Abstract

La Riforma Cartabia a partire dal 31 dicembre 2022 ha apportato numerose modifiche all’attuale codice di procedura penale. Tra queste ve ne sono alcune che suscitano non poche perplessità come per esempio l’art. 148 c.p.p. che è stato totalmente riscritto e che riguarda il sistema delle notificazioni degli atti da parte delle segreterie o cancellerie che potranno essere eseguite con modalità telematiche che, tra le altre cose, assicurino l’identità del mittente e del destinatario. Oggi le modifiche via PEC sono una normalità ma la modifica normativa, è conforme agli standard attuali delle PEC? Le PEC assicurano l’identità del mittente e del destinatario? Purtroppo no.

Sommario: 1. Introduzione. – 2. Breve excursus storico della PEC. – 3. L’obiettivo della riforma Cartabia e il nuovo articolo 148 comma 1 c.p.p. – 4. La REM (ovvero la PEC europea). – 4.1. cosa significa certificazione dell’identità del possessore dell’indirizzo di posta certificata. – 5. Il confronto tra il 148 c.p.p, la REM e l’ipotesi di nullità ex art. 171 c.p.p.. – 6. Considerazioni

1. Introduzione.

L’opera a cui il governo ha dato il via con il D.Lgs. 150/2022 è colossale e sicuramente non potrà essere priva di errori e/o mancanza di uniformità. L’opera è talmente imponente che ci vorranno degli anni per aggiustare il tiro su molti aspetti anche in considerazione che, a priori, prevedere tutte le possibili situazioni ed incongruenze è impossibile. Già si parla ad oggi di modifiche in merito alla necessità della nuova elezione di domicilio per gli appelli ed alla necessaria proposizione della querela per tutti quei reati per i quali è cambiata la procedibilità.

In questa sede ho soffermato la mia attenzione sulla nuova formulazione dell’articolo 148 comma 1 c.p.p. nel passaggio in cui prevede che «[…] le notificazioni degli atti sono eseguite […] con modalità telematiche che […] assicurano la identità del mittente e del destinatario» e l’ho messo in relazione con la nuova PEC europea, la REM.

2. Breve excursus storico della PEC.

La posta elettronica certificata si colloca all’interno di un ben più ampio processo di digitalizzazione della pubblica amministrazione e piano piano è diventata uno strumento indispensabile per molti. Con il DPR 445/2000 la PEC veniva equiparata per la prima volta, nella corrispondenza tra pubbliche amministrazioni, ad una raccomandata con ricevuta di ritorno. Successivamente nel 2005 con il DPR 68/2005 la posta elettronica certificata trova la sua prima ed organica disciplina equiparandola ad una raccomandata con ricevuta di ritorno, non soltanto per le pubbliche amministrazioni. Questo in quanto la PEC è in grado di certificare il momento dell’invio e quello della ricezione. L’utilizzo della PEC in ambito processuale viene adottato prima in ambito civilistico, mediante il D.L. 112/2008, per poi ampliarlo anche in sede penale nel 2010 con l’approvazione della Legge 24/2010 che ratificava con modifiche il Decreto legge n. 193/2009 anche se, è con la legge 228/2012 che a partire dal 15 dicembre 2014 si è avuto l’utilizzo obbligatorio della PEC per le notifiche penali in quanto è con la detta normativa che è stato possibile effettuare le notifiche a persona diversa dall’imputato ex art. 148 e seguenti. Nonostante alcune prime problematiche interpretative ed in particolare quelle relative alla possibilità tra difensori di utilizzare la PEC quale strumento di notifica (Sentenza Corte di Cassazione penale, II sezione n. 6320 del 10 febbraio 2017), oramai è pacifico per tutti la possibilità di scambiarsi comunicazioni aventi valore di notifica e/o raccomandata con ricevuta di ritorno mediante PEC.

3. L’obiettivo della riforma Cartabia e il nuovo articolo 148 comma 1 c.p.p..

In generale l’obiettivo della Riforma Cartabia è quello di velocizzare i procedimenti penali e lo stesso vale per quanto riguarda l’aspetto delle notifiche.

