Archivio tag: posta elettronica certificata

Posta elettronica certificata, firma elettronica (avanzata) e forma scritta.

pecHo sempre pensato che la PEC non consentisse di imputare direttamente  un atto giuridico al titolare della casella stessa a meno che costui non usasse la sua firma digitale per sottoscrivere un eventuale allegato incluso nel messaggio. ( avevo già affrontato il tema: http://dirittodigitale.com/a-proposito-di-identificazione-e-pec-e-davvero-cosi-importante/ e http://dirittodigitale.com/pec-e-identificazione-personale/ ). Ed ho sempre pensato che una PEC non potesse equivalere ad un documento scritto.

E’ vero che il mittente è “identificato” dal fornitore di servizi PEC, ma questa circostanza non crea una connessione univoca con l’atto giuridico contenuto nel messaggio e soprattutto non soddisfa il requisito della forma scritta, posto che il CAD (art. 21, comma 2 bis d. lgs. 82/2005) prevede che il documento informatico sia sottoscritto con firma avanzata, qualificata o digitale a seconda della tipologia di atti. Tale disposizione prevede infatti che:

Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Dunque per stare tranquilli era meglio utilizzare la PEC con dentro un allegato sottoscritto con firma digitale.

Da un po’, però  è entrato in vigore Il DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) che  prevede all’art. 61:

L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

Quindi ai sensi di tale disposizione, il privato può avanzare telematicamente istanze alla p.a. (di questo si occupa il citato art. 65 CAD) semplicemente attraverso la PEC e senza necessità di usare una firma avanzata.

C’è anche un’ altra conseguenza.

L’art. 21 comma 2 bis citato qualche riga sopra, prevede che soddisfa il requisito della forma scritta il documento informatico sottoscritto con firma avanzata.

Ora, se la firma avanzata è sostituita a sua volta dalla PEC, se ne potrebbe dedurre che l’uso della PEC consenta di produrre atti scritti….

L’art.61 del DPCM 22.2.2013, però pone due condizioni:

  1. contempla il caso delle istanze inviate alla p.a.
  2. contiene l’incinso “nei confronti della pubblica amministrazione

Due interrogativi emergono:

1) può un DPCM (che è norma secondaria, proveniente da un’autorità amministrativa e non da una legislativa) introdurre una nuova forma di equiparazione tra documento informatico e documento cartaceo non prevista – nè espressamente “delegata” – dalla legge?

Il CAD infatti non prevede che la PEC possa sostituire la firma avanzata. Forse chi ha scritto il DPCM non ha pensato o non ha voluto questa ulteriore conseguenza, ma – se la logica non m’inganna – questo è l’effetto che si verifica….

2) ammesso e non concesso che tale innovazione (niente affatto irrilevante) sia ammissibile in termini di gerarchia delle fonti, si tratterebbe di effetto limitato ai rapporti tra cittadino e p.a.?

Se si, da cosa sarebbe giustificata tale disparità di trattamento?

O al contrario, proprio perché si verificherebbe una disparità di trattamento, quel che vale per la p.a. deve valere anche nei rapporti tra privati?

O, ancora, quel che vale nei confronti della p.a. deve valere  a maggior ragione nei confronti dei privati?

Di fronte a tale scenario, il collega Marco Cuniberti si è chiesto se sia possibile utilizzare una soluzione FEA (Firma Elettronica Avanzata) utilizzando la PEC, fornendo una risposta positiva. Condivido le conclusioni ed anche il percorso argomentativo: la mia però è una domanda un po’ più radicale. Io mi chiedo infatti se l’uso della PEC sia di per sè equivalente all’uso di una FEA sul piano squisitamente giuridico e non su quello operativo.

Mettendo da parte per un momento il quesito pregiudiziale di cui al punto 1 che precede (muovendo dalla considerazione circa la deregulation che “vige” in materia), l’equivalenza mi sembra perfetta nei rapporti tra cittadino e p.a., mentre è più problematica nei rapporti tra privati o tra p.a. e p.a.

