DOCUMENTI INFORMATICI E FIRME ELETTRONICHE
4.1. Posta Elettronica Certificata
Per posta elettronica certificata, così come previsto dalle definizioni di cui all’art. 1 del CAD, si intende quel sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili a terzi. L’efficacia probatoria è equiparata a quella della raccomandata con avviso di ricevimento.
La normativa di riferimento per l’utilizzo e la validità delle trasmissioni di comunicazioni di posta elettronica certificata va ricercata, in particolare, nel D.P.R. n. 68 del 2005 e nel Decreto del Ministero per l’Innovazione e le Tecnologie contenenti le “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”.
Per certificare l'invio e la ricezione di un messaggio di PEC, il gestore di posta invia al mittente una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale documentazione allegata. Allo stesso modo, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna del messaggio con precisa indicazione temporale.
La certezza della provenienza e della integrità del messaggio di posta elettronica certificata è garantita dall’intermediazione del proprio gestore di posta elettronica che, verificata la correttezza
delle credenziali di accesso del mittente, imbusta il messaggio nella cosiddetta “busta di trasporto” e vi appone la propria firma digitale. Questa operazione consente di certificare ufficialmente l'invio e la consegna del messaggio.
Il gestore PEC del destinatario, alla ricezione, effettua un ulteriore controllo sulla validità della firma del gestore del mittente e provvede a prendere in carico il messaggio tentando la consegna al destinatario. A prescindere dall’esito positivo o negativo della consegna, il gestore del destinatario invia la ricevuta nella casella PEC del mittente.
In merito alle disposizioni che trattano della posta elettronica certificata all’interno del Codice dell’Amministrazione Digitale, in primo luogo si precisa che sensi dell’art. 1, comma n-ter), modificato seppur non sostanzialmente rispetto alla precedente stesura, un indirizzo elettronico eletto presso un servizio di posta elettronica certificata è idoneo a costituire un domicilio digitale valido per le comunicazioni elettroniche aventi valore legale.
Il riferimento al concetto di domicilio digitale ha, in qualche modo, superato nella nuova stesura del CAD il riferimento al solo indirizzo di posta elettronica certificata, tanto che con l’art. 7 comma 1 lett. a) del D.Lgs. 217/2017 è stata disposta la modifica anche della rubrica dell’art. 6 che da
“Utilizzo della posta elettronica certificata” è stata modificata in “Utilizzo del domicilio digitale”.
La posta elettronica certificata, pertanto, diviene solo uno dei mezzi idonei a costituire il domicilio digitale.
La ratio della modifica, come si legge anche nella nella Relazione illustrativa, è quella di inserire una definizione di domicilio digitale maggiormente in linea con la normativa europea e con i diritti di cittadinanza digitale.
Decreto Legislativo n. 82 del 7 marzo 2005 così come novellato dal D.Lgs. 217/2017 Art. 6
Testo previgente Testo in vigore
Utilizzo della posta elettronica certificata Utilizzo del domicilio digitale 1. Fino alla piena attuazione delle
disposizioni di cui all'articolo 3-bis, per le comunicazioni di cui all'articolo 48, comma 1, con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell'indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell'invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano.
1. Le comunicazioni tramite i domicili digitali sono effettuate agli indirizzi inseriti negli elenchi di cui agli articoli 6-bis, 6-ter e 6-quater, o a quello eletto come domicilio speciale per determinati atti o affari ai sensi dell'articolo 3-bis, comma 4-quinquies. Le comunicazioni elettroniche trasmesse ad uno equivalgono alla notificazione per mezzo della posta salvo che la legge disponga diversamente. Le suddette comunicazioni si intendono spedite dal mittente se inviate al proprio gestore e si intendono consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova che la mancata consegna sia dovuta a fatto non imputabile al destinatario medesimo. La data e l'ora di trasmissione e ricezione del documento
informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.
1-bis. La consultazione degli indirizzi di posta elettronica certificata, di cui agli articoli 16, comma 10, e 16-bis, comma 5, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, e l'estrazione di elenchi dei suddetti indirizzi, da parte delle pubbliche amministrazioni e' effettuata sulla base delle regole tecniche emanate da AgID, sentito il Garante per la protezione dei dati personali.
1-bis (abrogato)
1-ter. L'elenco dei domicili digitali delle imprese e dei professionisti e' l'Indice nazionale dei domicili digitali (INI-PEC) delle imprese e dei professionisti di cui all'articolo 6-bis. L'elenco dei domicili digitali dei soggetti di cui all'articolo 2, comma 2, lettere a) e b), e' l'Indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi, di cui all'articolo 6-ter. L'elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato diversi da quelli di cui al primo e al secondo periodo e' l'Indice degli indirizzi delle persone fisiche e degli altri enti di diritto privato di cui all'articolo 6-quater.
