Le garanzie della PEC

Un argomento che suscita molto interesse in ambito di servizi di recapito elettronico riguarda le garanzie che la posta elettronica certificata offre in termini di integrità, immodificabilità e garanzia nel tempo del valore di certificazione che le è riconosciuto dalla legge.
Le garanzie della firma digitale 

E’ necessario prima di tutto ricordare che la PEC è tra gli strumenti di validazione temporale previsti dall’art. 41 d.p.c.m. 22 febbraio ’13, recante le regole tecniche sulle firme elettroniche; essa è quindi un metodo ottimale per attribuire data certa ad un documento informatico, in particolar modo dove questo sia munito di firma digitale. L’art. 62 del decreto sopra citato prevede infatti che “le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato”.

La PEC, assieme alla marca temporale, alle segnature di protocollo e al versamento dei documenti in conservazione, è uno degli strumenti atti a cristallizzare nel tempo la validità e opponibilità delle firme digitali, anche successivamente alla loro scadenza.

Una criticità emerge circa il fatto che la PEC è anch’essa un documento informatico munito di firma digitale, quindi spesso ci si chiede, anche in contesti giudiziari, quali siano le garanzie che offre la posta elettronica certificata dopo la scadenza del certificato; la domanda è come questo particolare tipo di documento possa continuare a mantenere integrità e immodificabilità del messaggio e dei suoi allegati (oltreché data certa) una volta che la firma di cui è munito sia scaduta.

La risposta è data dalle ricevute di accettazione e consegna di questo particolare strumento di recapito elettronico, ovvero dai due documenti muniti di firma digitale; bisogna anche ricordare che si tratta di firma separata dal (o dai) documenti per i quali essa deve garantire integrità, immodificabilità e data certa (e perciò è identificata come detached signature).

La busta informatica 

La busta informatica contiene solamente il certificato e l’impronta, mentre non sono contenute le informazioni testuali del messaggio di posta e i file eventualmente allegati; questo significa che finché non vengono modificati gli elementi suddetti anche la firma rimane valida in quanto non viene modificata l’impronta ad essa collegata, o, più precisamente, continua a essere garanzia di integrità e immodificabilità di tutti gli elementi del messaggio di PEC.

Questa caratteristica, essendo legata alla struttura tecnologica della firma digitale, è slegata dalla data di scadenza del certificato, che deve dunque considerarsi una variabile temporale neutra.

Un esempio pratico può aiutare a comprendere meglio quanto detto, perciò partiamo da una ricevuta di consegna con firma digitale scaduta, come si può vedere nell’immagine sotto riportata:

Il sistema verifica la firma digitale e segnala che il certificato di firma, riferito a ricevuta di consegna generata in data 3 luglio 2017, non è più valido.

Se si prova ad effettuare una modifica del contenuto del messaggio si ottiene il risultato seguente:

Come si può vedere è stata modificata la data della ricevuta di consegna (da 3 a 5 luglio 2017) ma è contestualmente mutato il contenuto della finestra di dialogo evidenziata dalla freccia, che ora segnala che è possibile modificare il contenuto del messaggio.

Ancor più gravi sono poi le conseguenze laddove venga rimosso anche uno solo dei due allegati alla PEC, come si può vedere qui sotto:

In questo caso la firma digitale è completamente scomparsa in conseguenza dell’alterazione subita dal messaggio.

A questo punto sono evidenti le garanzie che una firma digitale del messaggio di posta elettronica certificata offre, ancorché scaduta: è infatti possibile rilevare le modifiche apportate al testo e addirittura verificarne la scomparsa in caso di rimozione degli allegati; e, nota bene, queste conseguenze si verificano allo stesso modo sia nel caso di certificato di firma valido sia nel caso di certificato invalido.

E’ quindi evidente che, anche dopo la scadenza del certificato di firma del gestore PEC, le date della ricevuta di accettazione e di consegna mantengono il valore legale di riferimento temporale opponibile ai terzi e garantiscono integrità e immodificabilità del messaggio e degli allegati.

Queste considerazioni si accompagnano a parallele considerazioni di opportunità sia dal punto di vista della gestione documentale sia dal punto di vista delle relazioni con gli organi giudiziari.

A fronte di contestazioni sulla validità di notificazioni effettuate a mezzo PEC e delle quali si tenta di fornire prova attraverso ricevute di consegna scadute ad esempio, può essere difficile convincere il giudice della regolarità della notifica; per questo si consiglia l’archiviazione a norma dei messaggi di PEC; invero, l’estrazione degli stessi da un sistema di conservazione che rispetti le norme del codice di amministrazione digitale consente di evitare di dover spendere le non semplici argomentazioni qui esposte per giustificare l’integrità del messaggio di posta elettronica. Bisogna inoltre ricordare che l’art. 20, comma terzo, del d.m. 44 del 2011 (recante le regole tecniche sul processo telematico) prevede che “il soggetto abilitato esterno è tenuto a conservare, con ogni mezzo idoneo, le ricevute di avvenuta consegna dei messaggi trasmessi al dominio giustizia”, sicché l’adozione di un archivio digitale consente di rispettare anche tale disposizione normativa e di strutturare un corretto processo di gestione documentale.