Posta certificata: luci, ombre ed effetti collaterali

Posta certificata: luci, ombre ed effetti collaterali
di Andrea Monti – Interlex N. 311 del 10.02.05

Lo schema di DPR sulla posta elettronica certificata (PEC) approvato definitivamente lo scorso 28 gennaio dal Consiglio dei ministri detta le regole che conferiscono alla spedizione/ricezione di un messaggio di posta elettronica – non al messaggio in sé – lo stesso valore giuridico di una raccomandata “tradizionale”. Il sistema replica, concettualmente, quello della posta tradizionale e si basa sulla creazione di “uffici postali PEC” (i gestori accreditati) e di “indirizzi PEC” (mailbox controllate dai gestori, che devono garantire adeguati livelli di sicurezza e affidabilità) a disposizione degli utenti. Solo i messaggi scambiati tra gestori accreditati acquisiscono valore legale quanto a data di invio e di ricezione.

Ma l’apparente semplicità del sistema e una certa linearità nell’impostazione giuridico-sistematica nascondono come al solito “scelte di parrocchia”, errori ed effetti collaterali. Questi ultimi, probabilmente, imprevisti.
Appartengono sicuramente alla prima categoria i commi 3 e 4 lett. h) dell’art.14 che condizionano – il primo – l’esercizio dell’attività di gestore di servizi PEC al possesso di un capitale sociale non inferiore a un milione di euro e – il secondo – all’ottenimento della certificazione ISO 9000 o equivalente.

Non si capisce la ragione dell’avere imposto una “barriera di accesso” basata sul capitale sociale. Come se il fatto di avere le tasche piene implicasse necessariamente il possesso dei requisiti soggettivi e delle capacità tecniche per diventare gestori PEC.
La storia recente della firma digitale dimostra che questo assunto non è vero: soggetti di indubbio valore e dotati di risorse elevatissime hanno distribuito software per la gestione della firma digitale che hanno provocato non pochi problemi. Quindi, se la ragione che ha portato a questa scelta fosse stata evitare che perditempo e incapaci inquinassero il mercato, allora sarebbe stato più utile pensare a requisiti organizzativi e tecnici più stringenti di quelli decisi.

Stabilire, per esempio, l’obbligo di un continuo adeguamento dei sistemi di sicurezza, la prestazione di garanzie fidejussorie e via discorrendo, avrebbe sicuramente consentito di operare solo a coloro avrebbero “potuto permetterselo”, ma che, darwinianamente, sarebbero stati selezionati sulla base delle capacità e non del “censo”.
E’ curiosa, invece, la scelta di imporre la certificazione di qualità ISO 9000 e non la ISO 17799 (o BS 7799) che è uno standard molto serio in materia di sicurezza dei sistemi informativi. Una dimenticanza che è tanto più inspiegabile se si considera che l’attenzione (direi quasi l’ossessione) per la sicurezza è sicuramente il tratto qualificante dell’emanando DPR.

Per la serie “a volte ritornano”, invece, registriamo l’apparizione nell’art. 9 del termine “autenticazione” a proposito della firma digitale della busta di trasporto e delle ricevute di ritorno. Anche il DPR 445/00 (portatore della variante “autentificazione”, poi corretta) e molte altre disposizioni utilizzano impropriamente il termine. Il DPR sulla PEC si allinea alla “tradizione stilistica”. Il gestore PEC, dice la norma richiamata, firmando digitalmente busta e ricevuta di ritorno ne assicura “l’integrità e l’autenticità”. Ma è chiaro che la certificazione dell’autenticità (potere del pubblico ufficiale) non può essere attestata dal gestore che certamente non è tale. A meno di non sostenere, con una certa bizzarria, che il termine è stato utilizzato in senso atecnico (giuridicamente parlando).

Meritano inoltre attenzione, in questa prima lettura, le possibili conseguenze della scelta normativa di definire il “virus informatico” riproducendo l’art. 615 quinquies del codice penale. Mentre la norma in questione, infatti, si applica anche ai virus, ma non solo ad essi, è da capire se ora, con la definizione contenuta nel DPR PEC diventino punibili ex art. 615-quinquies solo i virus e non tutti gli altri programmi che, pur non essendo qualificabili come virus, producano lo stesso effetto dannoso.

Gli obblighi di garantire integrità e attendibilità delle transazioni PEC imposti ai gestori e il ruolo della firma digitale nell’assicurare data e contenuti certi di buste e ricevute introducono un altro tema che potrebbe avere effetti imprevedibili sui contenziosi che, a vario titolo, si basano sui log (dalle e-mail che si producono in giudizio, all’acquisizione di dati di traffico e registri di collegamento – log – nelle indagini di polizia giudiziaria).
Se per legge si stabilisce che solo i log gestiti e firmati in un certo modo hanno pieno valore probatorio, è evidente che, per converso, tutto ciò che non rispetta questi requisiti non può avere, di per sé una qualche validità giuridica “automatica”, ma deve essere necessariamente riscontrato da verifiche indipendenti prima di poter costituire “prova”.

Così, spetterebbe a chi ne invoca l’utilizzo – pubblico ministero incluso – dimostrare il valore giuridico di un log “generico” prodotto in giudizio, che non può acquisire valore per il solo fatto di essere stato acquisito da un ufficiale o da un ausiliario di PG. Costoro, infatti, potrebbero solo attestare che quanto consegnano all’autorità giudiziaria è quanto hanno trovato su un certo server, ma non certo che quanto hanno trovato fosse, effettivamente, attendibile e integro.
Si tratta di un problema non banale, se si considera che, diversamente dal DPR in esame, la novella al DLgs 196/03 in materia di conservazione dei dati di traffico non ha stabilito alcuna modalità per la garanzia dell’integrità e dell’attendibilità dei dati stessi.

Possibly Related Posts: