E’ un regalo o un CEC-PAC-co?

In un comunicato del 25 gennaio il Dipartimento per la Digitalizzazione della pubblica amministrazione e l’Innovazione tecnologica (DDI), costituito in seno al Ministero per la pubblica amministrazione e l’innovazione, ha reso nota la conclusione della fase di selezione delle offerte per la concessione del servizio di Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadini (CEC-PAC) gratuita per i cittadini. Come già avevamo previsto il raggruppamento temporaneo di imprese costituito da Poste Italiane, Postecom e Telecom Italia è risultato primo in graduatoria battendo le proposte concorrenti di Aruba, Fastweb e Lottomatica.

Dalla lettura del comunicato si evince che per l’assegnazione definitiva occorrerà attendere ancora qualche giorno, ma con ogni probabilità il bando, e i 50 milioni di euro previsti per la sua realizzazione, andranno alla “virtuosa” unione tra Poste italiane (con la “sua rete capillare di sportelli presenti sul territorio”) e Telecom (“nota per le sue capacità tecnico-informatiche”). Come per ogni buona Cassandra l’auspicio di tanti (prima tra tutti l’ANCI), affinché venissero individuate modalità per limitare il rischio che si creasse una posizione dominante da parte dell’affidatario del servizio a scapito del mercato, è rimasto inascoltato. Ma, a prescindere dalla delicata questione di un Bando di Gara che sin dall’inizio sembrava rivolgersi ad un unico interlocutore, restano ancora irrisolti i numerosi dubbi sollevati in passato sia sulla reale utilità di uno strumento “Simil-PEC” destinato "esclusivamente alle comunicazioni tra PA e cittadino, e viceversa" sia sul contenuto di quel misterioso fascicolo elettronico che sarà costituito insieme ad ogni CEC-PAC e su come sarà tutelata la privacy dei cittadini relativamente al suo contenuto.

Inoltre, nessuno oggi si sta ponendo con la dovuta attenzione le innumerevoli problematiche che l’adozione massiva della PEC e della nuova CEC PAC comportano in termini di protocollazione, gestione di buste, certificati, documenti informatici con formati diversi e loro corretta conservazione nel tempo. Infatti, secondo art. 43 del CAD i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali. L’utilizzo della PEC, quindi, comporta per il mittente la necessaria conservazione dei contenuti e dei documenti trasmessi, nonché delle relative ricevute di invio e di ricezione e per il destinatario la conservazione della busta ricevuta e dei relativi contenuti. A ciò si aggiunga che la conservazione della PEC è disponibile oggi solo come servizio a pagamento in capo ai gestori di PEC, i quali invece possono ex lege limitarsi a conservare per soli 30 mesi esclusivamente i log di trasmissione dei messaggi che transitano nel sistema. In assenza di un obbligo di conservazione, pertanto, l’utilizzo massivo comporterà per l’utente l’inevitabile problematica di gestire una notevole massa di informazioni correlata alla spedizione/ricezione di messaggi e documenti, con conseguente necessità di avvalersi di strumenti di gestione e archiviazione elettronica (DMS) e, infine, di conservazione a norma di tali certificazioni (oltre che di archiviazione e conservazione a norma dei documenti trasmessi e ricevuti)

