Magazine

Conservazione digitale della PEC: tutti gli obblighi normativi

20/02/2025

PrivatiProfessionisti

Non tutti sanno che - dato che la PEC è un messaggio di posta elettronica con lo stesso valore legale di una raccomandata A/R (sempre che siano rispettate alcune condizioni) - al di là delle buone prassi di conservazione dei documenti digitali e delle questioni legate alla gestione degli spazi di archiviazione, la conservazione digitale dei messaggi inviati via PEC non è solo consigliata, ma addirittura obbligatoria per le imprese (per un periodo di tempo di 10 anni). Infatti, si tratta, a tutti gli effetti, sia di corrispondenza, sia di documenti informatici, per i quali sussistono obblighi normativi di conservazione, italiani ed europei, così come per altre tipologie di documenti informatici (ad esempio, fatture elettroniche, contratti firmati digitalmente, documenti fiscalmente rilevanti, assicurativi, bancari, ecc.). Facciamo, quindi, il punto sul quadro normativo relativo agli obblighi di conservazione digitale della PEC.

Conservazione della PEC tra gli obblighi relativi alla corrispondenza e ai documenti informatici

L’obbligo di conservare i messaggi inviati tramite PEC discende dalla lettura combinata della normativa relativa alla corrispondenza e di quella che riguarda i documenti informatici.

È a questi due ambiti che dobbiamo, dunque, fare riferimento, per individuare i principali obblighi normativi in tema di conservazione digitale della PEC.

La PEC come corrispondenza

La PEC è per definizione “posta elettronica certificata”, cioè un particolare sistema elettronico di invio e ricezione di posta, che permette di conferire, per l’appunto, a un messaggio di posta elettronica lo stesso valore legale di una tradizionale raccomandata con avviso di ricevimento (raccomandata A/R), con la prova dell'invio e della consegna.
Dal 2018, è stata avviata un’attività per rendere la PEC italiana conforme alle specifiche tecniche richieste previste dal Regolamento (UE) n. 910/2014 “eIDAS” (electronic IDentification Authentication and Trust Services).

Per quanto detto, possiamo affermare che la PEC possa essere fatta rientrare nell’ambito della nozione giuridica di “corrispondenza”.

In base all’art. 2214 c.c. (Libri obbligatori e altre scritture contabili), l’imprenditore che esercita un’attività commerciale:

“deve tenere il libro giornale e il libro degli inventari” (primo comma),
ed è, altresì, obbligato a tenere “le altre scritture che siano richieste dalla natura [aspetto qualitativo - n.d.A.] e dalle dimensioni dell'impresa [aspetto quantitativo - n.d.A.] e conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute, nonché le copie delle lettere, dei telegrammi e delle fatture spedite” (secondo comma),
disposizioni che, però, “non si applicano ai piccoli imprenditori” (terzo comma).

A rigore, dunque, sull’imprenditore commerciale - ma anche sulle imprese e sui professionisti - incombe l’obbligo di conservare ordinatamente le PEC ricevute e spedite - rectius gli originali delle “lettere” ricevute e le copie delle lettere spedite - trattandosi a tutti gli effetti di corrispondenza inviata e ricevuta, anche se in modalità informatica.
È ovvio che tale obbligo si riferisce alla corrispondenza che viene reputata rilevante sotto il profilo dell’attività dell’impresa commerciale, quali i messaggi di posta elettronica con contenuto a rilevanza giuridica, contabile, tributaria e commerciale.

Delle PEC inviate si conserverà la “ricevuta di avvenuta consegna” (poiché contiene tutti gli elementi idonei a garantirne la conservazione nel tempo: il file postacert.eml, identificato con la busta contenente all'interno il messaggio originale, la ricevuta, la firma elettronica e il file daticert.xml, contenente al suo interno tutte le informazioni necessarie, quali l’id del messaggio PEC, la consegna e il mittente), mentre per le PEC ricevute si dovrà conservare la “busta” di trasporto (con il contenuto, cioè il file contenente il messaggio originale, completo di testo e allegati, oltre che il file dotato di tutte le informazioni relative all'invio daticert.xml).

