Le istruzioni per l’uso della posta elettronica certificata.

DPR 68/2005 – GU 97 28.4.2005

DECRETO DEL
PRESIDENTE DELLA REPUBBLICA 11 febbraio 2005, n.68
Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27
della legge 16 gennaio 2003, n. 3.

IL PRESIDENTE DELLA REPUBBLICA

Visto l’articolo 87 della
Costituzione;

Visto l’articolo
15, comma 2, della legge 15 marzo 1997, n. 59;

Visto l’articolo
27, commi 8, lettera e), e 9, della legge 16 gennaio2003, n. 3;

Visto l’articolo
17, comma 2, della legge 23 agosto 1988, n. 400;

Visto l’articolo 14
del decreto del Presidente della Repubblica 28dicembre 2000, n. 445, recante il
testo unico delle disposizioni legislative e regolamentari in materia di documentazione
amministrativa;

Vista la
preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione
del 25 marzo 2004;

Espletata la procedura di informazione di cui alla direttiva 98/34/CE del
Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla
direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998,
attuata con legge 21 giugno 1986, n. 317, così come modificata dal decreto
legislativo 23 novembre 2000, n. 427;

Acquisito il parere della Conferenza
unificata, ai sensi dell’articolo 8del decreto legislativo 28 agosto 1997, n.
281, espresso nella riunione del 20 maggio 2004;

Vista la nota del 29 marzo 2004, con
la quale è stato richiesto il parere del Garante per
la protezione dei dati personali;

Udito il parere del
Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi
nell’adunanza del 14 giugno 2004;

Acquisito il parere
delle competenti Commissioni della Camera dei deputati e del Senato della
Repubblica;

Vista la deliberazione
del Consiglio dei Ministri, adottata nella riunione del 28 gennaio 2005;

Sulla proposta del
Ministro per la funzione pubblica e del Ministro per l’innovazione e le
tecnologie, di concerto con il Ministro dell’economia e delle finanze;

E m a n a

il seguente regolamento:

Articolo 1.

Oggetto e
definizioni

1. Il presente regolamento stabilisce
le caratteristiche e le modalità per l’erogazione e la fruizione
di servizi di trasmissione di documenti informatici
mediante posta elettronica certificata.

2. Ai fini del presente regolamento si intende per:

a) busta di trasporto, il documento informatico che contiene il messaggio di posta
elettronica certificata;

b) Centro nazionale per l’informatica nella pubblica amministrazione, di
seguito denominato: "CNIPA", l’organismo di cui all’articolo 4, comma
1, deldecreto legislativo 12 febbraio 1993, n. 39
[8], come modificato dall’articolo 176, comma 3, del decreto legislativo 30
giugno 2003, n. 196;

c) dati di certificazione, i dati
inseriti nelle ricevute indicate dal presente regolamento, relativi alla
trasmissione del messaggio di posta elettronica certificata;

d) dominio di posta elettronica
certificata, l’insieme di tutte e sole le caselle di posta elettronica
certificata il cui indirizzo fa riferimento, nell’estensione, ad uno stesso
dominio della rete Internet, definito secondo gli standard propri di tale rete;

e) log dei messaggi, il registro informatico delle operazioni relative
alle trasmissioni effettuate mediante posta elettronica certificata
tenuto dal gestore;

f) messaggio di posta elettronica
certificata, un documento informatico
composto dal testo del messaggio, dai dati di certificazione e dagli eventuali
documenti informatici allegati;

g) posta elettronica certificata, ogni
sistema di posta elettronica nel quale è fornita al
mittente documentazione elettronica attestante l’invio e la consegna di
documenti informatici;

h) posta elettronica, un sistema elettronico di trasmissione di documenti informatici;

i) riferimento temporale, l’informazione contenente la data e l’ora che viene associata ad un messaggio di posta elettronica
certificata;

l) utente di posta elettronica
certificata, la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi ente, associazione o
organismo, nonché eventuali unità organizzative interne ove presenti, che sia
mittente o destinatario di posta elettronica certificata;

m) virus informatico,
un programma informatico avente per
scopo o per effetto il danneggiamento di un sistema informatico
o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione,
totale o parziale, o l’alterazione del suo funzionamento.

Articolo 2.

