recapito e conoscenza

Prova di lettura nelle comunicazioni digitali: il passaggio ancora irrisolto



Indirizzo copiato

La comunicazione digitale non coincide sempre con la conoscenza effettiva del contenuto. Tra diritto civile, regolazione energetica, GDPR, biometria on-device e valore probatorio, emerge la necessità di strumenti capaci di attestare non solo il recapito, ma anche la reale cognizione del destinatario

Pubblicato il 6 lug 2026

Luca Antonio Attinà

Co-Founder MY Triple ID

Antonino Saccà

Co-Founder MY Triple ID

Andrea Tironi

Project Manager – Digital Transformation



Sicurezza informatica
Fonte: Shutterstock
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


Immaginate di inviare a qualcuno un contratto modificato via email. Il server registra l’orario di consegna, il sistema conferma che il messaggio è arrivato nella casella. Tutto in ordine. Poi, tre mesi dopo, il destinatario vi dice che non ne sapeva nulla. E in giudizio si scopre che aveva ragione: la casella era piena di notifiche automatiche, il messaggio era scivolato sotto. Nessuno lo aveva aperto, nessuno lo aveva letto.

In quel momento, “inviare” non equivale a “comunicare”. E il diritto, su questo punto, ha già deciso da dove stare.

Il tema della conoscenza effettiva nelle comunicazioni digitali non è nuovo, ma sta diventando urgente. La trasformazione digitale ha moltiplicato i canali, ha reso istantaneo l’invio, ha reso verificabile il recapito. Ha fatto tutto questo, però, senza risolvere un problema antico: come dimostrare che una persona specifica, identificata, ha davvero preso cognizione di un contenuto specifico. Non che il messaggio sia arrivato. Che sia stato letto.

Il divario tra recapito e cognizione è oggi uno dei punti di frizione più scomodi nei rapporti digitali tra operatori e utenti finali, e sta diventando un problema di compliance regolatorio in settori come l’energia. Proviamo a capire perché, e cosa significherebbe colmarlo.

Spedito non vuol dire conosciuto

Partiamo dal codice civile, che su questo tema è stranamente attuale. Gli articoli 1334 e 1335 disciplinano gli atti unilaterali recettizi, cioè quegli atti giuridici che producono effetto quando arrivano nella sfera di conoscenza del destinatario. L’art. 1334 dice che questi atti “producono effetto dal momento in cui pervengono a conoscenza della persona alla quale sono destinati”. L’art. 1335 introduce poi una presunzione pratica: la comunicazione si considera conosciuta nel momento in cui giunge all’indirizzo del destinatario, salvo che questi provi di essere stato, senza sua colpa, nell’impossibilità di averne notizia.

È una presunzione relativa, non assoluta. Significa che ammette prova contraria. E proprio qui si concentra gran parte del contenzioso: tra il fatto che la comunicazione sia arrivata all’indirizzo (conoscibilità) e il fatto che il destinatario ne abbia preso effettiva cognizione (conoscenza) c’è uno spazio che il diritto lascia aperto, e che nella pratica digitale si dilata.

Con la posta cartacea il problema era gestibile: la raccomandata con avviso di ricevimento, la firma del postino, l’impossibilità pratica di negare un documento consegnato fisicamente. Con la comunicazione digitale si è guadagnato in velocità e tracciabilità del recapito, ma si è persa la logica del contatto fisico. Un’email certificata nella casella non equivale a un documento messo in mano a qualcuno.

Questo non sarebbe un problema grave se il diritto si accontentasse della conoscibilità. Ma sempre più spesso non se ne accontenta.

Quando il regolatore si stufa delle finzioni

Il caso più nitido di questa evoluzione viene dal settore energetico. Con una delibera adottata nell’ottobre del 2024 ed entrata in vigore il 1° gennaio 2025, l’Autorità di Regolazione per Energia Reti e Ambiente ha aggiornato il Codice di condotta commerciale a tutela dei clienti finali. Due modifiche, in particolare, segnano una discontinuità netta rispetto al regime precedente.

