Attenzione al possibile uso distorto della PEC
Mercoledì, 23 novembre 2011
Caro Direttore,
a seguito dell’ormai abituale ricezione di messaggi PEC-spazzatura (spamming), mi sovvengono le seguenti riflessioni.
A differenza dei normali indirizzi e-mail, le “PEC” sono obbligatoriamente comunicate e inserite in archivi organizzati (CCIAA, Ordini professionali), aumentando le probabilità di un loro utilizzo distorto.
Ma qui abbiamo un problema in più, giacché l’impiego di un “filtro antispam” presenta rischi gravissimi. Se infatti la cancellazione erronea di un messaggio ordinario identificato come spamming non provoca rilevanti conseguenze civili o penali (è come cestinare una lettera ordinaria), altrettanto non può dirsi per i messaggi PEC: si rischia di cancellare una raccomandata. Tantopiù che proprio l’utilizzo di massa delle PEC da parte degli enti pubblici è stato un motivo importante per la loro istituzione: gli enti pubblici sono autorizzati a ottenere dagli Ordini professionali gli elenchi delle PEC degli iscritti.
Immaginate, ad esempio, che l’Agenzia delle Entrate spedisca 100.000 questionari sul redditometro via PEC: qualsiasi filtro antispam prenderebbe tali messaggi come effettivamente sono (spamming) e li destinerebbe a “posta indesiderata”. Con le conseguenze che conosciamo bene.
Eccoci quindi costretti a leggere tutti i messaggi PEC, quali che essi siano.
E anzi, proprio questa situazione spingerà i malintenzionati a convogliare lo spamming proprio su tali caselle.
Non è finita: l’invio in caselle PEC da caselle non certificate non provoca il rigetto del messaggio, ma soltanto la sua invalidità agli effetti delle certificazioni. Con la conseguenza che, pur non potendone omettere la lettura, sarà più difficile risalire al mittente.
Dulcis in fundo, non è nemmeno così semplice risalire al titolare della PEC: le procedure di rilascio, infatti, non prevedono la certificazione del titolare della casella, ma soltanto di ciò che accade “a valle” dell’identificazione, e cioè il contenuto del messaggio che è stato scambiato in un certo momento tra due caselle PEC.
Tant’è vero che la riconducibilità dell’identità del titolare a una certa casella viene soltanto autocertificata da chi se ne qualifica titolare. Per la sua validità certificatoria, occorre che ciascun (sedicente) titolare provveda a comunicare alle proprie controparti la riconducibilità della PEC alla propria persona (art. 5 del DM 2 novembre 2005).
Ciò provoca le seguenti inevitabili conseguenze:
- non si può risalire facilmente al titolare di una PEC che ci ha scritto un messaggio, se prima tale soggetto non ne ha notificato correttamente la titolarità al destinatario secondo le norme di legge. Ciò aumenta la probabilità di ricevere messaggi “PEC” sostanzialmente anonimi;
- la stessa validità della PEC è subordinata alla “qualità” della notifica presupposto: se l’indirizzo PEC venisse comunicato alla controparte usando un’e-mail normale (prassi che mi risulta essere perlopiù quella seguita da alcuni Ordini professionali), la posta ricevuta in quella casella PEC avrebbe lo stesso valore di un’e-mail normale;
- non c’è alcun controllo terzo sul fatto che una certa casella PEC sia nella titolarità univoca di un soggetto. È tranquillamente possibile che un messaggio PEC sia reso nella disponibilità di più soggetti (nessuna garanzia di confidenzialità, ad esempio).
Bel pasticcio.
Giampiero Guarnerio
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Milano
Vietata ogni riproduzione ed estrazione ex art. 70-quater della L. 633/41
