La Posta elettronica certificata (PEC) è uno strumento sempre più utilizzato nel nostro Paese, stando ai dati forniti dall’Agenzia per l’Italia digitale (AGID). Difatti, secondo i dati più recenti, ad oggi sono state attivate circa 8,5 milioni di caselle PEC.
La PEC è un peculiare sistema di posta elettronica, made in Italy, che consente di ottimizzare tempistiche, costi ed efficienza, tanto dal punto di vista probatorio quanto burocratico, perché attribuisce a un messaggio lo stesso valore legale di una raccomandata con ricevuta di ritorno, garantendo, cioè, la prova dell’invio e della consegna della comunicazione.
Il meccanismo prevede che, successivamente all’invio del messaggio, il mittente riceva due e-mail sulla propria casella PEC, la prima “di accettazione” e la seconda “di consegna”. Queste due comunicazioni attestano, rispettivamente, che sono correttamente avvenute sia la spedizione sia la consegna del messaggio di posta elettronica certificata, riportandone precisamente data ed ora. Al ricorrere di questi elementi, al messaggio viene attribuito valore di prova legale e, conseguentemente, sarà opponibile ai terzi.
La PEC è stata introdotta inizialmente nell’ambito dei rapporti con le Pubbliche Amministrazioni, ma nel tempo il suo utilizzo si è diffuso anche tra aziende e liberi professionisti, fino ad interessare anche i privati cittadini. I vantaggi offerti dalla PEC sono immediatamente percepibili anzitutto in termini economici, perché sostituendo raccomandata e fax ne elimina le relative spese, ma anche burocratici, perché semplifica le comunicazioni, in particolare nell’ambito dei rapporti con le Pubbliche Amministrazioni.
Alla luce di ciò, ci si chiede di frequente se tale strumento possa essere utilizzato e in che termini anche al di fuori dei confini nazionali, per poter usufruire di tali vantaggi su un piano più esteso. Analizziamo, quindi, la situazione attuale per cercare di capire meglio cosa offre il panorama.
Leggi e decreti: impianto normativo sulla PEC
La posta elettronica certificata trova la sua prima e organica disciplina nel D.P.R. n. 68/2005 “Regolamento delle disposizioni per l’utilizzo della posta elettronica certificata”, al quale si sono susseguiti nel tempo ulteriori e più specifici provvedimenti legislativi che ne hanno ampliato la portata e dettagliato la disciplina. Dapprima è intervenuto il Legislatore nel 2008 che con il D.L. n. 185, convertito in L. n. 2/2009, ha sancito l’obbligatorietà del suo utilizzo per società, professionisti e Pubbliche Amministrazioni.
A partire, poi, dal 2012 la normativa sulla PEC è stata estesa anche alle imprese individuali, precedentemente escluse dal suo ambito applicativo. Con la Legge n. 221/2012 è stato istituito presso il Ministero per lo Sviluppo Economico l’elenco pubblico degli indirizzi PEC delle imprese e dei professionisti, denominato Indice Nazionale degli Indirizzi di Posta Elettronica Certificata (INI-PEC). L’importanza di tale elenco è facilmente intuibile, in quanto in esso sono registrati (e quindi immediatamente conoscibili da chiunque) tutti gli indirizzi di posta elettronica certificata di imprese e professionisti (i quali devono obbligatoriamente possedere una PEC).
Scenario Europeo: il Regolamento (UE) n. 910 del 23 luglio 2014
Lo standard utilizzato per la PEC non è riconosciuto, però, a livello internazionale, e tale dato ha sollevato criticità in ordine all’interoperabilità di questo mezzo di comunicazione con gli altri strumenti attualmente esistenti all’estero.
Il sistema della Posta Elettronica Certificata presenta infatti delle caratteristiche del tutto originali nel contesto europeo. Di conseguenza, come chiarito esplicitamente anche dalla normativa italiana, tale strumento può essere validamente utilizzato, riconoscendo valore legale alla trasmissione della comunicazione, soltanto a condizione che il destinatario sia munito, a sua volta, di un valido indirizzo di Posta Elettronica Certificata.
Il panorama europeo, dall’altro lato, è attualmente molto disomogeneo su questo fronte. Da un lato, infatti, esiste una variegata tipologia di sistemi simili alla PEC nostrana, operanti negli altri Stati membri dell’UE. Dall’altro lato, si tratta di sistemi che, prevalentemente, non sono interoperabili con quelli degli altri Stati, in quanto sviluppati e predisposti per operare esclusivamente nell’ambito dei territori nazionali.
