Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la guida

PEC, come funziona la conservazione a norma: vademecum

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Cosa dice la normativa e come applicarla: ecco tutto ciò che bisogna sapere per attuare una corretta conservazione delle PEC

Aggiornato il 23 gen 2026
Marta Gaia Castellan

Assoconservatori Assintel

Jacopo Mason

Assoconservatori Assintel

Alberto Sturniolo

Assoconservatori Assintel

documenti digitali

Ogni Conservatore o professionista esperto della materia si è sentito porre almeno una volta questa domanda: “Devo conservare le PEC?”. La risposta è affermativa, ma il dubbio è lecito, perché non c’è in effetti una norma dedicata alla Posta Elettronica Certificata che obblighi a farlo.

La PEC non è proprio una tipologia documentale (come lo sono per esempio contratti, fatture, referti) ma è un mezzo di trasporto di documenti, di diversa tipologia, con l’aggiunta di ricevute di avvenuta accettazione e consegna del messaggio da parte del Gestore.

Nel Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, recante “disposizioni per l’utilizzo della posta elettronica certificata”, la PEC viene definita come “ogni sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici”. La trasmissione di questa tipologia di messaggi è valida agli effetti di legge. In particolare, il “messaggio di posta elettronica certificata” è definito come “un documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati”.

I dati sulla Conservazione Pec

È importante sottolineare anche quanto questo settore stia crescendo, con la possibile evoluzione verso la REM (Registered Electronic Mail) a livello europeo, l’avvio da parte di AgID di INAD (Indice Nazionale dei Domicili Digitali) e SEND (Servizio di Notifiche Digitali), l’utilizzo sempre più diffuso dell’AI (Artificial Intelligence) per identificare, raggruppare, categorizzare e smistare grandi quantità di messaggi.

Solo nell’ultimo quadrimestre 2024, in Italia avevamo 16.252.795 caselle attive e ci siamo scambiati 1.144.052.460 messaggi.

Quindi, chiedere “devo conservare le PEC?” è come chiedere “devo conservare le raccomandate?”: la risposta è “sì”, ma molto dipende da cosa è contenuto nelle raccomandate stesse.

Inoltre, in modo analogo a come avviene per le raccomandate (per cui si conservano le ricevute), per le PEC inviate è necessario conservare la ricevuta di avvenuta consegna, poiché contiene tutti gli elementi utili a garantirne la validità nel tempo.

In essa sono presenti il file postacert.eml, che rappresenta la busta con all’interno il messaggio originale, la ricevuta stessa, la firma elettronica e il file daticert.xml, che raccoglie le informazioni essenziali come l’ID del messaggio PEC, i dati di consegna e il mittente.

Per le PEC ricevute, invece, occorre conservare la busta di trasporto, che comprende il messaggio originale completo di testo e allegati, insieme al file daticert.xml, contenente tutte le informazioni relative all’invio.

Conservazione PEC: cosa dice la legge

L’obbligo di conservazione dei messaggi inviati tramite PEC deriva dalla lettura combinata del Codice civile e del CAD (Codice dell’Amministrazione Digitale).

Gli articoli 2214 e 2220 del Codice civile prevedono l’obbligo per l’imprenditore di “conservare ordinatamente per ciascun affare lettere, telegrammi…” per dieci anni. Gli articoli 43 e 44 del CAD, in riferimento alle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici (maggio 2021), prevedono anche per i privati l’obbligo di conservazione dei documenti informatici, con lo scopo di assicurare “autenticità, integrità, affidabilità, leggibilità e reperibilità”.

Oltre a queste regole di natura civilistica, entra in gioco anche la disciplina sulla protezione dei dati personali. Il Regolamento europeo sulla privacy (GDPR) impone, per esempio, che le e-mail aziendali siano gestite secondo il principio di proporzionalità: i messaggi devono essere conservati solo per il tempo strettamente necessario alle finalità per cui sono stati raccolti o ricevuti.

Inoltre, i dipendenti devono essere informati in modo chiaro sulle politiche di gestione e conservazione della posta elettronica, così da sapere quali dati vengono trattati e per quanto tempo. È vietato, infine, effettuare controlli invasivi o monitoraggi sistematici delle comunicazioni senza una base giuridica adeguata, poiché ciò costituirebbe una violazione dei diritti e delle libertà fondamentali dei lavoratori.

In sintesi, anche la conservazione delle e-mail non è un obbligo assoluto e indistinto, ma dipende dal contenuto e dal contesto: irrilevante per i messaggi personali di uso quotidiano, diventa invece necessaria quando le comunicazioni hanno valore legale o probatorio, e deve sempre rispettare i principi di correttezza, proporzionalità e trasparenza stabiliti dalla normativa vigente.