Soggetti del servizio di posta
elettronica certificata

1. Sono soggetti del servizio di
posta elettronica certificata:

a) il mittente, cioè
l’utente che si avvale del servizio di posta elettronica certificata per la
trasmissione di documenti prodotti mediante strumenti informatici;

b) il destinatario, cioè l’utente che si avvale del servizio di posta
elettronica certificata per la ricezione di documenti prodotti mediante
strumenti informatici;

c) il gestore del servizio, cioè il soggetto, pubblico o privato, che eroga il servizio
di posta elettronica certificata e che gestisce domini di posta elettronica
certificata.

Articolo 3.

Trasmissione del documento informatico

1. Il comma 1
dell’articolo 14 del decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, è sostituito dal seguente: "1. Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio
gestore, e si intende consegnato al destinatario se reso disponibile
all’indirizzo elettronico da questi dichiarato, nella casella di posta
elettronica del destinatario messa a disposizione dal gestore.".

Articolo 4

Utilizzo della posta elettronica certificata

1. La posta elettronica certificata
consente l’invio di messaggi la cui trasmissione è valida agli effetti di
legge.

2. Per i privati che intendono utilizzare
il servizio di posta elettronica certificata, il solo indirizzo valido, ad ogni
effetto giuridico, è quello espressamente dichiarato ai fini di ciascun
procedimento con le pubbliche amministrazioni o di ogni
singolo rapporto intrattenuto tra privati o tra questi e le pubbliche
amministrazioni. Tale dichiarazione obbliga solo il dichiarante e può essere
revocata nella stessa forma.

3. La volontà espressa ai sensi del
comma 2 non può comunque dedursi dalla mera
indicazione dell’indirizzo di posta certificata nella corrispondenza o in altre
comunicazioni o pubblicazioni del soggetto.

4. Le imprese, nei rapporti tra loro
intercorrenti, possono dichiarare la esplicita volontà
di accettare l’invio di posta elettronica certificata mediante indicazione
nell’atto di iscrizione al registro delle imprese. Tale dichiarazione obbliga
solo il dichiarante e può essere revocata nella stessa forma.

5. Le modalità attraverso le quali il
privato comunica la disponibilità all’utilizzo della posta elettronica certificata,
il proprio indirizzo di posta elettronica certificata, il mutamento del
medesimo o l’eventuale cessazione della disponibilità, nonché
le modalità di conservazione, da parte dei gestori del servizio, della
documentazione relativa sono definite nelle regole tecniche di cui all’articolo
17.

6. La validità della trasmissione e
ricezione del messaggio di posta elettronica certificata è
attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di
avvenuta consegna, di cui all’articolo 6.

7. Il mittente o il destinatario che
intendono fruire del servizio di posta elettronica certificata
si avvalgono di uno dei gestori di cui agli articoli 14 e 15.

Articolo 5.

Modalità della trasmissione e interoperabilità

1. Il messaggio di posta elettronica
certificata inviato dal mittente al proprio gestore di posta elettronica
certificata viene da quest’ultimo trasmesso al
destinatario direttamente o trasferito al gestore di posta elettronica
certificata di cui si avvale il destinatario stesso; quest’ultimo
gestore provvede alla consegna nella casella di posta elettronica certificata
del destinatario.

2. Nel caso in cui la trasmissione
del messaggio di posta elettronica certificata avviene tra diversi gestori,
essi assicurano l’interoperabilità dei servizi
offerti, secondo quanto previsto dalle regole tecniche di cui all’articolo 17.

Articolo 6.

Ricevuta di accettazione
e di avvenuta consegna

1. Il gestore di posta elettronica
certificata utilizzato dal mittente fornisce al mittente stesso la ricevuta di accettazione nella quale sono contenuti i dati di
certificazione che costituiscono prova dell’avvenuta spedizione di un messaggio
di posta elettronica certificata.

2. Il gestore di posta elettronica
certificata utilizzato dal destinatario fornisce al mittente, all’indirizzo
elettronico del mittente, la ricevuta di avvenuta
consegna.

3. La ricevuta di avvenuta
consegna fornisce al mittente prova che il suo messaggio di posta elettronica
certificata è effettivamente pervenuto all’indirizzo elettronico dichiarato dal
destinatario e certifica il momento della consegna tramite un testo, leggibile
dal mittente, contenente i dati di certificazione.

4. La ricevuta di avvenuta
consegna può contenere anche la copia completa del messaggio di posta elettronica
certificata consegnato secondo quanto specificato dalle regole tecniche di cui
all’articolo 17.