La prima: viene eliminata la presunzione di ricevimento delle comunicazioni decorsi dieci giorni dall’invio. Fino a quel momento, bastava inviare: dopo dieci giorni, il destinatario era presunto informato, a prescindere dall’effettiva apertura del messaggio. Una fictio giuridica comoda per gli operatori, ma spesso assai distante dalla realtà, specie per i clienti finali meno attrezzati digitalmente.

La seconda: pur ammettendo l’uso di canali digitali anche informali, come la messaggistica istantanea, la delibera pone espressamente in capo al venditore l’onere di dimostrarne la ricezione. Non è più sufficiente inviare e attendere. Occorre essere in grado di provare che la comunicazione è giunta al cliente, in particolare per i contratti conclusi a distanza e le variazioni unilaterali delle condizioni contrattuali.

Il messaggio regolatorio è chiaro: la logica della finzione di ricezione lascia il posto alla logica probatoria. Il baricentro si sposta. E la direzione è verosimilmente destinata ad altri settori regolati in cui il cliente finale merita tutele rafforzate e in cui le comunicazioni digitali incidono su diritti sostanziali: rinnovi, variazioni contrattuali, consensi, recessi.

Gli strumenti esistenti e il loro soffitto

A questo punto è lecito chiedersi: ma gli strumenti già disponibili non bastano? La posta elettronica certificata, la raccomandata, i servizi di recapito qualificati previsti dal Regolamento europeo sull’identità digitale e le sue integrazioni più recenti.

Questi strumenti fanno bene quello che fanno: attestano la trasmissione e il recapito di una comunicazione a un indirizzo o a una casella. Nella versione qualificata, garantiscono persino l’integrità dei dati e l’accuratezza della marcatura temporale. Sono strumenti affidabili, riconosciuti, con valore probatorio consolidato.

Ma hanno un limite strutturale che non è superabile con aggiustamenti tecnici marginali: certificano che la comunicazione è stata recapitata alla casella, non che una persona determinata e identificata ne abbia preso effettiva cognizione. Tra il documento giunto nella casella e il documento letto e compreso dal destinatario c’è una differenza che questi strumenti non possono colmare, per come sono stati progettati.

E quando il diritto o la regolazione richiedono non la conoscibilità ma la conoscenza effettiva, la prova del recapito diventa condizione necessaria ma non sufficiente. È un problema di architettura concettuale prima ancora che tecnica.

Una categoria emergente: la prova di lettura

Da questo divario sta emergendo una categoria di soluzioni che si propone di attestare non il recapito, ma la cognizione. L’idea è costruire una prova che un soggetto autenticato abbia effettivamente avuto accesso a una specifica comunicazione e l’abbia consultata.

I requisiti funzionali di una soluzione di questo tipo si possono riassumere in tre elementi: un’autenticazione forte del lettore, così che la prova si ancori a una persona e non a un dispositivo o a un account; una registrazione verificabile dell’accesso al contenuto; l’integrità e la marcatura temporale del relativo registro.

In questa famiglia si collocano soluzioni che combinano la validazione biometrica del lettore eseguita sul dispositivo, senza trasmissione centralizzata di dati, con la registrazione dell’effettivo accesso al contenuto. Alcune integrano anche una componente di intelligenza artificiale a supporto della comprensione, con la finalità di documentare non solo l’accesso, ma un livello minimo di interazione con il testo.

Non si tratta di sostituire gli strumenti esistenti, ma di occupare lo spazio che quelli lasciano scoperto: tra il recapito certificato e la conoscenza effettiva. È un’area che non ha ancora standard tecnici né riconoscimento normativo esplicito, ma che risponde a una domanda già presente nell’ordinamento.

Il nodo GDPR: biometria, on-device e base giuridica

Fin qui la logica della soluzione funziona. Il problema serio arriva con il GDPR. Un sistema che autentica il lettore attraverso dati biometrici tratta dati appartenenti alle categorie particolari ai sensi dell’art. 9, sottoposti a un divieto generale di trattamento salvo eccezioni tassative. E questo mette subito sul tavolo alcune questioni che non si possono eludere.

