La posta elettronica certificata: lo strumento valido e semplice per il domicilio digitale
A cura di Andrea Sassetti, Direttore dei Servizi di Certificazione di Aruba
Il Codice dell’Amministrazione digitale ha introdotto il domicilio digitale quale luogo virtuale del cittadino, imprese ed enti, presso cui inviare comunicazioni elettroniche ad ogni effetto di legge. Il domicilio digitale può essere costituito o da una casella di posta elettronica certificata oppure da un servizio di recapito certificato qualificato. I due strumenti, che la normativa sembrerebbe far equivalere ai fini degli effetti dell’elezione del domicilio digitale, hanno effetti giuridici in parte analoghi ma funzionalità diverse. Per tale motivo, Aruba ha voluto coinvolgere una fonte esterna, l’Avvocato Massimiliano Nicotra, esperto in Diritto dell’Informatica, per comprenderne pienamente la differenza.
La posta elettronica certificata, che oramai in Italia è ampiamente diffusa, trova la sua originaria regolamentazione nel D.P.R. n. 68/2005. Il suo principale effetto è quello di rendere opponibili ai terzi la data e l’ora di trasmissione e ricezione di un messaggio. L’utilizzo della PEC è trasparente per l’utente, nel senso che essa funziona come una normale casella di posta elettronica, a cui però sono associate ulteriori comunicazioni, prodotte dal gestore del servizio e firmate elettronicamente dal medesimo, che servono proprio ad attestare il momento in cui un messaggio è stato spedito e quello in cui lo stesso è recapitato nella casella del destinatario.
Il sistema della posta elettronica certificata, è opportuno sottolinearlo, è strutturato per rispondere all’impianto normativo italiano: la PEC non è strumento di identificazione del mittente del messaggio, in quanto per attribuire la paternità del documento informatico è necessario l’utilizzo di una firma elettronica, né del destinatario dello stesso. Inoltre, il sistema è strutturato secondo la presunzione di conoscenza, secondo cui le dichiarazioni ricettizie si reputano conosciute dal destinatario nel momento in cui giungono all’indirizzo di questi. Non è quindi necessario che il mittente fornisca prova dell’avvenuta conoscenza del contenuto del messaggio da parte del destinatario, essendo sufficiente dimostrare di aver correttamente recapitato il messaggio all’indirizzo previamente dichiarato dal destinatario (o risultante da un “elenco ufficiale”).
La semplicità d’uso e la possibilità di dichiarare un unico indirizzo di posta elettronica certificata valido per tutte le comunicazioni che un determinato soggetto voglia ricevere elettronicamente hanno favorito la diffusione di questo strumento in Italia, unitamente alla circostanza che alcune norme ne hanno imposto l’adozione nelle comunicazioni tra determinati soggetti.
Il recapito certificato qualificato, d’altra parte, ha funzionalità e caratteristiche aggiuntive, che ne complicano l’utilizzo e diffusione. Innanzitutto, secondo l’art. 43, 2° comma, del Regolamento eIDAS tale tipo di servizio è idoneo – come anche nel caso della PEC – a creare una presunzione di integrità dei dati ricevuti e trasmessi, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio elettronico di recapito certificato qualificato.
La differenza principale tra PEC e recapito certificato qualificato è nel requisito normativo secondo cui sia il mittente sia il destinatario debbano essere “identificati”. In particolare, l’art. 44 del Regolamento precisa che un servizio di recapito certificato qualificato, oltre a dover essere fornito da un prestatore di servizi fiduciari qualificati, deve: a) garantire con un elevato livello di sicurezza l’identificazione del mittente e b) garantire l’identificazione del destinatario prima della trasmissione dei dati.
Si tratta di caratteristiche peculiari di tale sistema che lo rendono diverso dalla posta elettronica certificata. Il recapito, infatti, richiede sia l’identificazione del titolare del servizio nel momento in cui lo stesso viene attivato sia un meccanismo di “strong authentication” per accedere ai messaggi ricevuti ed inviati, così impattando in maniera importante sull’usabilità dello stesso.
La PEC, d’altro canto, non richiede l’identificazione di mittente e destinatario. Correttamente la legge italiana prevede che tale requisito venga soddisfatto con altri strumenti, anch’essi disciplinati nel nostro ordinamento, quali appunto le firme elettroniche.
La PEC, quindi, non soffre di tali requisiti aggiuntivi, in quanto essendo svincolata dalla necessità della strong authentication e dall’identificazione del titolare del servizio può essere più agevolmente adottata quale domicilio digitale per lo scambio di comunicazioni. Tali caratteristiche sono anche quelle che ne hanno reso più semplice l’implementazione nei processi che regolano i flussi documentali, che certamente è più difficoltosa nel momento in cui si devono prevedere dei requisiti aggiuntivi. Infine, elemento non da poco, la PEC ha un costo irrisorio, motivo per cui è così rilevante l’adozione da parte dei privati cittadini che in modo spontaneo ne adottano l’utilizzo (secondo gli ultimi dati Aruba il 39% di quanti hanno attivato una casella PEC è un privato).
E’ per i motivi sopra esposti, nonché per l’ampia diffusione che la PEC ha ormai raggiunto in Italia e per il fatto che, alla data attuale, non sono stati ancora definiti standard comuni ed univoci per i servizi di recapito certificato qualificato a norma eIDAS[6], che si può ritenere che essa continuerà a rimanere il principale strumento utilizzato quale domicilio digitale, e ciò anche, non bisogna dimenticarlo, per la maggior facilità di attivazione di una casella di posta elettronica certificata, che non richiede l’identificazione certa del titolare, rispetto alle procedure che dovranno essere attuate per il rilascio di un recapito certificato qualificato.