A tale ultimo riguardo, nella circolare n. 3 della Ragioneria dello Stato (http://www.rgs.mef.gov.it/_Documenti/VERSIONE-I/CIRCOLARI/2014/Circolare_del_20_gennaio_2014_n_3.pdf) può leggersi (pag. 3 terzultimo paragrafo) che la previsione di cui all’art. 61 DPCM 22.2.2013 “è limitata alla trasmissione mediante casella di posta elettronica certificata personale di cui all’art. 65, comma lett. c-bis del CAD. Con la conseguenza che può escludersi dalla predetta fattispecie l’invio effettuato tramite casella di posta elettronica certificata rilasciata a soggetto diverso da persona fisica, ivi incluse le pubbliche amministrazioni”.

E’ un’interpretazione che rispetta – a mio parere in modo eccessivamente rigoroso  – il solo dato letterale della disposizioni (sia dell’art 61 DPCM 22.2.2013 che dell’art. 65 del CAD).

L’interprete deve infatti considerare anche la ratio della norma e il profilo sistematico, nonchè l’analogia ed i principi generali (art. 12 preleggi).

Quali particolarità possiede allora la comunicazione da un cittadino verso la p.a. che non possiede la comunicazione tra privati o tra p.a.?

Cosa ostacola il ricorso all’analogia?

Una risposta è certamente presente nell’art. 14 delle stesse preleggi che vieta l’interpretazione estensiva o analogica di leggi che “fanno eccezione a regole generali”. Tale disposizione parrebbe confortare il tenore letterale, poiché l’art. 61 DPCM 22.2.2013 deroga effettivamente alle disposizioni di legge (CAD) che consentono l’equiparazione del documento informatico al documento scritto solo se viene usata la firma digitale o la FEA, ma non anche la sola PEC.

Però l’interpretazione deve anche rispettare il principio di ragionevolezza (qui un interessante studio sul punto http://www.cortecostituzionale.it/documenti/convegni_seminari/RI_Cartabia_Roma2013.pdf ).

Credo che se un determinato effetto è ammesso dalla legge in un certo tipo di rapporto tra privato e p.a. non possano esserci ostacoli ad utilizzarlo in senso inverso cioè dalla p.a. al cittadino. E’ perché poi escluderlo tra p.a o tra cittadini?
Forse il legislatore ha voluto effettivamente circoscrivere la norma al rapporto tra cittadino e p.a. (e per giunta solo dal basso verso l’alto), ma temo che tale norma possa non resistere al vaglio di ragionevolezza e coerenza sistematica:  sarà forse necessario un intervento della Corte Costituzionale che espunga del tutto la norma dall’ordinamento o che ne individui un’intepretazione rispettosa dei citati principi ?

PEC: allegati nn certificati?

pecMi taggano in una questione relativa al fatto che secondo qualcuno la “genuinità” degli allegati di un messaggio di posta certificata non sarebbe garantita dal Gestore PEC. Di conseguenza non  “avrebbe alcuna valida prova scritta in mano chi invii, alla propria controparte, una Pec che riporti il seguente messaggio: “Si invia comunicazione come da allegato” e poi il testo vero e proprio è contenuto in un pdf.

La cosa nn mi suona e per sicurezza prima di postare il mio commento, mi rinfresco le norme.

Sia la legge (http://www.agid.gov.it/…/posta-elettronica-certificata) che le norme tecniche (http://www.agid.gov.it/…/pec_regole_tecniche_dm_2-nov…) prevedono che qualora si usi la ricevuta completa il gestore debba inviare il messaggio in originale il che significa che se il messaggio originale conteneva un allegato anche questo verrà inserito nella ricevuta completa (comunque anche quella breve usa gli hash invece che i file originali ed il risultato nn cambia di molto.. ma non vorrei complicare le cose..)

Inoltre non dimentichiamo che il messaggio viaggia in rete dentro ad una busta crittografata con la firma del gestore che noi in realtà non vediamo perché gli editor di posta elettronica (via web o desktop) la “scartano” per noi, rendendo intellegibile il messagio e gli altri dati.