L’art. 1, comma 5, lett. a), della legge delega assegnava al Governo il compito di: «[ .] prevedere che nei procedimenti penali in ogni stato e grado il deposito di atti e documenti, le comunicazioni e le notificazioni siano effettuati con modalità telematiche; prevedere che le trasmissioni e le ricezioni in via telematica assicurino al mittente e al destinatario certezza, anche temporale, dell’avvenuta trasmissione e ricezione, nonché circa l’identità del mittente e del destinatario; prevedere che per gli atti che le parti compiono personalmente il deposito possa avvenire anche con modalità non telematica».

La legge delega è stata recepita dall’art. 10 del d. lgs. 150/2022 con l’obiettivo dichiarato di «snellire e rendere più celeri i relativi adempimenti, ridurre le incombenze a carico degli uffici giudiziari e incrementare l’efficienza processuale, assicurando al contempo l’effettiva conoscenza da parte del destinatario delle stesse notifiche» (Cfr Dossier Camera dei Deputati del 7 settembre 2022)

Lo sforzo compiuto dal legislatore della riforma si è mosso in questa direzione: il massiccio restyling dell’impianto codicistico ha disegnato i profili di un procedimento notificatorio più celere, più efficiente e più moderno, nel quale sono state semplificate le modalità di rintraccio e di comunicazione dell’indagato, dell’imputato e della persona offesa, mettendo al centro del sistema – proprio come per il deposito degli atti – la telematica. L’organica revisione della disciplina delle notificazioni è, dunque, venuta ad integrarsi con la disciplina del processo penale telematico e, in particolare, con il coevo obbligo dell’utilizzo delle modalità digitali tanto per il deposito di atti e documenti quanto, per l’appunto, per le comunicazioni e le notificazioni, come stabilito dall’art. 1, comma 5, l. n. 134 del 2021. (Cfr. Relazione su novità normativa la “Riforma Cartabia” Corte Suprema di Cassazione, Ufficio del Massimario 5 gennaio 2023 pag. 33 e ss.)

Ai fini di questo elaborato mi soffermo solo sul primo comma dell’art. 148 c.p.p. che è il seguente: «Salvo che la legge disponga altrimenti, le notificazioni degli atti sono eseguite, a cura della segreteria o della cancelleria, con modalità telematiche che, nel rispetto della normativa anche regolamentare concernente la trasmissione e la ricezione dei documenti informatici, assicurano la identità del mittente e del destinatario, l’integrità del documento trasmesso, nonché la certezza, anche temporale, dell’avvenuta trasmissione e ricezione» (NdA grassetto).

Da precisare che questo articolo non ha subito alcun slittamento in merito alla sua entrata in vigore (come vedremo meglio in seguito) neanche a seguito delle modifiche apportate dalla Legge n. 199/2022 di conversione con modifiche al Decreto Legge n. 162/2022 che aveva posticipato l’entrata in vigore della riforma Cartabia al 30 dicembre 2022.

La perplessità dello scrivente sulla nuova formulazione del comma 1 riguardano le parole «[…] assicurano la identità del mittente e del destinatario […]» che ho messo in relazione con la nuova REM che entrerà prossimamente in vigore.

4. La REM (ovvero la PEC europea).

La PEC era ed è uno strumento utilizzabile soltanto in Italia a causa di protocolli informatici che non sono compatibili con altri sistemi adottati da altri Stati. L’Europa, con il Regolamento e-IDAS (Regolamento UE n. 810/2014 del 23 luglio 2014) in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, individua, al considerando numero 66, come risulti essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato. Per fare questo è stato necessario studiare ed approvare un protocollo informatico comune a tutti gli Stati membri e, solo in data 27 giugno 2022, l’AgID (Agenzia per l’Italia Digitale) ha comunicato che si era concluso con successo il processo di definizione e pubblicazione del nuovo standard ETSI EN 319 532-4 che renderà finalmente possibile l’interoperabilità a livello europeo dei sistemi di posta elettronica certificata in conformità al Regolamento e-IDAS basato sul nuovo protocollo REM Registered Electronic Mail.

