Può capitare che un messaggio di posta elettronica certificata (PEC) finisca nello spam e non venga visualizzato tra la posta in arrivo. A seconda del sistema di antispam utilizzato, il messaggio potrebbe essere inserito nella cartella della posta indesiderata, essere messo “in quarantena” o essere eliminato senza alcun avviso al destinatario.

Questo caso è molto più frequente di quanto non si possa immaginare e può avere conseguenze anche gravi per il destinatario. Infatti, un messaggio PEC consegnato nella casella del destinatario, anche se finisce nello spam, conserva la propria efficacia legale. Se per legge cominciano a decorrere dei termini legali dalla ricezione del messaggio PEC, ciò avverrà anche se il messaggio non è mai stato aperto dal destinatario, per esempio perché filtrato come spam.

La PEC come domicilio digitale per la notifica di atti giudiziari e provvedimenti amministrativi

La posta elettronica certificata è uno strumento di comunicazione con valore legale pari a quello di una raccomandata A/R. Il suo utilizzo in Italia è sempre più diffuso. Secondo i dati dell’Agenzia per l’Italia Digitale (AgID) nel primo bimestre 2021 erano attive oltre 12 milioni di caselle PEC. I messaggi PEC scambiati nel corso del bimestre sono stati 382 milioni, in linea con la media degli ultimi anni, pari ad oltre 2,2 miliardi di messaggi all’anno.

Dal 1° ottobre 2020 tutte le imprese ed i professionisti italiani sono obbligati a dotarsi di una casella PEC e devono comunicarla al proprio albo di appartenenza o al registro delle imprese. Una casella di posta elettronica certificata iscritta in un pubblico elenco costituisce il domicilio digitale di una persona o di una impresa.

Il Governo punta ad estendere il domicilio digitale anche ai privati, che per ora devono indicarlo di volta in volta nelle comunicazioni o nelle istanze alla Pubblica Amministrazione. In un prossimo futuro sarà invece possibile iscrivere negli elenchi anagrafici  i domicili digitali dei cittadini che non sono professionisti.

L’importanza del domicilio digitale

Al domicilio digitale possono essere notificati, con piena efficacia legale, atti giudiziari, cartelle esattoriali, provvedimenti e sanzioni amministrative. Alla ricezione di questi atti si ricollegano, normalmente, termini perentori per l’ottemperanza o l’esercizio dei propri diritti.

Ad esempio, se si riceve un atto di citazione, è necessario costituirsi in giudizio entro venti giorni prima dell’udienza per non incorrere in decadenze processuali. Ancora, se viene notificato un verbale di accertamento di illecito amministrativo (come quelli per la violazione del Codice della Strada), ci sono termini stretti per poter pagare la sanzione in forma ridotta o impugnare il provvedimento.

Se si perdono questi termini, ad esempio perché il messaggio PEC finisce nello spam ed il destinatario non lo visualizza, si rischia di non potersi difendere nel giudizio, oppure di non poter richiedere il pagamento della sanzione amministrativa in misura ridotta o la rateizzazione della cartella esattoriale. Il destinatario potrebbe accorgersi del fatto soltanto quando le conseguenze sono ormai divenute irreparabili, ad esempio quando si riceve il provvedimento di iscrizione a ruolo che comincia il recupero coattivo della sanzione o della cartella non pagate.

Come funziona la PEC e quando il messaggio assume valore legale

Il funzionamento della posta elettronica certificata ed il suo valore legale sono disciplinati in modo accurato dalla legge. In particolare, il servizio è disciplinato, per gli aspetti giuridici, dal decreto del Presidente della Repubblica n. 68/2005 e, per gli aspetti tecnici, dalle regole tecniche allegate al provvedimento.

Il servizio PEC può essere fornito solamente da gestori accreditati presso l’AgID, che devono dimostrare il possesso di particolari requisiti e devono assicurare il rispetto delle specifiche tecniche previste dalla legge.

Il processo di trasmissione di un messaggio di posta elettronica certificata si articola in questi passaggi:

  • Il messaggio di posta elettronica viene consegnato dal mittente al gestore della propria casella di posta;
  • Il gestore del mittente gli trasmette una PEC di “accettazione”, che costituisce la prova della presa in carico del messaggio. Se il mittente doveva inviare il messaggio entro un certo termine, il messaggio di accettazione è sufficiente a provare l’invio tempestivo;
  • Il gestore del mittente trasmette il messaggio al gestore PEC del destinatario;
  • Il gestore del destinatario consegna la mail nella casella PEC di quest’ultimo e trasmette al mittente un messaggio PEC di “avvenuta consegna”.

