Interrompo un periodo di articoli trattanti il lancio di Infoprodotti per parlare della PEC, la famosa e ormai utilizzatissima posta certificata che i più oramai conoscono e della quale viene garantito avere lo stesso valore della raccomandata con ricevuta di ritorno.

E così è.

La PEC ha quindi valore legale ed è opponibile a terzi (art 2704 cc Data Certa).

Opponibile a terzi significa che la data apposta su un contratto o generalmente in una scrittura privata, è valida solo tra le parti ma non rispetto a terzi che sostengano si avere un qualche loro diritto leso dall’atto espresso nella scrittura stessa.

Chi lavora come imprenditore, sia online che non è spesso costretto a dovere fare contratti per regolare collaborazioni di vario tipo.

Di qui a necessità di dare una certezza temporale all’atto stipulato.

La PEC ha queste caratteristiche..ma c’è un ma… c’è sempre un ma…

altrimenti questo articolo non esisterebbe..

La questione è che, potrebbe sembrare banale, molti lo sanno ma molti no, anche le PEC hanno una scadenza.

La scadenza della PEC e quindi la sua validità legale termina con la scadenza del certificato di firma del gestore, una firma digitale che il gestore appone sui messaggi di PEC inviati.

Questa firma digitale garantisce la integrità e immodificabilità nel tempo del documento informatico PEC.

Però questa firma potrebbe scadere anche il giorno dopo che il messaggio di PEC viene inviato.

La legge prevede infatti che le PEC debbano essere conservate a norma per garantirne l’integrità e immodificabilità nel tempo.

Ma cosa succede se questa cosa non la si conosce e il certificato di firma scade?

Bhe, la normativa prevede che il gestore deve conservare i log per almeno 30 mesi e questi sono opponibili a terzi, ma è già un problema in quanto i log tracciano la cronologia ma non il contenuto della pec che non si evince dal log.

Il problema aumenta dopo 30 mesi quando non ci sono più nemmeno i log.

Ricapitoliamo, hai speso soldi, utilizzato un servizio che doveva garantirti una certa cosa, passa del tempo e non serve a nulla?

Ho fatto una ricerca sulla questione che si riassume con la domanda:

Le e-mail di posta certificata con certificato scaduto sono ancora valide legalmente e opponibili a terzi?

Ho chiesto a diversi professionisti, e ad oggi non ho trovato risposta univoca e addirittura contattando l’agenzia per l’italia digitale digitale, mi è stato detto che hanno ancora validità, ma poi domandando a che cosa serve allora la conservazione a “norma” sono stato cordialmente salutato.

Dalla mia ricerca sono emerse due scuole di pensiero, una che nega valore legale alla PEC con certificato scaduto (probabilmente applicando la norma alla lettera e senza avere visionato casi concreti, se ce ne sono..) in quanto la normativa effettivamente prevede questo per i documenti informatici e l’altra, a cui appartengo io che invece non la vedono così e vado a spiegare perchè.

Prima cosa, la PEC è un documento informatico ma non è come un file pdf o un file jpg, infatti una PEC inviata viene elaborata da un sistema che genera in caso non ci siano problemi, una ricevuta di accettazione e una di consegna, altrimenti genererebbe messaggi di anomalia.

In altre parole, se al momento della spedizione della PEC il certificato di firma del gestore fosse scaduto, semplicemente non verrebbe inviata e tantomeno generate le ricevute.

Certo estremizzando si potrebbe ipotizzare il caso di un informatico esperto che crea dal nulla questi documenti informatici ma a mio avviso siamo abbastanza sul fantascientifico soprattutto se questi si trovano sul server del gestore nella webmail, senza contare che una contraffazione di questo tipo sarebbe un reato, quindi ciò rende ancora più improbabile questo evento.

Allora non contento contatto qualche perito informatico che fa perizie per i tribunali.

Si perchè..se la validità di un documento informatico è data dalla sua integrità e immodificabilità nel tempo allora al di la che la firma sia scaduta o meno, se io, con una perizia informatica dimostro che quel documento informatico non ha subito alterazioni (e le alterazioni lascerebbero tracce), allora quel documento è genuino, autentico, come mamma l0 ha fatto e conserva il suo valore legale.

Premetto che le cifre medie per queste perizie vanno dai 2000 € ai 3000 € più vari oneri annessi.

Le risposte sono in senso positivo chiaramente, cioè si può fare la perizia giurata valutabile dal giudice, alla domanda invece se ci siano già dei precedenti, glissano tutti, io ricerco nelle sentenze di cassazione e in merito non trovo nulla, ma non escludo che mi sia sfuggito, sono tante.

