La recente truffa via Pec conferma che ci sono grossi equivoci intorno a questo strumento. E’ utile analizzare norme sulla Pec e il Codice dell’Amministrazione Digitale, per scoprire che in Italia ci sono sono due tipi di Pec, anche se pochi lo sanno. Pec e Pec-ID. La seconda permette di mandare documenti alla PA non firmati digitalmente. La prima invece, senza allegati firmati digitalmente, non dà alcuna garanzia sull’identità della persona.
Una truffa ben congegnata
Analizziamo infatti i meccanismi della truffa. La PEC era stata “falsificata”, a quanto viene riferito, sostituendo nei registri pubblici dichiarati validi dalla Legge (in particolare nel Registro INI-PEC e nel Registro Imprese e siti collegati) l’indirizzo PEC ufficiale dell’Istituto Bancario in maniera che anche il correntista più attento, che avesse controllato la corrispondenza della PEC all’indirizzo ufficiale, non avrebbe potuto che constatare che la PEC da cui riceveva le richieste di fornire le proprie credenziali corrispondeva alla PEC ufficiale della Banca.
Spento il clamore della notizia, ritengo utile ed opportuno riprendere l’argomento per alcune riflessioni sul valore legale e sui modi d’uso della PEC, che è lo strumento su cui si fondano molti dei più “rodati” strumenti di PA digitale e su cui è stato fondato anche il domicilio digitale riformato.
PEC e PEC-ID nel Codice dell’Amministrazione Digitale
Nella percezione generale l’indirizzo PEC certifica la provenienza da un certo mittente e, dunque, se si tratta della PEC ufficiale di quell’ente, si ritiene di poter presumere – autorizzati dalla Legge a farlo – che la comunicazione provenga da quel mittente.
In realtà, se si analizzano le norme sulla PEC e il Codice dell’Amministrazione Digitale si scopre qualcosa di diverso.
Anzitutto, scopriamo che il Legislatore ha previsto due tipi di PEC: la PEC ordinaria e la PEC identificativa “PEC-ID”, la quale tuttavia non è mai stata attivata.
Questo secondo tipo di PEC, stando alla definizione normativa, è una particolare casella di PEC che consente di identificare le persone fisiche e giuridiche che presentano istanze e dichiarazioni per via telematica nei confronti delle Pubbliche Amministrazioni ed è espressamente prevista dall’articolo 65, comma 1, lettera “c-bis” del Codice dell’Amministrazione Digitale.
PEC-ID e identificazione univoca del mittente
La PEC-ID prevede che il titolare della casella di posta (che corrisponde all’autore del messaggio) abbia ricevuto le credenziali per l’accesso al servizio previa identificazione da parte del gestore, anche per via telematica, secondo modalità definite con Regole Tecniche adottate ai sensi dell’articolo 71 del Codice dell’Amministrazione Digitale (che rimanda al Decreto del Presidente del Consiglio dei Ministri 27/09/2012), e ciò sia attestato dal gestore stesso nel messaggio o in un suo allegato.
Se e quando i gestori dei servizi PEC forniranno caselle di PEC-ID il titolare potrà inviare documenti alle Pubbliche Amministrazioni non firmati digitalmente: questi documenti assumeranno comunque valenza giuridica in quanto è la casella di PEC-ID stessa che identifica univocamente l’autore del messaggio.
PEC, firma e domicilio digitale
Ma, in assenza di PEC-ID, un messaggio PEC non ha valore identificativo del mittente, a meno che non contenga un allegato firmato digitalmente. Peraltro, secondo la più recente riforma del CAD, anche quando si attiveranno i servizi PEC ID secondo le apposite linee guida Agid, l’unica PEC che avrà valore identificativo sarà il domicilio digitale del mittente.
Qualora il messaggio PEC sia inviato nei confronti di una Pubblica Amministrazione o un gestore di servizio di pubblico interesse, la Legge attribuisce valore identificativo anche ai messaggi PEC che recano allegato un documento di identità del mittente ai sensi dell’art. 65 comma 1 lettera c).
Senza firma digitale, nessuna certezza su provenienza della PEC
Tuttavia, il CAD si rivolge, come noto, solo agli enti pubblici e soggetti parificati (gestori di servizi di pubblico interesse, ecc.). Questo sembrerebbe deporre nel senso che un privato, in assenza di firma digitale, non può attribuire valore certo alla provenienza di una PEC, in assenza di firma digitale, nemmeno se essa viene dalla casella presente nei pubblici registri.
I pubblici registri servono infatti come indicazione certificata della PEC a cui inviare le comunicazioni e non ne certificano la provenienza se non alle condizioni sopra esposte.
Formazione, consapevolezza e protezione dei registri pubblici
L’episodio relativo alla frode informatica bancaria richiama dunque alla necessità di una maggiore consapevolezza e formazione di cittadini, imprese e pubbliche amministrazioni al funzionamento e corretto uso degli strumenti di pubblica amministrazione digitale che sono utili a semplificare molti adempimenti ma hanno anche particolarità di uso a volte non evidenti.
Richiama altresì, in ogni caso, alla necessità di una maggiore tutela e protezione dei registri pubblici, specie in vista della creazione dei registri del domicilio digitale per i soggetti non già tenuti per Legge.