In base all’art. 6 del d.P.R. n. 68/2005 la ricevuta di avvenuta consegna forma piena prova del fatto che il messaggio di posta elettronica certificata è effettivamente pervenuto all’indirizzo elettronico del destinatario. Con la consegna nella casella PEC del destinatario si presume che il messaggio sia stato messo a sua disposizione dal proprio gestore. E ciò indipendentemente dal fatto che lo abbia effettivamente letto.

L’irrilevanza del fatto che il messaggio PEC finisca nello spam o non sia letto

In altre parole, per la legge è rilevante il semplice fatto che il messaggio sia consegnato nella casella del destinatario e in questo modo sia messo a sua disposizione. Non è invece rilevante che, dopo la consegna, il messaggio PEC finisca nello spam oppure non venga letto per altre ragioni.

Secondo la legge, supportata in questo anche dalla giurisprudenza della Corte di Cassazione, è onere di chiunque sia titolare di una casella di posta elettronica certificata controllare il suo regolare funzionamento e verificare con diligenza anche il contenuto dei messaggi PEC ricevuti, anche se inseriti nello spam (così, ad esempio, la sentenza n. 13917/2016).

Come evitare che le PEC finiscano nello spam

Considerato che le conseguenze di un messaggio PEC ignorato perché classificato nello spam possono essere anche molto gravi, è opportuno adottare alcune precauzioni. Occorre distinguere, peraltro, tra due possibili scenari.

Il primo è che il messaggio sia classificato nello spam dal sistema di filtraggio del proprio gestore PEC. Si tratta di un’ipotesi poco frequente, perché, normalmente, questi sistemi di filtraggio operano soltanto per i messaggi di posta elettronica ordinaria inviati alla casella PEC (così, ad esempio, il sistema incorporato nelle caselle di ArubaPEC).

Il secondo è che il messaggio PEC sia filtrato da sistemi antispam/antimalware installati nella rete locale o nel dispositivo utilizzato per accedere alla casella pec. Si tratta dell’ipotesi più frequente.

Le precauzioni che possono essere adottate dagli utenti

In base a questi scenari, la prima e più banale precauzione è quella di controllare periodicamente la propria casella PEC tramite l’interfaccia webmail messa a disposizione del proprio gestore. In questo modo è possibile vedere tutti i messaggi PEC consegnati, compresi quelli eventualmente filtrati nello spam dai propri sistemi.

La seconda precauzione è quella di controllare periodicamente le email classificate come posta indesiderata dal proprio programma di posta elettronica. Se da questa verifica ci si accorge che messaggi di PEC sono inseriti nello spam, è possibile addestrare il proprio sistema segnalando il messaggio od il mittente come attendibile. Si eviterà così che i successivi messaggi siano erroneamente filtrati.

Le precauzioni che devono essere adottate dagli Amministratori di Sistema

Queste accortezze però non sempre sono sufficienti. Alcuni sistemi di antispam filtrano i messaggi senza nemmeno inserirli nella cartella posta indesiderata dell’utente. In questi casi, chi controlla la posta in arrivo non è nemmeno in grado di accorgersi che un messaggio PEC è stato incluso nello spam. Se si utilizzano questi sistemi, l’Amministratore di Sistema deve controllare periodicamente quali sono i messaggi filtrati come spam.

La corretta configurazione delle misure tecniche

Gli Amministratori di Sistema devono adeguare la configurazione dei sistemi anti malware tenendo conto delle particolarità del sistema PEC. Infatti, poiché la PEC è un sistema soltanto italiano, molti sistemi di prevenzione delle minacce informatiche non lo tengono in considerazione nelle configurazioni standard. È dunque necessario inserire regole particolari che permettano di riconoscere questi messaggi e non filtrarli come spam, ad esempio:

  • inserire in whitelist i mittenti, i domini o gli indirizzi IP dei gestori di posta elettronica certificata;
  • considerare attendibili i messaggi che presentano nel loro header particolari metadati, come il tag di trasporto “X-Trasporto: posta-certificata” che, secondo le regole tecniche della PEC, deve essere inserito in tutti i messaggi;
  • non eliminare automaticamente i messaggi che hanno allegati tipici dei messaggi di posta elettronica certificata (es. xml, p7m) e limitare il filtraggio ai soli allegati atipici (es. eseguibili);
  • non eliminare come spam i messaggi PEC sospetti, ma anteporre nell’oggetto una stringa che inviti l’utente a prestare particolare attenzione nell’aprire il messaggio.

L’allentamento delle regole di sicurezza deve essere effettuato tenendo conto della necessità di mantenere un livello adeguato di prevenzione delle minacce informatiche. Infatti, i messaggi PEC sono spesso utilizzati come veicolo trasmissione di virus e malware, ad esempio sfruttando account compromessi.

È dunque opportuno adottare regole differenziate per la prevenzione delle minacce provenienti da caselle di posta elettronica certificata e  bilanciare le esigenze di sicurezza il dovere di verificare tutti i messaggi consegnati nella casella PEC e dotati di valore legale.