Il completamento della migrazione, che ad oggi ancora non è avvenuto, sarà caratterizzato dall’emissione di un DPCM che sancirà sulla base di una normativa primaria nazionale l’abrogazione dell’articolo 48 del Codice dell’Amministrazione Digitale e quindi della PEC (Fonte: www.agenziadigitale.eu).

Dal sito del governo si legge che «Il nuovo standard ETSI specifica gli elementi chiave di un’interfaccia tecnologica condivisa (CSI – Common Service Interface) che consente finalmente il dialogo sicuro tra i Gestori di servizi di recapito qualificato e, di conseguenza, anche quello tra cittadini e imprese e enti governativi degli Stati Membri: vengono infatti certificate le identità dei possessori di un indirizzo di posta certificata, ovunque risiedano nella UE, l’integrità del contenuto nonché data e ora d’invio e ricezione dei messaggi» (NdA grassetto – Fonte www.agid.gov.it sezione notizie del 27/06/2022

).

Le caratteristiche della nuova REM saranno quindi uguali a quelle delle PEC tradizionale con l’aggiunta della certificazione dell’identità dei possessori di un indirizzo di posta elettronica certificata.

Per l’utente la transizione tra la PEC e la REM dovrebbe avvenire in automatico ma ad oggi i tempi sono ancora lunghi e non vi sono tempistiche certe.

4.1 Cosa significa certificazione dell’identità del possessore dell’indirizzo di posta certificata

Il concetto generale di certificazione dell’identità è stato approfondito e specificato dalla stessa AGID con la pubblicazione dei criteri di adozione degli standard ETSI che prevedono prima una fase di identificazione e successivamente una fase di autenticazione.

La prima si ha nella fase del processo di registrazione al provider (REMSP) dell’indirizzo di posta elettronica certificata e consiste nell’identificazione del soggetto secondo le norme vigenti. Per utenza autenticata si intende invece il soggetto che, successivamente all’identificazione (quindi all’attivazione della casella di posta elettronica certificata), accede al servizio autenticandosi mediante l’utilizzo di credenziali “forti”.

«In altre parole, la procedura di “autenticazione”, attraverso i propri meccanismi di sicurezza, permette di perpetuare nel tempo, e ad ogni uso, il processo di identificazione iniziale. Dal punto di vista del servizio, ogni REMSP (NdA provider del servizio), ad ogni autenticazione, ha tutte le garanzie che l’utilizzo del servizio da parte delle utenze sottoscritte (individualmente e opportunamente tracciate) sia indissolubilmente legato all’identificazione del titolare attraverso i dati da lui forniti, riguardo gli utilizzatori, durante la registrazione iniziale. È questa la ragione per cui non è necessario identificare, ogni volta, chi usa il servizio ma è sufficiente che sia autenticato, individualmente, in modo forte, durante ogni accesso». (AGID – REM SERVICES – ETSI standard adoption criteria – Policy-IT – Technical Annex – 28 luglio 2022 – Nota 27 pag. 11)

Un soggetto che attiva un indirizzo mail o un indirizzo di posta elettronica certificata oggi non viene né identificato né certificato e l’accesso al servizio di posta è garantito attraverso l’utilizzo di username e password (sistema di autenticazione c.d. debole.) Contra la REM prevede sia una registrazione con identificazione del titolare in fase di attivazione della casella mail certificata a livello europeo, che un sistema di accesso consistente nella c.d. “autenticazione forte” o “a doppio fattore”.

Proprio in questi giorni alcuni provider di posta certificata stanno diffondendo la notizia che dal 2024 tutti si dovranno adeguare al nuovo standard europeo e pertanto sarà necessario in futuro:

«Come adeguare la PEC ai nuovi standard europei?