5. La ricevuta di avvenuta
consegna è rilasciata contestualmente alla consegna del messaggio di posta
elettronica certificata nella casella di posta elettronica messa a disposizione
del destinatario dal gestore, indipendentemente dall’avvenuta lettura da parte
del soggetto destinatario.

6. La ricevuta di avvenuta
consegna è emessa esclusivamente a fronte della ricezione di una busta di
trasporto valida secondo le modalità previste dalle regole tecniche di cui
all’articolo 17.

7. Nel caso in cui il mittente non abbia più la disponibilità delle ricevute dei messaggi di
posta elettronica certificata inviati, le informazioni
di cui all’articolo 11, detenute dai gestori, sono opponibili ai terzi ai sensi
dell’articolo 14, comma 2, del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445.

Articolo 7.

Ricevuta di presa in carico

1. Quando la trasmissione del
messaggio di posta elettronica certificata avviene tramite più gestori il
gestore del destinatario rilascia al gestore del
mittente la ricevuta che attesta l’avvenuta presa in carico del messaggio.

Articolo 8.

Avviso di mancata consegna

1. Quando il messaggio di posta
elettronica certificata non risulta consegnabile il
gestore comunica al mittente, entro le ventiquattro ore successive all’invio,
la mancata consegna tramite un avviso secondo le modalità previste dalle regole
tecniche di cui all’articolo 17.

Articolo. 9.

Firma elettronica delle ricevute e
della busta di trasporto

1. Le ricevute rilasciate dai gestori
di posta elettronica certificata sono sottoscritte dai medesimi mediante una
firma elettronica avanzata ai sensi dell’articolo 1, comma 1,
lettera dd), del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445, generata automaticamente dal sistema di
posta elettronica e basata su chiavi asimmetriche a coppia, una pubblica e una
privata, che consente di rendere manifesta la provenienza, assicurare l’integrità
e l’autenticità delle ricevute stesse secondo le modalità previste dalle regole
tecniche di cui all’articolo 17. 2. La busta di trasporto è sottoscritta con
una firma elettronica di cui al comma 1 che garantisce la provenienza,
l’integrità e l’autenticità del messaggio di posta elettronica certificata
secondo le modalità previste dalle regole tecniche di cui all’articolo 17.

Articolo 10.

Riferimento temporale

1. Il riferimento temporale e la
marca temporale sono formati in conformità a quanto
previsto dalle regole tecniche di cui all’articolo 17.

2. I gestori di posta elettronica
certificata appongono un riferimento temporale su ciascun messaggio e
quotidianamente una marca temporale sui log dei messaggi.

Articolo 11.

Sicurezza della trasmissione

1. I gestori di posta elettronica
certificata trasmettono il messaggio di posta elettronica certificata dal
mittente al destinatario integro in tutte le sue parti, includendolo nella
busta di trasporto.

2. Durante le fasi di trasmissione
del messaggio di posta elettronica certificata, i gestori mantengono traccia
delle operazioni svolte su un apposito log dei
messaggi. I dati contenuti nel suddetto registro sono conservati dal gestore di
posta elettronica certificata per trenta mesi.

3. Per la tenuta del registro i gestori adottano le opportune soluzioni tecniche
e organizzative che garantiscano la riservatezza, la sicurezza, l’integrità e
l’inalterabilità nel tempo delle informazioni
in esso contenute.

4. I gestori di posta elettronica
certificata prevedono, comunque, l’esistenza di
servizi di emergenza che in ogni caso assicurano il completamento della
trasmissione ed il rilascio delle ricevute.

Articolo 12.

Virus informatici

1. Qualora il gestore del mittente
riceva messaggi con virus informatici è tenuto a non accettarli, informando
tempestivamente il mittente dell’impossibilità di dar corso alla trasmissione;
in tale caso il gestore conserva i messaggi ricevuti per trenta mesi secondo le
modalità definite dalle regole tecniche di cui all’articolo 17.

2. Qualora il gestore del
destinatario riceva messaggi con virus informatici è
tenuto a non inoltrarli al destinatario, informando
tempestivamente il gestore del mittente, affinché comunichi al mittente
medesimo l’impossibilità di dar corso alla trasmissione; in tale caso il
gestore del destinatario conserva i messaggi ricevuti per trenta mesi secondo
le modalità definite dalle regole tecniche di cui all’articolo 17.