In particolare il punto 6.5.2.2 delle norme tecniche prevede che:

1) “Alla ricevuta breve di avvenuta consegna è allegato il messaggio originale nel quale rimane inalterata la struttura MIME” ;

2) “Per permettere la verifica dei contenuti trasmessi è indispensabile che il mittente conservi gli originali immodificati degli allegati inseriti nel messaggio orig inale, a cui gli hash fanno riferimento“.

A livello empirico, inoltre, potete controllavre voi stessi nelle vostre ricevute di consegna che ci sia effettivamente il messaggio in originale completo degli allegati: siccome questi allegati viaggiano nella stessa busta con il contenuto del messaggio ed il file XML, non vedo come potrebbero essere sforniti della firma eletrtonica del gestore.

Certo qualcuno potrebbe contestare.. ma a questo punto due cose:

  • a livello legale e teoricio spiegare come funziona il sistema (come ho tentato di fare sopra)
  • a livello pratico si deposita in giudizio il messaggio in originale (in formato .msg o .eml entrambio tollerati dal PCT) e si chiede al giudice di verificare o se vuole, di farlo verificare ad un CTU.

Poi se vogliamo mettere il contenuto nel testo del messaggio invece che nell’allegato per evitare problemi, questo è un altro discorso.

Come altro discorso – corretto – è che l’allegato non contiene la firma digitale del mittente (a meno che non sia un doc appositamente firmato.. ma chi lo fa?) e quindi non è direttamente riferibile (rectius imputabile) al mittente stesso, ma indirettamente lo è 😉

Il mio amico “acaro” (non quello della polvere, ma l’ informatico esperto di sicurezza) mi dice che “Tecnicamente l’allegato della PEC è PARTE INTEGRANTE dell’envelope S/MIME che viene firmato dal gestore il quale garantisce l’integrità del messaggio durante il transito nella sua interezza

Voi che ne dite?

PEC univoca (?!) e ….diritti della persona.

La sentenza di Bologna  intercetta correttamente una problema reale e gravissimo, ossia quello dell’utilizzo non esclusivo di un indirizzo PEC, ma non affronta quello fondamentale relativo alle effettive cause che hanno consentito l’eccezionale “duplicazione” di un  indirizzo PEC.

I passaggi logici appaiono sintomatici del fatto che l’accertamento dei giudici Bolognesi si sia limitato alla superficie del problema.

Era chiaro, infatti che:

  • due stessi soggetti (Pubblitre s.r.l. di Roma e Pubblitre s.r.l. di Bologna) avessero utilizzato – incredibilmemte – lo stesso indirizzo PEC (pubblitre@pec.it);
  • la CCIAA ha dichiarato di non verificare, al momento in cui iscrive un’impresa, che l’indirizzo PEC non sia già stato dichiarato – per avventura… – da altra impresa;
  • l’INAIL ha fatto presente che esistono 191.000 indirizzi PEC “assegnati a diverse imprese oppure non correttamente associati al titolare dell’indirizzo stesso” (l’INAIL non usa dunque l’espressione “duplicati”)
  • Il Ministero dello sviluppo economico ha emanato più di una circolare (3670 del 23.6.2014) rivolta alle CCIAA affinché venga verificata l’univocità dell’indirizzo PEC.
  • Aruba (che non era parte nel processo) ha dichiarato (in un altro processo precedente…) che “non può mai funzionare più di uno fra gli indirizzi PEC aventi “formulazione identica”, restando allora pur sempre esclusa l’operatività delle altre “utenze gemelle”, a prescindere da chi ne sia il gestore”.
  • Non è previsto “alcun controllo successivo ai fini della verifica circareale corrispondenza tra il titolare dell’indirizzo PEC e l’elemento identificativo (codice fiscale/partita i.v.a.)” (pag. 18 ultimo paragrafo).

Ora, quanto accaduto può essere orginato da due cause diverse ed indipendenti:

  1. l’assegnazione del medesimo indirizzo PEC ad entrambe le società Pubblitre s.r.l.
  2. la dichiarazione erronea di una delle due società Publitre s.r.l.