Per cercare di superare questo isolamento, l’Unione Europea ha emanato il Regolamento (UE) n. 910 del 23 luglio 2014 (2014/910/UE), denominato eIDAS. Si tratta di un provvedimento che rappresenta un approdo normativo importante verso l’obiettivo del Mercato unico digitale, con l’ambizione di delineare un definitivo quadro di riferimento in vista di una fruttuosa interoperabilità delle transazioni elettroniche.
Il Regolamento è in vigore a partire dal settembre del 2014, ha trovato concreta applicazione soltanto dal luglio del 2016. Un’altra data importante dovrebbe però essere il prossimo 29 settembre 2018, quando diventerà obbligatorio nel territorio europeo il riconoscimento transfrontaliero dei sistemi di identificazione elettronica notificati dagli Stati membri.
Servizi elettronici di recapito certificato
Il regolamento europeo ha introdotto i cosiddetti “servizi elettronici di recapito certificato”, comunemente richiamati con l’acronico “RED”. Con tale espressione, di cui troviamo una definizione all’art. 3, comma 1, n. 36, si fa riferimento al “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate”.
L’art. 43 dell’eIDAS riconosce ai suddetti servizi “gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali”, nonché “la presunzione della integrità dei dati e della ricezione da parte del destinatario”, e ne indica i requisiti specifici che i RED devono possedere per rientrare nella disciplina europea dei servizi. In particolar modo, viene evidenziata la necessità di garantire un “elevato livello di sicurezza dell’identificazione del mittente e dell’identificazione del destinatario prima della trasmissione dei dati” (art. 44 eIDAS).
Tuttavia, alla luce di quanto previsto dal Regolamento europeo, si deve rilevare che si tratta di caratteristiche che non possono, ad oggi, essere assicurate dal sistema italiano delle PEC. D’altra parte, va anche rilevato che il meccanismo interno nel breve periodo dovrà coordinarsi con il sistema europeo e il nostro legislatore dovrà necessariamente adeguarsi ai livelli di garanzia come regolati dal Regolamento di esecuzione n. 1502 del 2015.
Un punto fermo sembra, invece, ad oggi, l’omologazione della funzione della validazione temporale della PEC alle disposizioni previste nell’Eidas. Da un raffronto con le norme di cui agli artt. 41 e 42, emergerebbe infatti la piena aderenza dei requisiti nazionali a quelli europei che prevedono, in sintesi, il fatto che alla validazione temporanea elettronica siano riconosciuti pieni effetti giuridici, anche come prova nei procedimenti giudiziari, e che possa essere attribuita ad essa natura “qualificata” solo nel momento in cui risultano soddisfatti una serie di requisiti specifici dettati dall’art. 42 (quali, ad esempio, il collegamento con una data e ora certa e la presenza di una firma o sigillo elettronico avanzato). L’art. 41 stabilisce che: “1.
Alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata. 2. Una validazione temporale elettronica qualificata gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate. 3. Una validazione temporale elettronica rilasciata in uno Stato membro è riconosciuta quale validazione temporale elettronica qualificata in tutti gli Stati membri”.
L’art. 42 invece prevede: “1. Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti: a) collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati; b) si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; e c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente. 2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al collegamento della data e dell’ora ai dati e a fonti accurate di misurazione del tempo. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il collegamento della data e dell’ora ai dati e alla fonte accurata di misurazione del tempo rispondano a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2”.
Conclusioni
Grazie agli interventi dell’Unione Europea, il raggiungimento di una realtà europea armonizzata sul piano del mercato telematico appare una speranza concreta che dovrebbe portare la PEC (o strumenti paralleli a livello europeo) a diventare uno strumento predominante anche al di fuori del contesto nazionale.
Il sistema interno dovrà certamente fare dei notevoli passi avanti per adattarsi ai requisiti specifici previsti per i servizi RED introdotti dal Regolamento eIDAS. Si tratta però di un adeguamento che rappresenta un’opportunità non solo per le imprese nazionali per approcciarsi più facilmente ai mercati esteri, ma anche per i cittadini italiani residenti all’estero, permettendo loro di comunicare con gli enti pubblici senza oneri e costi.
Manca ancora, quindi, il necessario coordinamento tra la tecnologia RED e la nostra consolidata realtà della PEC, ma almeno le basi fondamentali per procedere in questa direzione sono state poste e non dovremmo attendere ancora a lungo per vederne i primi risultati importanti.