Articolo 13.

Livelli minimi di servizio

1. I gestori di posta elettronica certificata
sono tenuti ad assicurare il livello minimo di servizio previsto dalle regole
tecniche di cui all’articolo 17.

Articolo 14.

Elenco dei gestori di posta
elettronica certificata

1. Il mittente o il destinatario che
intendono fruire del servizio di posta elettronica certificata
si avvalgono dei gestori inclusi in un apposito elenco pubblico disciplinato
dal presente articolo.

2. Le pubbliche amministrazioni ed i
privati che intendono esercitare l’attività di gestore di posta elettronica certificata inviano al CNIPA domanda di iscrizione
nell’elenco dei gestori di posta elettronica certificata.

3. I richiedenti l’iscrizione
nell’elenco dei gestori di posta elettronica certificata diversi dalle
pubbliche amministrazioni devono avere natura giuridica di società di capitali
e capitale sociale interamente versato non inferiore a un milione di euro.

4. I gestori di posta elettronica
certificata o, se persone giuridiche, i loro legali rappresentanti ed i
soggetti preposti all’amministrazione devono, inoltre, possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni
di amministrazione, direzione e controllo presso le banche di cui all’articolo
26 del testo unico delle leggi in materia bancaria ecreditizia,
di cui al decreto legislativo 1° settembre 1993, n. 385 [9], e successive
modificazioni.

5. Non possono rivestire la carica di
rappresentante legale, di componente del consiglio di
amministrazione, di componente del collegio sindacale, o di soggetto comunque
preposto all’amministrazione del gestore privato coloro i quali sono stati
sottoposti a misure di prevenzione, disposte dall’autorità giudiziaria ai sensi
della legge 27 dicembre 1956, n. 1423 [10], e della legge 31 maggio 1965, n.
575 [11], e successive modificazioni, ovvero sono stati condannati con sentenza
irrevocabile, salvi gli effetti della riabilitazione, alla reclusione non
inferiore ad un anno per delitti contro la pubblica amministrazione, in danno
di sistemi informatici o telematici, contro la fede pubblica, contro il patrimonio,
contro l’economia pubblica, ovvero per un delitto in materia tributaria.

6. Il richiedente deve inoltre:

a) dimostrare
l’affidabilità organizzativa e tecnica necessaria per svolgere il servizio di
posta elettronica certificata;

b) impiegare personale dotato delle
conoscenze specifiche, dell’esperienza e delle competenze necessarie per i
servizi forniti, in particolare della competenza a livello gestionale,
della conoscenza specifica nel settore della tecnologia della posta elettronica
e della dimestichezza con procedure di sicurezza appropriate;

c) rispettare le
norme del presente regolamento e le regole tecniche di cui all’articolo 17; d)
applicare procedure e metodi amministrativi e di gestione adeguati e tecniche
consolidate;

e) utilizzare per la firma
elettronica, di cui all’articolo 9, dispositivi che garantiscono la sicurezza
delle informazioni gestite in
conformità a criteri riconosciuti in ambito europeo o internazionale;

f) adottare adeguate misure per
garantire l’integrità e la sicurezza del servizio di posta elettronica
certificata;

g) prevedere servizi di emergenza che assicurano in ogni caso il completamento
della trasmissione;

h) fornire, entro i dodici mesi
successivi all’iscrizione nell’elenco dei gestori di posta elettronica
certificata, dichiarazione di conformità del proprio sistema di qualità alle
norme ISO 9000, successive evoluzioni o a norme equivalenti, relativa al
processo di erogazione di posta elettronica
certificata;

i) fornire copia di
una polizza assicurativa di copertura dei rischi dell’attività e dei danni
causati a terzi.

7. Trascorsi novanta giorni dalla
presentazione, la domanda si considera accolta qualora il CNIPA non abbia
comunicato all’interessato il provvedimento di diniego.

8. Il termine di
cui al comma 7 può essere interrotto una sola volta esclusivamente per la
motivata richiesta di documenti che integrino o completino la documentazione
presentata e che non siano già nella disponibilità del CNIPA o che questo non
possa acquisire autonomamente. In tale caso, il termine riprende a
decorrere dalla data di ricezione della documentazione integrativa.

