L’utilizzo e la gestione della posta elettronica e in particolare della PEC, Posta Elettronica Certificata, rappresenta una sfida su più fronti. In questo articolo, Luciano Quartarone, CISO & Data Protection Officer di Archiva spiega come affrontarla.
Oggi tutte le organizzazioni devono avere ed utilizzare caselle di PEC, ma sono poche quelle davvero consapevoli della normativa in merito. Ad esempio, non tutte le aziende sanno di dover conservare i messaggi ricevuti per mantenere nel tempo il valore probatorio. Inoltre, tra le questioni fondamentali da tenere presenti lavorando con caselle PEC, vi è il fatto che il provider del servizio è tenuto, solamente, al mantenimento dei log delle transazioni effettuate per un periodo molto limitato. Nulla gli è imposto sulla conservazione dei singoli messaggi PEC. Non bisogna poi trascurare che la gestione della mail può rappresentare anche un problema organizzativo, più caselle di posta gestite da diversi provider devono poter essere integrate per costruire un patrimonio di dati aggiornato e facilmente condivisibile.
Gestione PEC, cosa dice la legge
La PEC è nata in Italia nel 2005 con l’obiettivo di migliorare il sistema di comunicazione tra imprese e pubblica amministrazione, ma anche tra privati cittadini. I principali vantaggi relativi all’uso di questo strumento sono il risparmio di carta e dei tempi di attesa, l’annullamento della necessità di spostarsi, l’immediatezza d’uso e il valore probatorio garantito nel momento in cui i dettami legislativi sono rispettati. Il DPR dell’11 febbraio 2005 n.68, e s.m.i., indica con precisione “caratteristiche e modalità per l’erogazione e la fruizione di servizi di trasmissione di documenti informatici mediante posta elettronica certificata”.
Nell’ampio decreto, oltre alle indicazioni tecniche sulla gestione della PEC, è specificato che non ci si deve limitare alla conservazione del messaggio, ma è necessario tenere traccia anche delle varie ricevute di accettazione perché costituiscono prova dell’avvenuta spedizione, della presa in carico, della consegna, della certificazione del momento della consegna. Ricordiamo che il Codice Civile, art. 2220, prevede la tenuta della corrispondenza dell’impresa per 10 anni: fra questa rientra anche la PEC, in qualità di documento informatico, così come definito nel CAD (D.lgs 82/05). Per adempiere a questo obbligo di legge occorre mettere in conservazione anche le ricevute complete di accettazione e consegna di tutti i messaggi PEC inviati. Bisogna sottolineare, però, che in Italia esiste una norma specifica per la conservazione e non per l’archiviazione, che non è regolamentata. I messaggi PEC devono essere oggetto di conservazione, al pari di tanti altri documenti informatici prodotti in azienda. Il provider di posta elettronica certificata ha l’obbligo di conservare i log di trasmissione e ricezione dei messaggi PEC per 30 mesi. Qui potrebbe esserci un grande rischio per le aziende: credere che sia sufficiente l’archiviazione operata dal provider PEC.
Quali problemi nell’organizzazione della posta elettronica certificata
Le aziende scambiano le informazioni con clienti, partner, fornitori attraverso diversi canali. Principalmente si ricorre alla posta elettronica sia ordinaria, sia PEC e spesso in azienda esistono più account PEC forniti da provider diversi, perché attivati in momenti differenti nel tempo. Questa è una sfida sul fronte della governance dei dati. Quanto più le aziende riescono a ottimizzare la gestione della PEC integrandola in flussi operativi interni, tanto più possono contare su un patrimonio informativo in continua formazione, condivisibile in tutta l’azienda. Per organizzare al meglio la gestione della posta, è importante valutare quali informazioni devono essere conservate, per via della loro rilevanza giuridica, statistica, storica o per semplice opportunità e man mano alimentare il sistema di conservazione. A questo punto, uno strumento software specializzato nella gestione documentale e nella conservazione può supportare le aziende nel raggiungimento degli obiettivi, siano essi di business o di conformità normativa.
Accessibilità, tracciabilità, sicurezza e collaborazione
In realtà molto strutturate, che hanno magari diverse partecipazioni in altre aziende, può essere necessario adottare un sistema che consenta di aggiungere alla gestione multi-utente e multi-azienda della PEC, il servizio di conservazione, il quale può garantire il mantenimento nel tempo del valore probatorio dei documenti informatici. Non solo, è di fondamentale importanza monitorare i processi documentali che includono messaggi PEC agevolando la definizione di ruoli, azioni e permessi.
di Luciano Quartarone, CISO & Data Protection Officer di Archiva