Su questo tema è importante ricordare il Provvedimento del Garante per la protezione dei dati personali del 6 giugno 2024 – Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati, a cui Assintel ha avuto anche modo di contribuire in consultazione.

PEC ed Europa: eIDAS 2, REM e valore legale

A livello europeo, però, la PEC tradizionale non è automaticamente riconosciuta con lo stesso valore. Il Regolamento eIDAS 2024/1183 (eIDAS 2), che disciplina i servizi fiduciari qualificati nell’Unione Europea, prevede infatti una categoria specifica chiamata Qualified Electronic Registered Delivery Service (QERDS), ossia il recapito elettronico certificato qualificato. In quest’ultima categoria rientrerebbe la sopracitata REM.

Per essere riconosciuto come tale, un servizio deve rispettare requisiti tecnici e di sicurezza più stringenti, tra cui l’identificazione certa del titolare e l’interoperabilità transfrontaliera.

La PEC italiana, pur avendo caratteristiche simili, non soddisfa ancora pienamente questi requisiti e quindi oggi il suo valore legale è pienamente valido solo entro i confini nazionali. Negli altri Paesi UE può essere utilizzata, ma non ha automaticamente lo stesso riconoscimento giuridico.

La PEC, quindi, sta evolvendo in una versione “qualificata” e conforme agli standard europei. Questa evoluzione la renderebbe un vero e proprio QERDS, garantendo così valore legale uniforme e riconosciuto in tutta l’Unione Europea.

È importante sottolineare anche che il citato Regolamento europeo (il cosiddetto eIDAS 2) introduce un nuovo servizio fiduciario: l’eArchiving, l’archiviazione elettronica, definito come “un servizio che consente la ricezione, la conservazione, la consultazione e la cancellazione di dati elettronici e documenti elettronici al fine di garantirne la durabilità e leggibilità nonché di preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di conservazione”, completando quindi il quadro normativo europeo con un servizio molto simile a quello che in Italia è da sempre la conservazione a norma.

Come è composta la PEC

Come stabilito dall’Allegato al Decreto 2 novembre 2005, recante “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”, il sistema di PEC genera i messaggi (ricevute, avvisi e buste) in formato MIME.

I messaggi sono composti da una parte di testo descrittivo (per l’utente) e da una serie di allegati (messaggio originale, dati di certificazione, ecc.), variabili a seconda della tipologia del messaggio.

Il messaggio è quindi inserito in una struttura S/MIME v3 in formato CMS, firmata con la chiave privata del Gestore di Posta Elettronica Certificata. Il certificato associato alla chiave usata per la firma deve essere incluso in tale struttura.

Il formato S/MIME usato per la firma dei messaggi generati dal sistema è il “multipart/signed” (formato .p7s), così come descritto nella RFC 2633 §3.4.3.

La PEC di fatto è una busta di trasporto elettronica, un contenitore in un formato particolare EML (Electronic Mail Format) che può trasportare diverse tipologie di informazioni.

La busta di trasporto solitamente contiene, a sua volta, tre tipologie di oggetti:

  1. il “body” o testo del messaggio;
  2. i documenti eventualmente allegati (potenzialmente di qualsiasi formato e contenuto);
  3. il file daticert.xml con le evidenze sintetiche dell’invio del messaggio (mittente, destinatario, ora e oggetto).

Per svariati motivi, soprattutto per evitare di avere una copia analogica dal valore legale inferiore rispetto all’originale digitale da cui è tratta, i documenti informatici non dovrebbero essere stampati o salvati nella casella o nel PC, ma conservati in un sistema di conservazione a norma, conforme ai requisiti previsti dal CAD e dalle Linee Guida AgID sulla formazione, gestione e conservazione dei documenti informatici.

Quello che differenzia la conservazione dal semplice salvataggio è che l’oggetto della conservazione è inserito all’interno di un pacchetto, che viene sigillato e marcato temporalmente dal Conservatore, che ne garantisce negli anni leggibilità, reperibilità, integrità e sicurezza, e quindi anche autenticità e affidabilità.

Conservazione PEC in casella e gestione documentale

Oggi diversi gestori PEC offrono servizi integrati che permettono di conservare a norma i messaggi PEC direttamente dalla casella, senza dover ricorrere a sistemi esterni. A riguardo, il quesito da porsi è relativo all’oggetto della conservazione: la busta in formato EML o l’allegato in essa contenuto?

Se si attiva il servizio di conservazione direttamente nella casella, l’oggetto conservato è la busta di trasporto (file .EML), ossia il documento informatico che contiene il messaggio di Posta Elettronica Certificata.

