, le quali ricordano da vicino i reati commessi da o ai danni di pubblici ufficiali – si vedano oggi gli art. 495 bis e 640 quinquies del codice penale.
Per la PEC, invece, non è previsto alcun tipo di controllo. Né il DPR n.68/2005, né le “regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” previste dal suo art. 17, prevedono nulla riguardo a particolari obblighi del gestore del Servizio di PEC relativamente all’identificazione sicura degli assegnatari di un indirizzo di PEC.
Certo è che il soggetto che dovesse fornire informazioni false avrebbe comunque i suoi problemi con l’ordinamento italiano, a seconda della situazione in cui abbia fornito o utilizzato credenziali false, ma questo, a parere di chi scrive, non sembra garantire sufficientemente la certezza dell’identità del soggetto che dialoghi con la PA successivamente all’identificazione avvenuta mediante credenziali di accesso alla PEC.
Il problema, oltretutto, non è nuovo in quanto l’art. 47 del Cad prevede già che, in caso di comunicazioni di documenti tra le pubbliche amministrazioni, esse siano valide ai fini del procedimento amministrativo una volta che ne sia stata verificata la provenienza e che, ai fini della verifica della provenienza, le comunicazioni saranno valide, se trasmesse attraverso i sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. Pertanto, il Legislatore, ora più che mai, sembra confondere il mezzo di trasmissione (PEC) e le sue garanzie, con la paternità del contenuto della trasmissione stessa .
L’attribuzione della paternità di un dato, di una informazione viene garantita con certezza solo attraverso la firma (elettronica o digitale) e non certo attraverso la semplice comunicazione, non garantita da un adeguato sistema di identificazione informatica, del dato medesimo. Pertanto, il sistema delle firme (elettroniche o digitali che siano) assume un ruolo primario e centrale nella gestione informatica delle informazioni, dei dati o dei documenti informatici tra PA, tra privati e PA e tra privati stessi.
Ci si augura, quindi, che al più presto il Governo e/o il Legislatore siano in grado di dare una forte svolta in materia con l’introduzione di idonei sistemi di gestione dell’Identità Elettronica (meglio conosciuta come eID) e soprattutto avvii una fase di regolamentazione della materia inerente alla digitalizzazione documentale più ponderata e accorta rispetto all’ultimo periodo (in questo caso, non si può che dare ragione a quanto sostenuto di recente da Marco Scialdone nel suo blog).
Ultimissime dalla Camera: ci sarà ancora un’alternativa alla PEC?
Abbiamo avuto già modo di sottolineare come il legislatore abbia più volte remato contro la possibilità di utilizzare sistemi analoghi alla PEC. Bene, quelle che credevamo fossero semplici sviste in realtà potrebbero corrispondere ad un preciso piano per l’eliminazione di ogni alternativa alla PEC. Con stupore, infatti, leggiamo tra le proposte di modifica al disegno di conversione del DL 78/2009, una proposta relativa all’introduzione di alcuni nuovi commi all’art. 17 (28 bis, ter e quater) a firma dell’On. Pagano: tale articolo prevede la completa eliminazione da tutte le norme attualmente in vigore di qualsiasi riferimento a sistemi analoghi alla PEC.
Rimarrà disattesa tale proposta? Auspichiamo vivamente di sì!
Update – Notizia di qualche ora fa pubblicata nel nuovo aggiornamento disponibile dei lavori parlamentari: sembrerebbe che, nell’ultimo testo approvato alla Camera del DDL di conversione in legge del D.L. 78/2009 (e passato al Senato ), l’emendamento Pagano sia stato respinto. Si tratta di un’ottima notizia, anche se tutti gli altri problemi evidenziati nel nostro articolo rimangono sul tappeto.
A nostro avviso, comunque, è necessario tenere alta la guardia, considerato che il testo deve passare al Senato e poi essere definitivamente approvato alla Camera. Quindi, quell’emendamento proposto dall’On. Pagano può essere ancora riproposto in termini leggermente diversi da qualcun altro… e, solitamente, gli emendamenti che interessa che reggano al vaglio delle Camere vengono sempre inseriti poco prima della fiducia definitiva alla Camera dei Deputati!
Andrea Lisi
Luigi Foglia
Digital&Law Department – Studio Legale Lisi