1-quater. I soggetti di cui all'articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all'articolo 3-bis i
propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all'articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario.
La conformità della copia informatica del documento notificato all'originale e' attestata dal responsabile del procedimento in conformità a quanto disposto agli articoli 22 e 23-bis.
Come già ampiamente argomentato nei precedenti capitoli, ai quale si rimanda per gli approfondimenti, la novità ha interessato anche gli art. 6-bis e 6-ter nei quali è stato riproposto il riferimento non più ai soli indirizzi PEC ma al domicilio digitale, nonché l’introduzione del nuovo art. 6-quater che tratta dell’indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese.
La decisione di sostituire il concetto di posta elettronica certificata con quello più ampio e completo di domicilio digitale è rinvenibile anche nell’art. 65 comma 7 del D.Lgs. 217/2017 che ha previsto l’abrogazione dell’art. 48 a decorrere dal 1 gennaio 2019. Il citato articolo 48, rubricato proprio
“Posta elettronica certificata” prescrive che questo è il mezzo che deve essere utilizzato quando la trasmissione telematica di comunicazioni necessiti di una ricevuta di invio e di una ricevuta di consegna, o mediante altre soluzioni tecnologiche individuate con le Linee Guida. La trasmissione così effettuata equivale, salvo che la legge disponga diversamente, alla notificazione a mezzo posta e data ed ora di trasmissione e ricezione sono opponibili ai terzi se conformi alle disposizioni di cui al DPR n. 68/2005 e alle relative regole tecniche, ovvero conformi alle Linee guida.
È fatta salva comunque la possibilità di provare che la mancata consegna sia dovuta ad un fatto imputabile al destinatario della comunicazione.
La circostanza che l’art. 65 delle disposizioni transitorie preveda l’abrogazione dell’art. 48 non significa, ad ogni modo, che la PEC non sarà più riconosciuta come mezzo di comunicazione tra soggetti avente valore legale e opponibilità al terzo, posto che l’efficacia della PEC è comunque ricompresa nel concetto di “domicilio digitale” di cui al citato art. 6 comma 1 del CAD stesso.
L’art 1 del CAD, al comma 1-ter così come marginalmente modificato dall’ultimo correttivo, prescrive che se la legge consente l'utilizzo della posta elettronica certificata è da considerarsi ammesso anche l'utilizzo di altro servizio elettronico di recapito certificato purché sia qualificato ai sensi degli articoli 3, numero 37), e 44 del Regolamento eIDAS.
Il regolamento eIDAS, ossia il Regolamento europeo n. 910 del 2014, all’art. 3 n. 36 definisce
«servizio elettronico di recapito certificato» (SERC) un servizio che consenta la trasmissione di dati fra terzi per via elettronica e fornisca prove relative al trattamento dei dati trasmessi, tra cui prove dell’avvenuto invio e dell’avvenuta ricezione, e protegga i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate.
Perché un siffatto servizio sia considerato come qualificato (SERCQ), deve soddisfare i requisiti prescritti dall’art. 44 del Regolamento eIDAS. In particolare:
deve essere fornito da uno o più prestatori di servizi fiduciari qualificati;
deve garantire con un elevato livello di sicurezza l’identificazione del mittente;
deve garantiscono l’ del destinatario prima della trasmissione dei dati;
l’invio e la ricezione dei dati devono essere garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
qualsiasi modifica ai dati necessaria al fine dell’invio o della ricezione deve essere chiaramente indicata al mittente e al destinatario dei dati stessi;
la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati devono essere indicate da una validazione temporale elettronica qualificata.
È proprio la possibilità di identificazione del destinatario ciò che, oltre ai più elevati livelli di sicurezza, segna la differenza fondamentale tra la nostra PEC e lo standard SERCQ previsto a livello comunitario. Entrambi, ad ogni modo, sono idonei a costituire un valido domicilio digitale ai fini delle disposizioni del CAD.
L’apertura del legislatore nazionale verso lo standard comunitario potrebbe essere sintomo di un interesse, auspicato da molti, a migrare dal nostro sistema di posta elettronica certificata, singolare a livello europeo e caratterizzato da evidenti limitazioni di tipo tecnico (si pensi all’impossibilità di trasmettere allegati di dimensioni rilevanti), ad uno standard riconosciuto ed accettato oltre confine e caratterizzato da un livello di sicurezza più elevata oltre che da una migliore usabilità.
4.1.1. I gestori di posta elettronica certificata
I soggetti che intendono avviare l’attività di gestore di posta elettronica certificata, ai sensi del novellato art. 29 del CAD, devono presentare domanda di qualificazione all’AgID secondo le
modalità fissate dalle regole tecniche di indirizzo per l’attuazione del codice di cui all’art. 71. Viene meno, pertanto, l’obbligo di allegare una relazione tecnica sulla commercializzazione dei prodotti redatta da un organismo accreditato.
