Conservazione digitale

Tempo di lettura:

Tempo di lettura:

La conservazione digitale a norma dei messaggi PEC – I Parte

L’impiego della PEC da parte degli studi professionali e delle imprese  sta crescendo sempre più, anche perché è uno dei canali di trasmissione impiegati per inviare tramite il SDI fatture elettroniche sia alle PA che alle imprese. In questo articolo, suddiviso in due parti, andremo ad esaminare alcune peculiarità della PEC e le modalità di conservazione dei relativi messaggi.
 
 
La posta elettronica certificata (PEC), data la sua enorme diffusione, viene sempre più utilizzata dal legislatore, e nell’ambito degli scambi di dati è una modalità pressoché costante, come per esempio l’obbligo di fatturazione elettronica alla pubblica amministrazione, oppure la più recente possibilità di trasmettere le fatture elettroniche in ambito B2B tramite l’ausilio appunto del sistema di interscambio.
Questo è il motivo per cui sempre più studi professionali, nell’ambito di un percorso di digitalizzazione, tramite l’ausilio di software dedicati hanno iniziato ad offrire ai propri clienti servizi di gestione delle caselle PEC.
Il numero esatto delle caselle PEC ad oggi attive in Italia non è ben chiaro, mentre presso l’Indice Nazionale degli Indirizzi PEC (www.inipec.gov.it ) risultano registrati indirizzi PEC di 4.600.000 imprese e di 1.400.000 professionisti. Il servizio INIPEC è infatti un semplice ed utile strumento per reperire  indirizzi PEC di aziende e professionisti, ed è nella pratica stato realizzato dal Ministero dello Sviluppo Economico tramite l’ausilio di Infocamere Scpa, e mentre per i professionisti l’aggiornamento viene eseguito dagli Ordini o Collegi professionali, per le imprese è eseguito da Infocamere Scpa.
 
 
? Inquadramento normativo
Introdotta con il DPR 11 febbraio 2005 n.68, il successivo decreto 2 novembre 2005 ne stabiliva le regole tecniche di funzionamento, mentre una definizione di PEC è contenuta all’art.1 lettera v/bis del decreto legislativo 7 marzo 2005 n.82 (Codice dell’amministrazione digitale), ove testualmente  riporta che è un “sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi”.
 
Dalla sola lettura della suddetta definizione, emergono almeno tre importanti aspetti, e cioè che la PEC:

  • è un “sistema di comunicazione”, e quindi per esempio non è un sistema di conservazione di cui al DPCM 3 dicembre 2013 da utilizzare per conservare a norma i documenti informatici emessi o ricevuti;
  • è in grado di “attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica”, e quindi non può essere impiegato in sostituzione della firma digitale oppure del sigillo digitale, oppure della marca temporale;
  • è in grado di “fornire ricevute opponibili ai terzi”, e quindi vi è la necessità di gestire e preservare al meglio negli anni le suddette ricevute tramite sistemi di conservazione a norma.

 
? Funzionamento della PEC
Possiamo riassumere il funzionamento della PEC nei seguenti 5 passaggi chiave:
1- il mittente, previa autenticazione (User-ID e password) accede alla casella PEC del proprio gestore ed invia il messaggio;
2- il gestore PEC del mittente, dopo aver ricevuto il messaggio,  svolge una serie di controlli formali, ed in caso di anomalie il messaggio non verrà inoltrato ed al mittente verrà comunicato un “avviso di non accettazione”, mentre in caso di controlli andati a buon fine al mittente verrà rilasciata una “ricevuta di accettazione” con i “dati di certificazione” (il file allegato “daticert.xml”) e contenente il mittente, il destinatario, l’oggetto,  la data ed ora di accettazione, e l’identificativo del messaggio;
 
3- il messaggio originale ed i “dati di certificazione” (il file allegato “daticert.xml”) vengono trasmessi al gestore PEC del destinatario;
 
4- il gestore PEC del destinatario invia al mittente, tramite il suo gestore PEC, la “ricevuta di  avvenuta consegna” contenente i “dati di certificazione” (il file allegato “daticert.xml”) che costituiscono prova che il messaggio è stato depositato nella casella PEC del destinatario. Da rilevare che la suddetta “ricevuta di  avvenuta consegna”  può essere di tre diverse tipologie:
 

  • ricevuta COMPLETA di avvenuta consegna, costituita da un messaggio contenente due file:

-il file “daticert.xml” contenente  il mittente, il destinatario, l’oggetto, la data ed ora di accettazione, e l’identificativo del messaggio;
-il file “postacert.eml” che è il messaggio originale trasmesso completo (header e testo) e comprensivo anche degli eventuali allegati (e.g. fatture, contratti, etc);
 

  • ricevuta BREVE di avvenuta consegna, costituita da un messaggio contenente due file:

-il file “daticert.xml” contenente  il mittente, il destinatario, l’oggetto,  la data ed ora di accettazione, e l’identificativo del messaggio;
-il file “postacert.eml” che è il messaggio originale trasmesso completo (header e testo) e gli hash di eventuali allegati impiegando l’algoritmo SHA-1 e rappresentato in esadecimale con una sequenza di 40 caratteri alfanumerici;
 

  • ricevuta SINTETICA di avvenuta consegna, costituita da un messaggio contenente il solo file “daticert.xml” riportante il mittente, il destinatario, l’oggetto, la data ed ora di accettazione, e l’identificativo del messaggio;

 
 
5- il destinatario, previa autenticazione (User-ID e password) accede alla casella PEC del proprio gestore e legge il messaggio.
 
E’ necessario rilevare alcuni importanti aspetti inerenti la PEC:

  • le ricevute e le buste di trasporto sono firmate con una firma elettronica avanzata, ed infatti l’art.9 primo comma del DPR 11 febbraio 2005 n.68 testualmente riporta che Le ricevute rilasciate dai gestori di posta elettronica certificata sono sottoscritte dai medesimi mediante una firma elettronica avanzata ai sensi dell’articolo 1, comma 1, lettera dd), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, generata automaticamente dal sistema di posta elettronica e basata su chiavi asimmetriche a coppia, una pubblica e una privata, che consente di rendere manifesta la provenienza, assicurare l’integrità e l’autenticità delle ricevute stesse secondo le modalità previste dalle regole tecniche di cui all’articolo 17”;

 

  • le firme elettroniche avanzate utilizzate da molti gestori PEC impiegavano sino a poche settimane fa ancora l’algoritmo SHA-1, che ricordiamo non è più sicuro, dato che il CWI Institute di Amsterdam e Google hanno ad inizio di quest’anno resa pubblica una tecnica per generare una collisione, cioè avere un medesimo output (hash o impronta) a fronte di due diversi input (file o testo), il che significa per esempio che è possibile avere due diversi contratti in formato PDF e con diversi contenuti, ma con un medesimo hash;

 

  • i gestori PEC mantengono i log generati nel corso delle loro attività solo per 30 mesi, decorsi i quali non hanno più alcun obbligo di garantire ai propri utenti la possibilità di consultare ed estrarre i log prodotti dal sistema PEC, o di chiedere estratti dal “registro dei log” contenenti i dati attestanti il transito dei messaggi. Per tutte le attività eseguite durante la trasmissione dei messaggi infatti, i gestori PEC devono generare una serie di log delle operazioni che saranno poi memorizzate nel “registro dei log” e che sono per esempio: il codice identificativo univoco assegnato al messaggio, la data ed ora dell’evento, il mittente ed il destinatario del messaggio, il tipo di evento, etc

 
 
 
 
 Umberto Zanini, Dottore Commercialista e Revisore Legale

Link iscrizione multi rubrica