L’ipotesi sub A) va esclusa sulla base delle dichiarazioni fornite (in altro processo) da Aruba. Prendendo per buone tali dichiarazioni (che in realtà andrebbero verificate tecnicamente al fine di accertare che effettivamente i sistemi PEC – tutti – siano in grado di evitare “collisioni” tra indirizzi PEC) l’unica spiegazione dell’accaduto è che qualcuno abbia erroneamente dichiarato un indirizzo PEC di qualcun’altro. Ossia l’ipotesi sub b)

Nella sentenza, in effetti, si afferma (pag. 12 prima riga) che la CCIAA di Bologna ha ricevuto da un apposito professionista incaricato dalla Pubblitre bolognese l’indicazione di una PEC che però era in uso a Pubblitre romana, la quale, letto il messaggio pec ha reagito segnalando di essere completamente estranea alla procedura.

Se così stanno le cose, si tratta di comprendere a chi attribuire la responsabilità di tale erronea “associazione” (usando il linguaggio dell’INAIL).

I giudici bolognesi sembrano operare in base ad un principio (la cui esistenza ed efficacia è tutta da verificare) di “effettiva conoscenza” del provvedimento notificato via PEC: e siccome agli atti risulta che il destinatario del provvedimento era all’oscuro della procedura, ne deducono un vizio del contraddittorio: principio chiaramente sacrosanto, poiché nessuno può essere condannato se prima non è stato avvisato che nei sui confronti si sta svolgendo una procedura giudiziaria.

La domanda che sembra mancare, però, è la seguente: “per quale motivo il destinatario dell’atto non ha avuto conoscenza dell’atto stesso?”.

Se la causa non dipende dal destinatario stesso, si pone di certo il problema di tutelarlo, ma se al contrario è lo stesso destinatario (o un suo delegato o mandatario) a causare la mancata conoscenza dell’atto, non può che soccorrere il noto proverbio : “chi è causa del suo mal piagna se stesso” che ha un suo preciso omologo giuridico: cuius commoda eius et incommoda.

Gli effetti della sentenza – emessa probabilmente con le migliori intenzioni – rischiano di diventare paradossali: se un soggetto infatti dichiarasse dolosamente un indirizzo PEC che non gli è stato effettivamente assegnato da alcun gestore PEC, avrebbe lo straordinario ma illegittimo potere di vanificare tutte le notifiche notifiche ad esso rivolte!

La sentenza non dice questo, ovviamente, ma non precisando il titolo di responsabilità nè la fonte, il principio che ne è alla base si presta ad essere applicato in tutti i casi di “apparente duplicazione”, quale potrebbe – per ipotesi – essere anche quello in esame…

Due quindi i problemi:

  1. non aver verificato se si è trattato di un errore (magari convocando il professionista che ha effettuato la dichiarazione dell’indirizzo PEC)
  2. non aver verificato se si è trattato – al di là delle dichiarazioni esterne di Aruba – di un problema tecnico-informatico

Incrociando i dati di queste due verifiche si avrebbe avuta la prova di quanto realmente accaduto: il professionista ad esempio avrebbe potuto mostrare o produrre i documenti in forza dei quali è stato richiesto e assegnato l’indirizzo PEC; l’eventuale mancanza di siffatta documentazione avrebbe deposto per una erronea dichiarazione, con conseguente possibile responsabilità del professionista stesso che a questo punto dovrebbe essere particolarmente diligente, cauto ed avveduto sia nel momento in cui assume tale incarico con il cliete, sia quando esegue il mandato.

La dichiarazione di un indirizzo PEC è un momento assolutamente determinante e delicatissimo: chi lo esegue se ne deve assumere tutte le responsabilità.

In mancanza il sistema rischia di collassare!!

Certamente un controllo da parte delle CCIAA consentirebbe di verificare la presenza delle situazioni anomale, ma la mancanza di tale controllo, a ben vedere, è solo una causa esterna, tanto è vero che non è richiesto esplicitamente da nessuna norma.

La sentenza quindi contiene un grave errore logico, derivante dall’aver ragionato “a posteriori”. I giudici bolognesi muovono, infatti, da un dato storico “a valle” ossia il fatto che il destinatario effettivo non abbia avuto conoscenza dell’atto per poi dedurne che qualcosa – che non viene chiarito – non ha funzionato.