Poi faccio un’altra ricerca e mi leggo bene le regole tecniche delle PEC, a pag 28 trovo:

Il gestore deve provvedere, con un sufficiente anticipo rispetto alla scadenza del
certificato, ad aggiornare il proprio record aggiungendo un nuovo certificato la cui validità può
sovrapporsi con il certificato precedente. I precedenti certificati scaduti o revocati non devono
essere rimossi dall’indice per consentire la verifica della firma dei messaggi in tempi successivi.

Quindi dalle regole tecniche si evince che il gestore prima che scada il certificato ne deve aggiungere uno nuovo, dando così continuità a quell’azione di integrità e immodificabilità, caratteristica che interessa ai nostri fini.

In più i certificati scaduti non devono essere rimossi, per consentire la firma dei messaggi in tempi successivi.

Oddio, mi sembra chiaro, c’è voluto un po’ ma deve essere così, altrimenti stiamo parlando di aria fritta!

Una considerazione, la norma non parla del tempo di conservazione ma presumo ci si debba rifare ai 10 anni previsti per i documenti amministrativi.

Scrivo al gestore facendogli presente della cosa e gli chiedo come devo fare quindi per verificare la firma scaduta.

Sto attendendo risposta e sarà mia premura aggiornare l’articolo una volta avuta risposta.

Parlando con un CTP mi ha poi anche detto che la maggior parte dei giudici hanno più di 60 anni e non sanno nemmeno usare una posta ordinaria! Di qui andargli a spiegare queste cose diventa difficile…

Allora questo articolo ha una doppia valenza, una relativa al tema intrinseco, che credetemi è molto importante e l’altra relativa al fatto che la burocrazia è disastrosa, distrugge la logica, la scienza.

Detto tra noi, è semplice, tu invii una PEC, se la firma non è valida, ti arrivano messaggi di errore e le ricevute non vengono generate per cui la situazione è finita li.

Se sulla webmail ci sono le ricevute è più certo della morte che quei messaggi sono stati inviati a quell’ora e giorno e la firma era valida (vedi obblighi dei gestori).

Allora il problema è che in nome di una certezza che non è di questo mondo, ma solo appunto teorico/burocratica, aggiungerei speculativa, si preferisce impiccare l’imputato quando ci sono il 99,99999999 % delle prove a favore e solo lo 0.000000001 contro.

Qualcosa di più antiscientifico non è possibile, dalla PEC siamo arrivati alla superstizione e all’esoterismo.

Buona PEC a tutti!


    5 replies to "Posta Certificata, siamo sicuri?"

    • Andrea

      Concordo quasi su tutto. Sono dell’idea che i servizi di conservazione sostitutiva della pec siano indispensabili per l’opponibilita’ a terzi su lungo periodo.
      Interpreto diversamente le regole tecniche della pec. Il gestore del servizio pec deve sì aggiornare i certificati affinché vengano sempre inviate pec aventi certificati validi. A mio avviso non aggiorna i certificati delle pec già inviate per le quali, come hai giustamente sottolineato, l’obbligo di conservazione dei log è di 30 mesi.
      Qui è il punto. I certificati della pec inviata scadono.
      Per ovviare è necessaria la conservazione sostitutiva (firma digitale + marca temporale).
      Inoltre gli allegati necessitano di firma digitale per aver valore giuridico.

    • webmarket73

      Ciao Andrea e grazie per il tuo riscontro che mi da modo tra l’altro di spiegare meglio l’articolo.
      Le regole tecniche della pec di cui sopra è riportato il link,a pag 28 del documento pdf recitano testualmente:

      ” Il gestore deve provvedere,con un sufficiente anticipo rispetto alla scadenza del certificato, ad aggiornare il proprio record aggiungendo un nuovo certificato la cui validità può sovrapporsi con il certificato precedente.I precedenti certificati scaduti o revocati non devono essere rimossi dall’indice per consentire la verifica della firma dei messaggi in tempi successivi.”

      Prima considerazione, la tua affermazione che il gestore deve sempre aggiornare i certificati affinchè vengano sempre inviate pec con cetificati validi a mio avviso tecnicamente non è corretta, per definizione, se un certificato non è valido, il sistema la pec non la invia proprio e genera ricevuta apposita di anomalia.

      Poi altra cosa, chiaramente il gestore non aggiorna i certificati, ma ne aggiunge uno nuovo valido.
      Certificati di firma del gestore e log sono 23 cose diverse e i log non contengono il messaggio originale.

