PEC e requisiti di legge, come implementare una corretta gestione?

PEC e requisiti di legge, come implementare una corretta gestione?

L’utilizzo della posta elettronica e in particolare della PEC, Posta Elettronica Certificata, rappresenta una sfida su più fronti, ecco come affrontarla

A cura di Luciano Quartarone, CISO & Data Protection Officer di Archiva

Oggi tutte le organizzazioni devono avere e utilizzare caselle di Posta Elettronica Certificata (PEC), ma sono poche quelle davvero consapevoli della normativa in merito. Ad esempio, non tutte le aziende sanno di dover conservare i messaggi ricevuti per mantenere nel tempo il valore probatorio. Inoltre, tra le questioni fondamentali da tenere presenti lavorando con caselle PEC, vi è il fatto che il provider del servizio è tenuto, solamente, al mantenimento dei log delle transazioni effettuate per un periodo molto limitato. Nulla gli è imposto sulla conservazione dei singoli messaggi PEC. Non bisogna poi trascurare che la gestione della mail può rappresentare anche un problema organizzativo, più caselle di posta gestite da diversi provider devono poter essere integrate per costruire un patrimonio di dati aggiornato e facilmente condivisibile.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Gestione PEC, cosa dice la legge

La PEC è nata in Italia nel 2005 con l’obiettivo di migliorare il sistema di comunicazione tra imprese e pubblica amministrazione, ma anche tra privati cittadini. I principali vantaggi relativi all’uso di questo strumento sono il risparmio di carta e dei tempi di attesa, l’annullamento della necessità di spostarsi, l’immediatezza d’uso e il valore probatorio garantito nel momento in cui i dettami legislativi sono rispettati. Il DPR dell’11 febbraio 2005 n.68, e s.m.i., indica con precisione “caratteristiche e modalità per l’erogazione e la fruizione di servizi di trasmissione di documenti informatici mediante posta elettronica certificata”. Nell’ampio decreto, oltre alle indicazioni tecniche, è specificato che non ci si deve limitare alla conservazione del messaggio, ma è necessario tenere traccia anche delle varie ricevute di accettazione perché costituiscono prova dell’avvenuta spedizione, della presa in carico, della consegna, della certificazione del momento della consegna. Ricordiamo che il Codice Civile, art. 2220, prevede la tenuta della corrispondenza dell’impresa per 10 anni: fra questa rientra anche la PEC, in qualità di documento informatico, così come definito nel CAD (D.lgs 82/05). Per adempiere a questo obbligo di legge occorre mettere in conservazione anche le ricevute complete di accettazione e consegna di tutti i messaggi PEC inviati. Bisogna sottolineare, però, che in Italia esiste una norma specifica per la conservazione e non per l’archiviazione, che non è regolamentata. I messaggi PEC devono essere oggetto di conservazione, al pari di tanti altri documenti informatici prodotti in azienda. Il provider di posta elettronica certificata ha l’obbligo di conservare i log di trasmissione e ricezione dei messaggi PEC per 30 mesi. Qui potrebbe esserci un grande rischio per le aziende: credere che sia sufficiente l’archiviazione operata dal provider PEC.

Leggi anche:  Decisione dell’UE, Apple non sarà costretta ad aprire iMessage

Quali problemi nell’organizzazione della posta elettronica certificata

Le aziende scambiano le informazioni con clienti, partner, fornitori attraverso diversi canali. Principalmente si ricorre alla posta elettronica sia ordinaria, sia PEC e spesso in azienda esistono più account PEC forniti da provider diversi, perché attivati in momenti differenti nel tempo. Questa è una sfida sul fronte della governance dei dati. Quanto più le aziende riescono a ottimizzare la gestione della posta integrandola in flussi operativi interni, tanto più possono contare su un patrimonio informativo in continua formazione, condivisibile in tutta l’azienda. Per organizzare al meglio la gestione della posta, è importante valutare quali informazioni devono essere conservate, per via della loro rilevanza giuridica, statistica, storica o per semplice opportunità e man mano alimentare il sistema di conservazione. A questo punto, uno strumento software specializzato nella gestione documentale e nella conservazione può supportare le aziende nel raggiungimento degli obiettivi, siano essi di business o di conformità normativa.

Accessibilità, tracciabilità, sicurezza e collaborazione

In realtà molto strutturate, che hanno magari diverse partecipazioni in altre aziende, può essere necessario adottare un sistema che consenta di aggiungere alla gestione multi-utente e multi-azienda, il servizio di conservazione, il quale può garantire il mantenimento nel tempo del valore probatorio dei documenti informatici. Non solo, è di fondamentale importanza monitorare i processi documentali che includono messaggi PEC agevolando la definizione di ruoli, azioni e permessi. Nella realizzazione di Requiro PEC+, ad esempio, abbiamo scelto di puntare su una soluzione in cloud accessibile in modalità single sign on, ovvero tramite un sistema unico di gestione dell’autenticazione utente, che si estende a tutte le applicazioni collegate, per semplificarne il più possibile l’utilizzo. RequiroPEC+ facilita la gestione integrata dei vari messaggi, la condivisione delle informazioni oltre alla trasparenza delle operazioni, permettendo la personalizzazione di notifiche e alert, visualizzazione grafica degli stati di lavoro e altro ancora. RequiroPEC+ rispetto ad altre soluzioni sul mercato include l’integrazione nativa con il sistema di conservazione di Archiva, che è uno dei principali player nazionali in questo ambito. In questo modo si configura un processo end to end che offre la possibilità di scrivere e inviare messaggi, riceverli e mandarli in conservazione in modo semplice e trasparente per l’utente. Anche se Archiva non si sostituisce ai provider di posta e PEC, è in grado di affiancarsi alle aziende per strutturare e gestire flussi operativi efficienti e conformi ai requisiti normativi. La nostra soluzione è in grado, per esempio, di modellare flussi operativi, nei quali sono immediatamente coinvolti tutti gli attori necessari nella gestione del messaggio PEC, evitando che una loro gestione centralizzata si rilevi un freno per l’operatività. Questa modellazione è il risultato di attività di assessment e ottimizzazione dei processi aziendali.