Il dato da dimostrare dunque, ossia la causa reale del “malfunzionamento”, viene del tutto accantonato nel momento in cui l’attenzione rimane concentrata sul vizio.

Vizio giuridico e “malfunzionamento” a ben vedere operano su piani completamenti diversi, autonomi ed indipendenti: si potrebbero essere infatti verificate quattro ipotesi diverse:

  1. tutto il sistema PEC – al di là di quanto dichiarato (e non verificato) da Aruba – in realtà non funziona giacché non è in grado di evitare collisioni: quindi potrebbero essere stati rilasciati due indirizzi PEC identici. I questo caso sarebbe corretto considerare la notifica nulla, giacché non vi sarebbero responsabili (se non chi ha progettato il sistema, ossia il legislatore stesso!!!).
  2. il sistema con cui Aruba che (non sappiamo se i giudici ne abbiano contezza) ha gestito nella specie l’assegnazione degli indirizzi PEC “pubblitre@pec.itnon funziona: in  questo caso non sarebbe corretto considerare la notifica nulla, giacché il responsabile sarebbe Aruba che ha posto in essere procedure interne inaffidabili.
  3. il sistema PEC ha funzionato a dovere, ma qualcuno ha reso una dichiarazione non corrispondente al vero per dolo o per colpa:

3.1) se è per dolo, la notifica non può essere ritenuta invalida, pena un inaccettabile effetto premiale di chi si vuol sottrarre alla notifica di atti sgraditi;

3.2) se è per colpa, la notifica non può egualmente essere ritenuta invalida, giacchè non di falla del sistema si tratta, ma di evento esterno al sistema stesso – fatto del terzo (nel caso di specie il professionista che ha fatto la dichiarazione alla CCIAA) – che è da solo sufficiente a spiegare l’effetto della mancata conoscenza della notifica.

Sembra sussistere sullo sfondo: una sorta di credenza di cui i giudici non sembrano avere piena consapevolezza e che quindi non possono dichiarare. Un dato culturale: il sospetto o la diffidenza per il mezzo tecnologico. In realtà il sistema (tranne che risultino infondate le dichiarazioni di Aruba) funziona perfettamente solo che richiede con estrema rigidità che esso venga utilizzato esattamente come esso è stato progettato, ossia con una serie di dichiarazioni di indirizzi PEC corrispondenti al vero e senza “duplicazioni” di sorta.

Tutto funziona, paradossalmente “troppo bene” giacché non ammette eccezioni: generata la ricevuta di consegna la notifica è valida.

La legge non contempla (e questo è un difetto di immaginazione o di progettazione del legislatore) questa ipotesi di “duplicazione” e quindi l’applicazione del sistema (e non il sistema stesso) va in crisi.

Ben vengano i controlli per evitare “duplicazioni”, ma facendo ben attenzione al fatto che si sta ancora una volta ragionando “a posteriori”: i controlli non servono ad evitare notifiche nulle, ma a scovare dichiarazioni infedeli o errate.

Il problema centrale nel caso di specie è rendere nulla una sentenza per tutelare il diritto di un singolo demolendo l’intera tenuta del sistema PEC: se infatti il notificante non può essere certo della validità degli atti, di certo non la utilizzerà.

Al contrario se si vuol mantenere la tenuta del sistema, occorre “spostare” su qualcun altro la responsabilità dell’accaduto, senza però passare per la nullità della notifica: su chi dichiara un erroneo o falso indirizzo PEC o sul gestore che gestisce male il suo sistema PEC interno..

Il problema della “effettività della sede” d’altronde è un problema ben noto nella giurisprudenza che spesso lo ha risolto in maniera formale:

In tema di notifiche alle persone giuridiche, in caso di divergenza tra la sede legale e quella effettiva, la prevalenza del principio di effettività contenuto nell’art. 46 cod. civ. deve essere comunque coordinato con la tutela dell’affidamento dei terzi, con la conseguenza che in caso di divergenza tra sede legale ed effettiva, la prima non può essere ritenuta priva di rilevanza essendo consentita una mera equiparazione. (In applicazione del principio, la S.C. ha ritenuto legittimamente notificato un avviso di accertamento emesso da un Comune in materia di TARSU, ad una S.r.l. presso la sede legale piuttosto che presso quella effettiva, luogo in cui era stata trasferita la sede senza che ancora vi fosse stata la delibera sociale e la relativa pubblicità). (Rigetta, Comm. Trib. Reg. Salerno, 05/08/2004). Cass. civ. Sez. V, 27/10/2010, n. 21942 (rv. 615823).

