news

La conservazione digitale a norma dei messaggi PEC II Parte

La conservazione digitale a norma dei messaggi PEC II Parte

21/06/2017
Digitalizzazione
Conservazione digitale della PEC
La trasmissione di messaggi effettuati tramite PEC equivale alla notificazione per mezzo della posta e così come stabilito dall’art. 48 secondo comma del decreto legislativo 7 marzo 2005 n.82 “La trasmissione del documento informatico per via telematica, effettuata ai sensi del comma 1, equivale, salvo che la legge disponga diversamente, alla notificazione per mezzo della posta”:In tema di conservazione digitale della PEC, è necessario rilevare almeno cinque importanti aspetti:

  • vi è un preciso obbligo normativo che richiede la conservazione della corrispondenza, e quindi anche dei messaggi PEC emessi e ricevuti, dato che a norma dell’art. 2220 del Codice civile: ”Le scritture devono essere conservate per dieci anni dalla data dell’ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti. Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti”;
  • è necessario che il mittente conservi almeno la ricevuta di accettazione e la ricevuta di avvenuta consegna, dato che a norma dell’art. 4 sesto comma del DPR 11 febbraio 2005 n.68 “La validità della trasmissione e ricezione del messaggio di posta elettronica certificata è attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di avvenuta consegna, di cui all’articolo 6”;
  • con riguardo alla ricevuta di avvenuta consegna, si consiglia fortemente di conservare la ricevuta completa ( contenente i file “daticert.xml” e “postacert.eml”) in quanto riporta gli allegati originali e non i soli hash calcolati con l’algoritmo SHA-1 di cui ne è stata dimostrata la vulnerabilità. Si sconsiglia invece di conservare la ricevuta sintetica oppure la ricevuta breve, rilevando che in quest’ultimo caso sarà necessario conservare i file originali trasmessi, altrimenti non sarà possibile dimostrare il file trasmesso calcolandone l’hash;
  • considerato che sino a poco tempo fa i gestori PEC firmavano le buste di trasporto tramite una firma elettronica avanzata che impiegava l’algoritmo SHA-1, per almeno quelle PEC si suggerisce di firmare digitalmente le singole ricevute prima del loro versamento nel sistema di conservazione dato che a norma della’art.3 del DPCM 13 novembre 2014 vi è la necessità di garantire l’immodificabilità e l’integrità impiegando per esempio la firma digitale. Qualora invece il gestore PEC adotti una firma elettronica avanzata che impieghi l’algoritmo SHA-256 (oltre al RSA), si potrebbe anche valutare l’ipotesi di non firmare digitalmente i singoli messaggi PEC prima di una loro conservazione digitale;
  • conservare in digitale i messaggi PEC, non significa conservare anche i file trasmessi in allegato, e quindi se per esempio viene impiegata la PEC per trasmettere le fatture elettroniche al sistema di interscambio, si dovranno conservare le ricevute emesse dal sistema PEC nella tipologia documentale per esempio “PEC”, e le fatture elettroniche trasmesse nella tipologia documentale “Fatture di vendita”;

 

La gestione delle caselle PEC dei clienti dello studio

Da parte degli studi professionali, vi è stato negli ultimi anni un costante aumento del servizio di gestione delle caselle PEC dei clienti, proprio perché un tale servizio, se svolto con adeguati software, consente di monitorare costantemente ed in tempo reale i messaggi pervenuti liberando i clienti da tale incombenza, rispondere in modo efficiente alle richieste pervenute da coloro che hanno inviato la PEC (è il caso per esempio delle PA quando richiedono la riemissione della fattura elettronica rifiutata), oltre che fidelizzare i clienti avviandoli verso un percorso di digitalizzazione anche nei rapporti con lo studio professionale.

La gestione delle caselle PEC dei clienti può essere svolta solo dopo che questi hanno sottoscritto un vero e proprio incarico professionale a tale attività, rilevando la necessità di definire chiaramente almeno i seguenti aspetti:

  • definire nei dettagli le attività da svolgere, e quindi con riguardo ai messaggi PEC ricevuti: eseguire il download dei messaggi, verificare che non siano messaggi spam, verificare la presenza di eventuali allegati, etc;
  • definire la modalità con cui i messaggi vengono comunicati al cliente, e quindi definire la tempistica di invio (per esempio giornaliera), la modalità di inoltro (email oppure piattaforma di gestione elettronica documentale),etc;
  • definire la gestione della casella PEC, e quindi definire le procedure da adottare affinché la casella PEC non raggiunga la capienza, il rinnovo annuale, etc;
  • definire la conservazione digitale a norma dei messaggi PEC, e quindi definire come viene eseguita la conservazione digitale dei messaggi PEC così come stabilito dal DPCM 3 dicembre 2013.

Prima di stilare il suddetto incarico professionale, si suggerisce di prendere visione del documento Facsimile di lettera di incarico professionale per gestione indirizzo PEC redatto nel febbraio 2016 dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili.

 

Che cosa non è la PEC

Vediamo ora di elencare alcuni punti che spesso generano confusione da parte degli utilizzatori del servizio PEC:

  • La PEC non è una firma digitale

Se devo trasmettere dei documenti informatici che necessitano di una firma digitale (e.g. contratto), non posso trasmettere il solo documento informatico e pensare che inviandolo con PEC ciò  equivale ad averlo firmato digitalmente. Dovrò quindi dapprima firmare digitalmente il documento informatico da trasmettere, dopodichè potrò utilizzare la PEC per trasmetterlo all’indirizzo del destinatario;

 

  • La PEC non è un sigillo digitale

Se devo trasmettere dei documenti informatici che necessitano di un sigillo digitale (e.g. progetto), non posso trasmettere il solo documento informatico e pensare che inviandolo con PEC ciò  equivale ad averlo sigillato digitalmente. Dovrò quindi dapprima sigillare digitalmente il documento informatico da trasmettere, dopodichè potrò utilizzare la PEC per trasmetterlo all’indirizzo del destinatario;

 

  • La PEC non è una marca temporale

Se mi viene specificatamente richiesto di apporre una marca temporale ad un documento informatico (e.g. indice del pacchetto di archiviazione nell’ambito di un processo di conservazione digitale), non posso pensare che adottando un auto-invio del file (cioè inviare il file al mio indirizzo PEC) ciò equivale ad averlo marcato temporalmente. Pur essendo la PEC una validazione temporale (art.41 del DPCM 22 febbraio 2013), così come contemplato dall’art.48 del medesimo decreto, solo la marca temporale contiene informazioni quali l’identificativo dell’emittente, il numero di serie, l’algoritmo di sottoscrizione, etc;

 

  • La PEC non è un sistema di conservazione

Come già più volte rilevato, la PEC è un sistema di comunicazione e non un sistema di conservazione così come disciplinato da DPCM 3 dicembre 2013, e quindi non in grado di garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità degli oggetti conservati. I messaggi PEC trasmessi e ricevuti devono quindi essere conservati tramite l’ausilio di sistemi di conservazione a norma in grado di assicurare le suddette garanzie, mentre si sconsiglia fortemente una conservazione cartacea dato che in caso di contestazione decorsi 30 mesi (termine oltre il quale i gestori PEC non hanno alcun obbligo di conservare i log), sarà pressoché impossibile dimostrare in modo inconfutabile anche il solo contenuto dei file allegati alle PEC trasmesse oppure ricevute.

 

 

Umberto Zanini, Dottore Commercialista e Revisore Legale

Comments are closed.