Oltre a ciò, come spiegato in maniera approfondita in un contributo scritto a due mani con Gianni Penzo Doria, l’art. 4, comma 4, del citato DPCM 6 maggio 2009 (G.U 25 maggio 2009, n. 119) su rilascio e uso della casella di PEC ai cittadini prevede che le pubbliche amministrazioni devono accettare le istanze dei cittadini inviate tramite PEC nel rispetto dell’art. 65, comma 1, lettera c) , del decreto legislativo n. 82 del 2005. L’invio tramite PEC costituisce sottoscrizione elettronica ai sensi dell’art. 21, comma 1, del decreto legislativo n. 82 del 2005; le pubbliche amministrazioni richiedono la sottoscrizione mediante firma digitale ai sensi dell’art. 65, comma 2, del citato decreto legislativo. Leggendo questo articolo, appare evidente che il legislatore confonda il contenitore (pur chiuso con ceralacca informatica!) con il contenuto e tale ambiguità non rasserena chi, in una amministrazione pubblica, deve protocollare l’“istanza PEC con firma elettronica leggera”! La PEC (CEC PAC compresa) è, infatti, uno strumento di comunicazione telematica sicuro e “certificato”, ma in nessun caso può fornire una risposta incontrovertibile circa la corretta attribuzione della paternità del contenuto trasmesso. La certezza circa la paternità e l’integrità di un documento può essere garantita solo dalla firma elettronica qualificata, così come ampiamente definita nel quadro normativo vigente. Questo principio è fondamentale anche per garantire l’armonia complessiva delle disposizioni normative emanate in materia di formazione, protocollazione, gestione, trasmissione e conservazione del “documento informatico”, la cui certezza giuridica è basata appunto sulla presenza di una firma digitale, quale sigillo circa la sua provenienza, integrità e autenticità.

Le amministrazioni pubbliche non possono trovarsi nell’imbarazzo di attribuire valore legale e avviare procedimenti amministrativi accettando con neutralità istanze non sottoscritte digitalmente e soltanto veicolate attraverso la PEC. Sono in gioco la certezza del diritto e la garanzia della custodia di documenti validi e rilevanti nei futuri archivi digitali.

Infine, come spiegato in modo più approfondito nel già citato contributo scritto con Penzo Doria, il caos normativo regna imperante quando si prova a operare un coordinamento tra le nuove norme dedicate alla PEC, in vigore in seguito all’entrata in vigore della Legge n. 2/2009 (di conversione del DL 185/2009), e gli articoli attualmente in vigore nel CAD.

In questo disordine imperante, generato da norme che si accavallano e si contraddicono tra loro, le PA che devono gestire istanze inoltrate via PEC da privati, imprese e professionisti e che devono dotarsi di indirizzi PEC al proprio interno si trovano davanti ad almeno 10 domande (solo in apparenza banali) che non trovano una immediata risposta nel nostro attuale ordinamento[1]:

1)      che rapporto c’è tra PEC e posta elettronica istituzionale?

2)      i siti web delle PA devono avere entrambi gli indirizzi istituzionale e PEC?

3)      è sufficiente attivare un’unica PEC nella PA o vanno attivati più account di PEC?

4)      si può/si deve accettare e protocollare un’istanza di un cittadino giunta nella casella di posta elettronica istituzionale e trasmessa a mezzo di semplice e-mail con allegato un documento sottoscritto con firma digitale? Oppure va protocollato solo il documento allegato?

5)      è accettabile e protocollabile l’istanza trasmessa attraverso l’account di PEC di un cittadino contenente in allegato un documento informatico sottoscritto da altro cittadino (ad esempio, da un familiare o da un artigiano attraverso il proprio commercialista)? Oppure vanno protocollate entrambe con mittenti distinti ciascuno per la propria funzione esercitata?

6)      tutti i dipendenti pubblici devono avere la PEC oppure possono ricevere dalle PA comunicazioni anche attraverso semplici account e-mail?

7)      come vanno gestiti i casi di omonimia in assenza di dati personali del mittente o del vettore, visto che la PEC non contiene gli stessi metadati della firma digitale?

8)      cosa va conservato nell’archivio digitale? La stampa digitale del testo contenuto nella PEC e i relativi allegati? Oppure solo il documento informatico trasmesso?

9)      il legislatore tecnico ha approvato formati idonei alla conservazione? Ci si è almeno posti il problema nel momento in cui la PEC è stata normativamente equiparata a un documento?

10) quale parti dell’oggetto digitale rappresentato dalla PEC va conservato nel tempo?

Possiamo veramente permetterci di imporre spensieratamente uno strumento, pur importante come la PEC, se non ne abbiamo adeguatamente studiato e approfondito gli impatti organizzativi, di processo e strettamente giuridici nei rapporti tra la PA e i suoi utenti?

* Andrea Lisi è Coordinatore Digital&Law Department – www.studiolegalelisi.it e Presidente ANORC (Associazione Nazionale Operatori e Responsabili della Conservazione digitale dei documenti)