Per quanto tempo si deve conservare una PEC intesa quale corrispondenza

È sempre il codice civile a dirci per quanto tempo va conservata una PEC.
Infatti, l’art. 2220 c.c. (Conservazione delle scritture contabili) ci dice che:

“le scritture [contabili - n.d.A.] devono essere conservate per dieci anni dalla data dell'ultima registrazione” (primo comma);
“per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti” (secondo comma);
tali scritture e documenti “possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti” (terzo comma).

La PEC come documento informatico

In secondo luogo, la PEC rientra nell’ambito della categoria dei documenti informatici (interpretazione pacifica in dottrina) e, come tale, la sua conservazione dovrà essere effettuata secondo le norme di conservazione previste per tali documenti: soltanto se la riproduzione e conservazione di tale peculiare documento informatico verranno effettuate secondo le vigenti regole tecniche in materia di sistema di conservazione (a cominciare dalle Linee Guida sulla formazione, gestione e conservazione dei documenti informatici), si potrà attribuire nel tempo validità e rilevanza legale alla PEC.
A livello europeo, il Reg. (UE) n. 910/2014 “eIDAS” (electronic IDentification Authentication and Trust Services), che detta norme comuni per l’identificazione digitale e disciplina i servizi fiduciari (o trust services) in tutti gli Stati membri dell’Unione europea, definisce:

il documento elettronico come “qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva” (art. 3, par. 1, p. 35);
il “servizio elettronico di recapito certificato” (SERC) come un “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate” (art. 3, par. 1, p. 36);
il “servizio elettronico di recapito certificato qualificato” (SERCQ), come un servizio elettronico di recapito certificato che soddisfa i requisiti di cui all'art. 44 (art. 3, par. 1, p. 37).

Norme relative ai fornitori di servizi fiduciari qualificati

Nel 2024, i fornitori di servizi fiduciari - come, ad esempio, Aruba - hanno provveduto a rendere conformi le proprie comunicazioni elettroniche certificate (ad esempio, la PEC) ai requisiti previsti dall'art. 44 del Regolamento eIDAS, in modo tale da potere essere inclusi nelle Trusted List di eIDAS, cioè negli elenchi ufficiali a livello europeo che riportano i nomi dei fornitori di servizi fiduciari qualificati (come, per l’appunto, Aruba PEC), che erogano tali servizi in conformità agli standard di interoperabilità richiesti sotto tale profilo dal regolamento eIDAS (nei fatti, l’inclusione nella Trusted List significa che il servizio PEC di Aruba non solo soddisfa i requisiti tecnici e legali previsti, ma che è anche riconosciuto e accettato a livello UE, con piena validità legale in tutti gli Stati dell'Unione).
A seguito delle modifiche apportate al Reg. (UE) n. 910/2014 (eIDAS) dal nuovo Reg. (UE) n. 2024/1183 (eIDAS 2.0), è stato anche istituito un quadro giuridico per i servizi di archiviazione elettronica qualificati, che mira a offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente comprendente requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato, passando, così, dal tradizionale concetto di conservazione a norma a quello di archiviazione elettronica qualificata (Qualified e-Archiving).
Sotto tale profilo, appare interessante il nuovo art. 45-decies (Effetti giuridici dei servizi di archiviazione elettronica) del Reg. (UE) n. 910/2014, secondo il quale:

ai dati elettronici e ai documenti elettronici conservati mediante un servizio di archiviazione elettronica non vengono negati gli effetti giuridici né l’ammissibilità come prova in procedimenti giudiziari per il solo motivo della loro forma elettronica o perché non sono conservati mediante un servizio di archiviazione elettronica qualificato (par. 1);
i dati elettronici e i documenti elettronici conservati mediante un servizio di archiviazione elettronica qualificato godono della presunzione della loro integrità e della correttezza della loro origine per la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato (par. 2).