Base giuridica: il consenso non è sempre la risposta

Il consenso esplicito, previsto dall’art. 9 del regolamento, è la base giuridica più immediata per trattare dati biometrici. Ma in contesti di massa, cioè esattamente quelli in cui queste soluzioni troverebbero applicazione, il consenso presenta una debolezza strutturale: deve essere libero, specifico, informato e revocabile. Quando un cliente finale di un operatore energetico deve acconsentire per ricevere una comunicazione contrattuale rilevante, la libertà del consenso è già sotto pressione.

Il legittimo interesse, base di liceità comodamente invocata per molti trattamenti, non è utilizzabile qui: l’art. 6 del GDPR lo prevede come base generale, ma non trova corrispondente eccezione nell’art. 9 per i dati delle categorie particolari. Non è un percorso praticabile per la biometria.

On-device: la scelta di design che cambia tutto

La scelta tecnologica che più incide sulla legittimità è dove avviene l’elaborazione biometrica. Se le operazioni di validazione si eseguono sul dispositivo del lettore, senza trasmissione né conservazione centralizzata dei modelli biometrici, il trattamento è radicalmente diverso da quello di un sistema che raccoglie e archivia dati biometrici su server remoti.

L’elaborazione on-device riduce l’esposizione dei dati, facilita la minimizzazione, limita il rischio in caso di violazione. Non azzera le questioni di compliance, ma le rende significativamente più gestibili. È la differenza tra un sistema progettato per la protezione dei dati e uno che ci aggiunge la privacy policy come adempimento postumo.

L’art. 25 del GDPR, che impone la protezione dei dati fin dalla progettazione e per impostazione predefinita, non è un requisito burocratico: è il principio che distingue le soluzioni costruite correttamente da quelle che cercano di regolarizzarsi a posteriori. E in questo settore, la differenza si vede.

La valutazione d’impatto non è facoltativa

Il trattamento su larga scala di dati biometrici impone la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del GDPR. Non è un adempimento formale da spuntare in una checklist, ma lo strumento centrale di governo del rischio: l’analisi che consente di identificare i rischi residui, le misure di mitigazione, i presupposti che rendono il trattamento proporzionato rispetto alle finalità.

Nel rapporto tra fornitore della soluzione e azienda che la utilizza, il primo opera tipicamente come responsabile del trattamento ai sensi dell’art. 28, mentre l’azienda conserva la titolarità. È una ripartizione di ruoli con implicazioni contrattuali e di accountability che devono essere regolate con precisione, non lasciate all’interpretazione.

L’AI Act entra in scena

Quando la soluzione integra componenti di intelligenza artificiale a supporto della comprensione del testo, si aggiunge un ulteriore layer normativo. Il Regolamento europeo sull’intelligenza artificiale, entrato in vigore nel 2024, prevede obblighi di trasparenza per i sistemi di AI che interagiscono con le persone. La corretta classificazione del profilo di rischio del sistema, la documentazione tecnica, l’informativa all’utente sull’interazione con componenti automatizzate sono requisiti che si sovrappongono alle prescrizioni GDPR senza assorbirle.

Non è un panorama semplice. Ma non è neppure irrisolvibile, a condizione che la progettazione della soluzione parta dai vincoli normativi invece di arrivarci a schiaffo, quando il problema è già emerso.

Valore probatorio: il problema degli standard

Anche ammesso che una soluzione di prova di lettura sia costruita correttamente dal punto di vista della protezione dei dati, resta una questione distinta e altrettanto rilevante: quanto vale in giudizio?

Oggi, la risposta onesta è: dipende. Dipende da come è costruito il registro degli accessi, da quanto è integro e immodificabile, da se e come è dotato di riferimento temporale certo, da se è sorretto da servizi fiduciari qualificati, da come è conservato nel tempo. In assenza di standard tecnici e giuridici condivisi, il valore probatorio di queste soluzioni si definisce caso per caso, lasciando spazio alla contestazione e all’incertezza.