Dunque applicazione del principio “chi è causa del suo mal pianga se stesso”. Siccome non è stata curata la pubblicità la “vecchia “sede legale sebbene non effettiva è perfettamente valida.

Anche l’esigenza di evitare sottrazioni alla notifica è un principio riconosciuto:

Si considera assicurato il diritto di difesa quando l’istanza di fallimento venga portata a conoscenza della società debitrice sia presso la sede sociale, risultante dai pubblici registri commerciali, sia, in caso di esito negativo, presso la residenza del legale rappresentante, anche con notifica eseguita a mezzo posta e perfezionatasi per compiuta giacenza. In tale circostanza, l’ordinamento considera equipollenti la conoscenza effettiva e la conoscenza legale degli atti giuridici; ciò allo scopo di evitare che il destinatario dell’atto possa impedirne la notificazione sottraendosene deliberatamente. Trib. Roma, 23/03/2001. Dir. e prat. soc., 2001, f. 23, 98

Si tratta in conclusione di bilanciare l’interesse del destinatario con quello del notificante: lo strumento utilizzato (carta o bit) a questo punto non dovrebbe fare alcuna differenza.

Certo l’equiparazione del domicilio informatico a quello fisico anche per le persone fisiche e non solo giuridiche pone di fronte uno scenario nuovo: quello di considerare attentamente la notifica solo legale e non anche effettiva per una serie di atti che possono involgere diritti personali di rango certamente superiori a quelli meramente patrimonialei di norma portati dalle persone giuridiche. Per quanto possano essere gravi gli effetti di un fallimento infatti, di certo un disconoscimento di paternità, un’interdizione o un divorzio hanno certo implicazioni diverse che non possono essere tutelate solo con lo strumento del risarcimento dani di cui si è parlato in precedenza.

Forse la notifica telematica dovrebbe essere rivista legislativamente e non solo a livello di interpretazione quando sono in discussione diritti della persona?

Spam e posta elettronica certificata (PEC)

Da qualche giorno sto riflettendo sull’uso “improprio” (?) della PEC, sia per la discussione nata su  Legalit che per motivi personali. Alcuni colleghi si lamentano, infatti di ricevere comunicazioni indesiderate sulla casella di posta elettronica certificata.

Le ipotesi, a mio avviso,  sono 3:

  1. abbiamo configurato l’account in modo da ricevere messaggi anche ordinari (non PEC)…
  2. c’è qualcuno ben identificato con cui prendersela…
  3. gli Ordini professionali dovrebbero fare da filtro magari non pubblicando in chiaro gli indirizzi pec (?)
Sub 1: taglia la testa al toro, ma non risolve il problema giuridico…
Sub 2: Problemi di privacy? Direi i soliti…cioè divieto di spam, esercizio dei diritti ex art. 7 d. lgs. 196/2003, ricorso al Garante, risarcimento danni, etc. etc..
Sub 3: funzione degli Ordini professionali: dovrebbero o meno pubblicare in chiaro l’indirizzo pec dei propri iscritti?
Per provare a rispondere, ripenso alla normativa. Tutto (?)  inizia con l’art. 16, comma 7 del d.l. 185/2008 (conv. in legge 2/2009) che prevede:
7.  I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6 entro un anno dalla data di entrata in vigore del presente decreto. Gli ordini e i collegi pubblicano in un elenco riservato, consultabile in via telematica esclusivamente dalle pubbliche amministrazioni, i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.

E c’è anche quest’altra norma (stesso art. 16, comma 10)

10. La consultazione per via telematica dei singoli indirizzi di posta elettronica certificata o analoghi indirizzi di posta elettronica di cui al comma 6 nel registro delle imprese o negli albi o elenchi costituiti ai sensi del presente articolo avviene liberamente e senza oneri. L’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza.