Per poter proporre domanda di qualificazione, il soggetto proponente deve avere natura giuridica di società di capitali, deve disporre dei requisiti di onorabilità, tecnologici e organizzativi e delle garanzie assicurative adeguate al volume di attività e alle responsabilità assunte nei confronti dei terzi. Inoltre, dovrà rispettare le condizioni previste dall’art. 24 del Regolamento eIDAS. I requisiti saranno individuati con decreto del Presidente del Consiglio dei ministri che, ai sensi del comma 8 dell’art. 65 del D.Lgs. 217/2017, dovrà essere emanato entro 180 giorni dall’entrata in vigore del predetto provvedimento. Sino ad a allora, resterà efficace il comma 3 dell'articolo 29 nella formulazione previgente all'entrata in vigore del correttivo.
In merito alle condizioni richieste dal comma 2 dell’art. 29, con provvedimento n.7221785 del 26 ottobre 2017, il Garante per la Protezione dei dati personali, nell’esprimere parere favorevole sullo schema del decreto legislativo recante le disposizioni integrative e correttive al d.lgs.
179/2016, aveva espresso, al punto 5, la necessità di porre l’accento sulle responsabilità che i soggetti richiedenti la qualificazione o l’accreditamento si assumono anche in riferimento al trattamento dei dati personali degli utenti. Il suggerimento del Garante, ad ogni modo, non ha trovato spazio nella stesura definitiva del correttivo che è rimasta invariata.
Decorsi 90 giorni dalla presentazione della domanda di qualificazione, qualora non sia stata comunicato al richiedente il provvedimento di diniego, la domanda si considera come accolta. Il termine può essere sospeso per una sola volte per richieste di integrazioni documentali che non siano già in possesso dell’AgID o che questa non possa acquisire in maniera autonoma. I soggetti che hanno ottenuto la qualificazione, verranno iscritti in un elenco pubblico tenuto dall’AgID e consultabile anche telematicamente.
La necessità, per i gestori di posta elettronica certificata, di dimostrare di avere idonee garanzie assicurative per l’attività svolta trova un corollario nell’art. 30 che ne sancisce la responsabilità in caso in cui cagionino danno ad altri nello svolgimento della propria attività con conseguente obbligo di provvedere al risarcimento di tutti i danni. Il gestore è liberato solo se riesce a dimostrare di aver adottato tutte le misure idonee ad evitare il danno.
Il mancato rispetto degli obblighi imposti ai gestori dalle disposizioni del codice o dal Regolamento eIDAS comporta, ai sensi dell’art. 32 bis, l’irrogazione da parte dell’AgID di una sanzione amministrativa che, a seconda della gravità della violazione, può variare da 40.000 a 400.000 euro, oltre al risarcimento dell’eventuale maggior danno. AgID provvederà, contestualmente
all’irrogazione della sanzione, a diffidare il gestore a conformarsi immediatamente alle disposizioni di legge.
Qualora la violazione sia considerata grave, come nel caso di condotte idonee a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relative a significative carenze infrastrutturali o di processo del fornitore di servizio, comportano la cancellazione del fornitore ll’ l dei soggetti qualificati nonché il divieto di nuova qualificazione fino ai due anni successivi alla cancellazione..
È prevista anche la sanzione accessoria della pubblicazione della diffida o del provvedimento di cancellazione.
Analogo potere sanzionatorio è riconosciuto ad AgID nel caso in cui, a causa di un malfunzionamento non dovuto a causa di forza maggiore o caso fortuito, il servizio venga interrotto o il malfunzionamento non venga tempestivamente comunicato all’Agenzia e agli utenti. In questo caso, AgID potrà diffidare il prestatore del servizio invitandolo a ripristinare senza dilazione la regolarità della prestazione o a provvedere ad effettuare comunicazioni richieste. In caso di reiterazione nel biennio successivo alla prima violazione, si applica la sanzione della cancellazione dall’elenco pubblico.
Rispetto alla formulazione previgente dell’art. 32 bis, è evidente un inasprimento delle sanzioni.
Basti pensare che fino all’entrata in vigore del correttivo, oltre a non essere previsto il divieto di qualificazione per un periodo successivo alla violazione e commisurato alla sua gravità, le sanzioni amministrative erano stabilite in un minimo di 4.000 ed un massimo di 40.000 euro. Appare evidente che il legislatore ha ritenuto di dover garantire in maniera più incisiva il rispetto delle disposizioni di settore, avuto riguardo anche all’importanza degli interessi in gioco e all’entità dei danni che potrebbero derivare da un comportamento illegittimo.