In Italia, secondo il CAD (cioè il “Codice dell’amministrazione digitale”, di cui al D.Lgs. n. 82/2005):

il documento informatico è “il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (art. 1, comma 1, lett. p), in contrapposizione al
documento analogico, inteso quale “rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti” (art. 1, comma 1, lett. p-bis).

Il CAD riserva alla Sezione II le norme specifiche sulla “Gestione e conservazione dei documenti”, stabilendo tra l’altro all’art. 43 (Conservazione ed esibizione dei documenti) che:

gli obblighi di conservazione e di esibizione di documenti “si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le relative procedure sono effettuate in modo tale da garantire la conformità ai documenti originali e sono conformi alle Linee guida” (comma 1);
“se il documento informatico è conservato per legge da uno dei soggetti di cui all'articolo 2, comma 2, cessa l'obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere accesso al documento stesso ai medesimi soggetti di cui all'articolo 2, comma 2. Le amministrazioni rendono disponibili a cittadini ed imprese i predetti documenti attraverso servizi on-line accessibili previa identificazione con l'identità digitale di cui all'articolo 64 ed integrati con i servizi di cui agli articoli 40-ter e 64-bis” (comma 1-bis).

Proseguendo, l’art. 44 (Requisiti per la gestione e conservazione dei documenti informatici), comma 1-ter, del CAD stabilisce che, “in tutti i casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati”, il sistema di conservazione dei documenti informatici deve assicurare, per quanto in esso conservato, “caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida” (in merito, vedi decreto MEF 17 giugno 2014).
Altre norme tecniche di riferimento si rinvengono nell’abrogato D.P.C.M. 3 dicembre 2013 (Regole tecniche in materia di sistema di conservazione ai sensi degli artt. 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al D.Lgs. n. 82/2005), il quale, nell’Allegato 2, dedicato ai “Formati”, prevedeva espressamente un paragrafo sui “Formati Messaggi di posta elettronica”, stabilendo che, ai fini della conservazione, per preservare l’autenticità dei messaggi di posta elettronica, lo standard a cui fare riferimento fosse RFC 2822/MIME.
Per le norme tecniche, il nuovo e vigente riferimento è rappresentato dalle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici”, emesse dall’Agenzia per l’Italia Digitale (AgID), in base alle quali:

viene garantita l’immodificabilità e l’integrità del documento informatico (creato mediante, tra le altre modalità, strumenti software o servizi cloud qualificati, che assicurino la produzione di documenti nei formati e nel rispetto delle regole di interoperabilità di cui all'Allegato 2) dal “trasferimento a soggetti terzi attraverso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS), valido ai fini delle comunicazioni elettroniche aventi valore legale”;
la conservazione è definita come “Insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governare la gestione in relazione del modello organizzativo adottato, garantendo nel tempo le caratteristiche di autenticità, integrità, leggibilità, reperibilità dei documenti” (Allegato 1).

Ma sono proprio tutte da conservare le PEC?