Prima, a dire il vero, c’era stato il CAD (d.lgs. 82/2005, come modificato dal decreto legislativo 30 dicembre 2010 n. 235)

Art. 6. Utilizzo della posta elettronica certificata.

1. Per le comunicazioni di cui all’articolo 48, comma 1, con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell’indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell’invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano.

1-bis. La consultazione degli indirizzi di posta elettronica certificata, di cui agli articoli 16, comma 10, e 16- bis, comma 5, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, e l’estrazione di elenchi dei suddetti indirizzi, da parte delle pubbliche amministrazioni è effettuata sulla base delle regole tecniche emanate da DigitPA, sentito il Garante per la protezione dei dati personali. 

Dunque, prima, nel 2008 la consultazione era libera, oggi, invece non lo è, poiché deve rispettare (come per l’estrazione) le regole tecniche stabilite da DigitPA e che si trovano qui.

La lettura di queste regole tecniche non è molto amena…, ma se riuscite ad arrivare sino in fondo, sembra di capire che gli Ordini dovrebbero fungere filtro che però va gestito secondo dettagliate norme tecniche.

I soggetti coinvolti, intanto, sono solo 2:

a) Erogatore: il soggetto gestore delle sorgenti informative indicate ai commi 6 e 7 dell’art. 16, nonché al comma 5 dell’art. 16 bis del decreto legge 29 novembre 2008, n. 185 convertito con modificazioni dalla Legge 28 gennaio 2009 n. 2, come disciplinato quest’ultimo dal DPCM 6 maggio 2009 agli articoli 2, comma 1 e 7, comma 1.

b) Fruitore: la pubblica amministrazione.

Erogatore è l’Ordine professionale che gestisce i dati degli iscritti raccolti nell’albo (sorgente informativa), mentre la P.A. è il fruitore: dunque sembra che solo tra questi 2 soggetti possa avvenire la consultazione ed estrazione.

Ergo nessun elenco pubblico visibile a chiunque !!

Questa conclusione pare confermata dal fatto che l’art. 15 delle stesse norme tecniche (in vigore dall’aprile 2011, allorché il Garante per la tutela dei dati personali ha fornito il suo necessario parere) è previsto che:

1. L’incaricato del Fruitore, utilizzando un browser web, accede all’area dedicata del sito dell’Erogatore e, per acquisire le credenziali necessarie per l’accesso all’area dedicata, fornisce il codice IPA della propria amministrazione ed il proprio indirizzo PEC presente in IPA.

E la consultazione non è ancora attiva, poiché la procedura non è ancora terminata (l’art. 15 ha diversi commi…).

Ultimo problema: io che voglio inviare una PEC ad un altro professionista risparmiando tempo e denaro, non essendo – io –  una P.A. non potrei conoscerne l’indirizzo?

Che ne dite?

Ricevute PEC: un esempio

Anche in relazione alla discussione che è iniziata in sede di commenti all’articolo del gennaio dello scorso anno pochi giorni fa e che prosegue nel nuovo”pezzo”  sullo stesso argomento, riporto di seguito due esempi reali di ricevuta che il sistema invia al destinatario:

  1. la prima è di accettazione; nell’esempio è stata accettata alle ore 16:43 e 28 secondi (questa ricevuta è inviata dal fornitore di servizi PEC del mittente – io .. – che, in questo caso è Aruba)
  2. la seconda è di consegna, ma al server, ed è di appena 22 secondi dopo, giacché risulta effettuata alle ore 16:43 e 50 secondi (questa ricevuta è inviata dal fornitore di servizi PEC del destinatario che, in questo caso è Legalmail)
Stando così le cose, il messaggio risulta legalmente consegnato al server del destinatario in ogni caso PRIMA ancora che il destinatario stesso lo possa leggere. Ed anche se non verrà mai letto, risulterà comunque consegnato.
Il dialogo è essenzialmente tra computer e tutto si perfeziona nel dominio telematico