      Andiamo a leggere nello specifico la norma che ho riportato qui sopra e vediamo che succede.

      Premettiamo che la validità legale del documento informatico e la sua opponibilità a terzi è data dalle caratteristiche di integrità e immodificabilità che a sua volta sono date dalla firma del gestore.
      Ciò significa due cose:
      o un documento ha firma valida e allora è valido oppure occorre dimostrare che non è stato contraffatto, che appunto è integro e immodificato.

      Nello specifico la norma riportata qui sopra dice che il gestore deve provvedere con anticipo ad aggiungere un certificato di firma nuovo che può sovrapporsi col primo (prima che scada).
      Es: una pec inviata il 10 luglio 2014 il cui certificato di firma scade il 10 settembre 2014.
      Il gestore aggiunge un nuovo certificato prima del 10 settembre 2014 quindi non c’è uno spazio temporale scoperto.
      Poi continua la norma dicendo che i certificati scaduti non devo essere cancellati al fine di poterne verificare la firma in tempi futuri.
      Qui mi sembra ancora più chiaro, i certificati sono scaduti ma è possibile ancora verificare la firma.
      Mentre la prima parte ritengo sia più se vogliamo soggetta ad interpretazione, la seconda mi sembra molto chiara.
      Ma in realtà anche la prima parte, infatti il sovrapporre le due firme, la nuova con la vecchia non ancora scaduta, è un po’ la stessa cosa che si fa con una pec dandole una marca temporale prima che il certificato di firma scada, c’è questo parallelismo.
      Comunque ad oggi non ci sono sentenze di cassazione su questo argomento, quindi occorrerà aspettare ancora per sapere qualcosa di più certo.

    • Andrea

      A mio avviso la tua interpretazione è estensiva. Riprendo il brano:

      “Il gestore deve provvedere,con un sufficiente anticipo rispetto alla scadenza del certificato, ad aggiornare il proprio record aggiungendo un nuovo certificato la cui validità può sovrapporsi con il certificato precedente.I precedenti certificati scaduti o revocati non devono essere rimossi dall’indice per consentire la verifica della firma dei messaggi in tempi successivi.”

      A mio avviso si riferisce all’aggiornamento dei certificati (del record) ma non ricomprende i certificati delle pec già inviate.

      Le pec inviate non subiscono alcun tipo di aggiornamento (altrimenti sarebbero alterate).

      Da qui la necessità, avvertita da vari gestori, di aggiungere un servizio di conservazione di lungo periodo delle pec onde evitare che la scadenza del certificato di invio impedisca l’opponibilita’ a terzi.

    • Andrea

      Aggiungo che son felice di trovare, sul web, spazio circa un argomento tanto importante quanto semisconosciuto alle PMI e atvolte alle grandi aziende: la conservazione di lungo periodo delle pec tramite conservazione sostitutiva.

      Attualmente la PA è molto avanti rispetto ai privati e alla pmi.

      Molto stampano le ricevute. Altri conservano xml o il file eml su pc senza conservazione sostitutiva. Altri lasciano la pec sul portale dal quale inviano la posta elettronica certificata.

      Molti informatici non conoscono lennorme del c.a.d. mentre i giuristi spesso non colgono pienamente gli aspetti tecnico-informatici.

    • webmarket73

      Ciao Andrea e grazie degli spunti per ulteriori riflessioni sul tema, riparto da qui:
      “A mio avviso si riferisce all’aggiornamento dei certificati (del record) ma non ricomprende i certificati delle pec già inviate.”
      La mia considerazione in merito alla tua affermazione è che la condivido, ma il significato che gli attribuisco è che i vecchi certificati che devono essere mantenuti per verificare la firma in tempi successivi ci viene in aiuto nel senso di riuscire a verificare che al tempo di invio di una determinata pec il certificato era in validità, cosa che dalla semplice verifica dalla webmail non è possibile, infatti se una pec ha il certificato scaduto la verifica della firma da appunto il messaggio che indica il certificato scaduto.
      Assolutamente d’accordo con te che le pec non subiscono modifiche, sarebbe il contrario di ciò che la normativa richiede!
      Concordo con te che su questo tema siamo in alto mare, e anche io concordo sull’utilità della conservazione sostitutiva ma più per il fatto che attualmente nessun giudice è stato chiamato ad intervenire sulla questione.
      Vedemo in futuro che succederà se verrà eccepita questa cosa.

Leave a Reply

Your email address will not be published.