Semplice: basterà accedere alla tua casella tramite il portale e una breve procedura guidata ti permetterà (se non lo hai ancora fatto) di:

• confermare l’identità del titolare delle caselle utilizzando uno dei metodi di riconoscimento previsti (SPID, Carta d’Identità Elettronica, Tessera Sanitaria, Firma Digitale, Firma Digitale Remota) per diventare un titolare PEC riconosciuto;
• attivare la verifica in 2 passaggi sulle tue caselle aggiungendo un livello di protezione superiore rispetto a username e password: sarai tu, infatti, ad autorizzare ogni operazione sulla tua casella tramite una notifica sul tuo smartphone.» (Fonte Aruba PEC)

5. Il confronto tra il 148 c.p.p., la REM e l’ipotesi di nullità ex art. 171 c.p.p.

È di tutta evidenza che le PEC attuali non sono conformi agli standard previsti per la REM e che le prime non garantiscono in alcun modo una sicura identificazione del mittente/destinatario. Il legislatore inserendo la dicitura «assicurare l’identità del mittente e del destinatario» ha specificato che dal 1° gennaio 2023 è necessario fornire la certezza di chi si trova al di là del computer durante l’invio o la ricezione della mail certificata. Se così non fosse avrebbe potuto semplicemente scrivere “[…] le notificazioni degli atti sono eseguite a cura della segreteria o della cancelleria mediante posta elettronica certificata”. Mentre se avesse voluto inserire solo il primo grado di identificazione (ovvero la corrispondenza e la certezza della titolarità della casella PEC ad un soggetto) avrebbe potuto aggiungere dopo posta elettronica certificata la dicitura “il cui possessore è stato preventivamente identificato”. Specificando che è necessaria l’identificazione del mittente (ovvero colui che invia quella specifica PEC) e del destinatario (ovvero colui che riceve quella determinata PEC) ha di fatto introdotto anzitempo la REM.

Secondo gli standard europei quindi per dare la garanzia dell’identità del possessore della PEC (quindi sia del destinatario che del mittente) è necessaria sia l’identificazione che l’autenticazione. In mancanza di questi due parametri non si può assicurare l’identità del mittente e del destinatario.

L’art. 171 c.p.p. regola, in un dettagliato elenco tassativo, le singole cause che determinano la nullità della notificazione, riconducibili alla mancata o non completa osservanza delle disposizioni dettate in materia.

L’art. 171 del codice di rito, così come modificato dalla Riforma Cartabia, prevede che «La notificazione è nulla (177 ss.): […] b bis) se, in caso di notificazione eseguita con modalità telematiche, non sono rispettati i requisiti di cui al comma 1 dell’art. 148».

Mi sembra chiaro, sulla base di quanto appena dedotto, che i requisiti del 1 comma dell’art. 148 c.p.p. non possano essere rispettati in quanto tecnicamente ancora non attuabili. Di conseguenza si deve ritenere che, almeno formalmente, tutte le notifiche effettuate via PEC a partire dal 1° gennaio 2023 (fino a che non verrà fatta la transizione alla REM) siano da considerarsi nulle.

6. Considerazioni

Questa mia personale elucubrazione difficilmente troverà spazio nella quotidiana celebrazione dei processi anche se, non mancherà occasione di sollevare l’eccezione. Vorrei comunque precisare che per le notifiche private, regolate quindi dagli artt. 152 c.p.p. e 56 bis delle norme di attuazione (Decreto legislativo n. 271/1989), la PEC attuale è uno strumento ancora valido ed efficace, salvo dover redigere la relata di notifica che accompagnerà l’atto che si vuole notificare. Infatti, il nuovo articolo 56 bis recita: «La notificazione con modalità telematiche è eseguita dal difensore a mezzo di posta elettronica certificata […]» senza far alcun cenno all’ulteriore requisito dell’identificazione o della certezza del mittente e del destinatario. La differenza tra il 56 bis delle norme di attuazione con l’art. 148 c.p.p. rende chiara ed evidente la volontà del legislatore nel rendere le notifiche fatte dalle segreterie e dalle cancellerie conformi alla REM.