Riepilogando, ogni atto o documento del quale è prescritta per legge o per regolamento la conservazione, qualora sia formato e gestito digitalmente, sarà soggetto all’obbligo di conservazione in un apposito sistema digitale a norma e tale obbligo varrà anche per i documenti inviati/ricevuti via PEC.
Bisognerà, dunque, verificare cosa contiene effettivamente la PEC.
Quindi, se, in base alla natura e al contenuto dell’atto inviato tramite Posta elettronica certificata, potrà sussistere un obbligo di conservazione del messaggio PEC, in concreto, non tutte le PEC andranno conservate - si pensi a una PEC priva di contenuto, oppure a una PEC con contenuto non giuridicamente rilevante, come, ad esempio, la promozione pubblicitaria di un nuovo prodotto bancario per l’azienda - così come non proprio tutti i documenti informatici di un’azienda potrebbero non avere rilevanza, dato che ve ne potrebbero essere taluni che, per il loro contenuto, non sono destinati a esplicare i loro effetti anche in futuro, magari nell’ambito di un contenzioso (ci potranno, però, anche essere casi in cui la conservazione dei messaggi PEC potrà essere effettuata non per rispondere a obblighi di legge, quanto a principi di cautela e prudenza, ai quali si ispirerà l’attività dell’impresa e del professionista): dovranno essere conservate in un apposito archivio, con modalità tali da garantirne le caratteristiche di integrità e immodificabilità, in modo da potere esibire, all’occorrenza, secondo le regole tecniche di cui all’art. 43 del CAD, “solo” le PEC che siano in futuro anche un documento informatico giuridicamente rilevante, dal punto di vista legale o probatorio. Anche così, però, il numero di PEC da conservare sarà abbastanza elevato.

A cura di Wolters Kluwer

PEC

Articoli recenti

PMIPrivatiProfessionisti

Perché un sito web è essenziale per creator e brand

Ogni giorno creator, influencer, brand e professionisti riversano i loro contenuti sulle piattaforme social, costruendo community e opportunità di business.

PrivatiProfessionisti

Conservazione digitale della PEC: tutti gli obblighi normativi

Enterprise

Gestire l’infrastruttura IT nella Pubblica Amministrazione tra sicurezza e compliance

In un momento storico caratterizzato da una digitalizzazione sempre più estesa e normative in continuo aggiornamento come la NIS2, la gestione dell’infrastruttura IT e del data center assume un ruolo cruciale per le pubbliche amministrazioni.

Privati

I 5 principali vantaggi della PEC per i cittadini privati

Negli ultimi anni, la Posta Elettronica Certificata (PEC) ha conosciuto una consistente crescita, evolvendosi da uno strumento utilizzato prevalentemente da aziende e professionisti a una risorsa indispensabile anche per i privati cittadini.

EnterprisePrivatiProfessionisti

L’ anima sportiva di Aruba: un sodalizio pluriennale con Ducati

Dal 2015, Aruba ha intrapreso il proprio viaggio nelle competizioni motociclistiche legandosi a Ducati nel Campionato del Mondo Superbike.

Articoli più letti

PartnerPMIPrivatiProfessionisti

Sparisce il lucchetto di Google, più fiducia dai tuoi clienti con i certificati OV

Google cambia visual identificativo del certificato, come mantenere alta la fiducia di visitatori e clienti, garantendo la propria immagine e awareness sul web?

PMIPrivatiProfessionistiPubblica Amministrazione

Firma digitale: guida all’uso

Apporre una firma digitale significa sostanzialmente aggiungere un certificato relativo alla propria identità dentro una busta, nella quale sarà altresì presente il contenuto che si va a firmare.

PMIPrivati

Fibra ottica a 10Gbps e non hai più limiti!

Quanti sono 10Gbps? Di primo acchito una cifra di questo tipo può essere letta come un lusso, come un’abbuffata, come un’esagerazione nella quale sguazzare per poter godere della semplice certezza di non essere mai a corto di banda.

EnterprisePartnerPMIPrivatiProfessionistiPubblica Amministrazione

Proteggi il tuo brand: registra i domini

Proteggere un brand è una missione tanto importante, quanto complessa.

PMIProfessionisti

Le scadenze fiscali del 2025

Entro il 31 marzo 2025, i contribuenti che hanno aderito al concordato preventivo biennale entro il 12 dicembre 2024 possono sanare le irregolarità dichiarative afferenti agli anni 2018-2022, versando un’imposta sostitutiva delle imposte sui redditi e relative addizionali e dell’IRAP.

Hosting e domini

PEC e Trust Services

Connettività

Cloud

Server e colocation

Altri servizi

Aruba Business

Certificati SSL Actalis

Microsoft 365

Pratiche.it

SMS