9. Il procedimento di
iscrizione nell’elenco dei gestori di posta elettronica certificata di
cui al presente articolo può essere sospeso nei confronti dei soggetti per i
quali risultano pendenti procedimenti penali per delitti in danno di sistemi informatici o telematici.

10. I soggetti di
cui al comma 1 forniscono i dati, previsti dalle regole tecniche di cui
all’articolo 17, necessari per l’iscrizione nell’elenco dei gestori.

11. Ogni variazione organizzativa o
tecnica concernente il gestore ed il servizio di posta elettronica certificata è comunicata al CNIPA entro il quindicesimo giorno.

12. Il venire meno di
uno o più requisiti tra quelli indicati al presente articolo è causa di
cancellazione dall’elenco.

13. Il CNIPA svolge funzioni di
vigilanza e controllo sull’attività esercitata dagli iscritti all’elenco di cui
al comma 1.

Articolo 15.

Gestori di posta elettronica certificata
stabiliti nei Paesi dell’Unione europea

1. Può esercitare il servizio di
posta elettronica certificata il gestore del servizio stabilito in altri Stati
membri dell’Unione europea che soddisfi, conformemente
alla legislazione dello Stato membro di stabilimento, formalità e requisiti
equivalenti ai contenuti del presente decreto e operi nel rispetto delle regole
tecniche di cui all’articolo 17. È fatta salva in particolare, la possibilità
di avvalersi di gestori stabiliti in altri Stati membri dell’Unione europea che
rivestono una forma giuridica equipollente a quella prevista dall’articolo 14,
comma 3.

2. Per i gestori di posta elettronica
certificata stabiliti in altri Stati membri dell’Unione europea il CNIPA
verifica l’equivalenza ai requisiti ed alle formalità di cui al presente
decreto e alle regole tecniche di cui all’articolo 17.

Articolo 16.

Disposizioni per le pubbliche amministrazioni

1. Le pubbliche amministrazioni
possono svolgere autonomamente l’attività di gestione del servizio di posta elettronica certificata, oppure avvalersi dei
servizi offerti da altri gestori pubblici o privati, rispettando le regole
tecniche e di sicurezza previste dal presente regolamento.

2. L’utilizzo di
caselle di posta elettronica certificata rilasciate a privati da pubbliche
amministrazioni incluse nell’elenco di cui all’articolo 14, comma 2,
costituisce invio valido ai sensi del presente decreto limitatamente ai
rapporti intrattenuti tra le amministrazioni medesime ed i privati cui sono
rilasciate le caselle di posta elettronica certificata.

3. Le pubbliche amministrazioni
garantiscono ai terzi la libera scelta del gestore di posta elettronica
certificata.

4. Le disposizioni
di cui al presente regolamento non si applicano all’uso degli strumenti informatici e telematici
nel processo civile, nel processo penale, nel processo amministrativo, nel
processo tributario e nel processo dinanzi alle sezioni giurisdizionali della
Corte dei conti, per i quali restano ferme le specifiche disposizioni normative.

Articolo 17.

Regole tecniche

1. Il Ministro per l’innovazione e le
tecnologie definisce, ai sensi dell’articolo 8, comma
2, del decreto del Presidente della Repubblica 28dicembre 2000, n. 445 [12],
sentito il Ministro per la funzione pubblica, le regole tecniche per la
formazione, la trasmissione e la validazione, anche
temporale, della posta elettronica certificata. Qualora le predette regole
riguardino la certificazione di sicurezza dei prodotti e dei sistemi è acquisito il concerto del Ministro delle comunicazioni.

Articolo 18.

Disposizioni finali

1. Le modifiche di cui all’articolo 3
apportate all’articolo 14, comma 1, del decreto del Presidente della Repubblica
28 dicembre 2000, n. 445, (Testo A) [13] si intendono
riferite anche al decreto del Presidente della Repubblica 28 dicembre 2000, n.
444 (Testo C).

Il presente decreto, munito del
sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti
normativi della Repubblica italiana. È fatto obbligo a
chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì
11 febbraio 2005

CIAMPI

Berlusconi, Presidente del Consiglio dei
Ministri

Baccini, Ministro per la funzione pubblica

Stanca, Ministro per l’innovazione e le tecnologie

Siniscalco, Ministro dell’economia e
delle finanze

Visto, il Guardasigilli: Castelli

Registrato alla
Corte dei conti il 18 aprile 2005 Registo n. 4,
Ministeri istituzionali, foglio n. 332