C’è anche una distinzione concettuale che vale la pena tenere ferma. La firma elettronica attesta la paternità e l’integrità di un documento. Il recapito certificato attesta la trasmissione. La prova di lettura mira ad attestare la cognizione. Sono tre livelli diversi, non intercambiabili. La prova di lettura si colloca su un terreno che gli strumenti esistenti non presidiano, ma che non ha ancora una definizione tecnica e giuridica condivisa.

Questo non significa che le soluzioni esistenti non abbiano valore. Significa che quel valore non è ancora consolidato, e che in una vertenza il primo obiettivo della controparte sarà contestare proprio la solidità del registro e il metodo di autenticazione. La tenuta probatoria dipende dalla qualità tecnica e dalla conformità normativa della soluzione, non solo dalla sua esistenza.

Che fare: un tavolo prima del contenzioso

Arriviamo alla parte propositiva, che in questo caso è anche la più urgente.

Il tema della conoscenza effettiva nelle comunicazioni digitali si colloca all’incrocio di tre culture giuridiche e professionali che raramente dialogano tra loro: quella della fiducia digitale (documento informatico, valore probatorio, conservazione), quella della protezione dei dati personali, e quella della regolazione di settore. Ciascuna ha strumenti, linguaggi, priorità diverse. E il risultato, finora, è che il problema è affrontato in modo frammentario: qualcuno lo studia dal lato GDPR, qualcuno dal lato probatorio, qualcuno dalla prospettiva regolatoria energetica, senza che le risposte si coordinino.

Il rischio concreto è che siano la prassi e il contenzioso a definire il perimetro, invece di farlo in modo ragionato e preventivo. È già successo con altri temi dell’identità digitale: si aspetta che un giudice si pronunci, e nel frattempo operatori, fornitori di tecnologia e clienti finali navigano nell’incertezza.

Quello che manca, e che sarebbe utile costruire, è un luogo di elaborazione condivisa e pre-competitiva: un tavolo che riunisca esperti di protezione dei dati, professionisti della conservazione digitale e della fiducia informatica, rappresentanti della regolazione di settore, operatori dei mercati energetici e, perché no, le soluzioni emergenti come caso di studio concreto.

L’obiettivo non sarebbe promuovere una tecnologia specifica, ma definire requisiti funzionali e condizioni di conformità della prova di lettura: quali caratteristiche deve avere il registro, quale forza presuntiva è ragionevole attribuirgli, come si coordina con la disciplina degli atti recettizi e con gli oneri probatori di settore.

Non è un lavoro impossibile. È esattamente il tipo di elaborazione che ha prodotto, nel tempo, gli standard della firma elettronica, della conservazione a norma, della PEC. Quelle regole non sono venute dal nulla: sono il risultato di un confronto tra competenze diverse, avviato prima che il contenzioso rendesse il confronto più difficile.

Il passaggio che nessuno ha ancora formalizzato

Il passaggio dalla consegna alla conoscenza effettiva non è una raffinatezza dottrinale. È una direzione già tracciata dal diritto civile e dalla regolazione di settore, e sta diventando un requisito operativo concreto per chi gestisce comunicazioni rilevanti verso i clienti finali.

Gli strumenti tradizionali presidiano la trasmissione. Il divario sulla cognizione resta scoperto. Colmarlo è tecnicamente possibile, ma soltanto a condizione che le soluzioni emergenti siano costruite, fin dalla progettazione, nel rispetto della protezione dei dati, della certezza probatoria e delle esigenze di equilibrio proprie dei mercati regolati. Non come adempimenti postumo, ma come architettura di base.

È una sfida che appartiene tanto ai tecnici quanto ai giuristi, ai regolatori quanto agli operatori. E che merita di essere affrontata in modo coordinato, prima che siano le sentenze a dettare le regole.

Perché in questo campo, come in molti altri della trasformazione digitale, il problema non è la tecnologia. Il problema è costruire il quadro di fiducia che la rende utilizzabile.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x