Quest’ultimo, a sua volta, è costituito da un documento informatico composto dal testo del messaggio, dai dati di certificazione e dagli eventuali documenti informatici allegati, con una certa standardizzazione e un’elevata astrazione in merito ai formati, ai contenuti e ai metadati degli allegati.

Questa soluzione consente di garantire la tutela e la validità legale nel tempo di tutti i messaggi e dei relativi allegati inviati o ricevuti.

Scegliendo di conservare tutti i messaggi ricevuti, si accetta il fatto che alcune PEC conservate potrebbero contenere documenti che non necessiterebbero della conservazione a lungo termine, come per esempio pubblicità o inviti non richiesti, non potendo dirimere in base al contenuto.

Il vantaggio di assicurare la conservazione a norma delle comunicazioni di rilievo supera ampiamente l’eventuale inconveniente di conservare anche messaggi di scarso interesse o indesiderati. In un contesto in cui la corrispondenza elettronica certificata assume sempre più valore probatorio e amministrativo, la conservazione a norma rappresenta uno strumento essenziale per la corretta gestione e protezione dei documenti informatici.

In alternativa si può decidere di conservare separatamente l’allegato trasmesso tramite PEC, che può essere per esempio un contratto, una fattura, una circolare o qualsiasi altra tipologia documentale.

Le Pubbliche Amministrazioni generalmente seguono questa procedura. Le caselle PEC istituzionali, iscritte all’Indice dei domicili digitali della Pubblica Amministrazione e dei Gestori di Pubblici Servizi (IPA), sono collegate a un Protocollo Informatico che ne governa il flusso documentale.

Il sistema di Protocollo, infatti, provvede ad aprire i messaggi PEC, estrarre gli allegati e trasformarli in un documento protocollato. A quest’ultimo vengono associate, come suoi allegati, le ricevute di accettazione e consegna.

In questa fase vengono generati e registrati i metadati fondamentali (numero di protocollo, data, classificazione, mittente, destinatario e altre informazioni descrittive) che consentono di garantire tracciabilità e corretta gestione amministrativa.

Successivamente, i documenti vengono assegnati e smistati ai responsabili e agli uffici competenti, secondo i flussi organizzativi interni e fascicolati. Solo al termine di questo processo di gestione documentale, i documenti e i relativi allegati vengono versati nel sistema di conservazione a norma, assicurandone la validità legale e la reperibilità nel tempo.

Conservazione delle fatture

Come già segnalato precedentemente, l’obbligo di conservazione dei documenti trasmessi tramite PEC non è generalizzato, ma dipende strettamente dal contenuto del messaggio.

Un caso emblematico è rappresentato dalla fatturazione elettronica: le fatture, veicolate in formato XML attraverso il Sistema di Interscambio (SdI) e talvolta recapitate via PEC, devono essere oggetto di un processo di conservazione a norma conforme alla normativa vigente.

In questo contesto, il versamento in conservazione dovrebbe essere integrato con il servizio di fatturazione elettronica stesso, così da garantire coerenza e tracciabilità lungo l’intero ciclo di vita del documento.

È infatti preferibile che le fatture vengano conservate all’interno di una tipologia documentale dedicata e a valle del processo di gestione, piuttosto che insieme a tutti gli altri messaggi genericamente inviati o ricevuti tramite PEC.

Questa distinzione consente non solo di rispettare gli obblighi normativi, ma anche di assicurare una gestione più ordinata ed efficiente, riducendo il rischio di dispersione delle informazioni.

Metadati e conservazione PEC

Un altro elemento fondamentale del servizio di conservazione a norma sono i metadati, cioè i dati che descrivono il contesto, il contenuto e la struttura dell’oggetto da conservare, che diventano poi delle chiavi di ricerca per permetterne la gestione e il recupero a distanza di tempo.

Le citate Linee Guida di AgID dedicano l’intero Allegato n. 5 ai metadati del documento informatico, del documento amministrativo informatico (documento protocollato) e delle aggregazioni documentali (fascicoli e serie).

Se intendiamo la PEC, o più specificamente la busta di trasporto in formato EML, come l’oggetto vero e proprio della conservazione, i metadati potranno essere, semplificando:

  • Identificativo del documento, cioè il messaggeID
  • Impronta hash del file .EML e algoritmo SHA utilizzato
  • Modalità di formazione “a”, cioè tramite strumenti software
  • Tipologia documentale: “PEC”
  • Dati di registrazione: tipologia di flusso in uscita o in entrata (a seconda se è inviato o ricevuto), data e numero di registrazione coincidenti con quelle del messaggio
  • Oggetto della PEC
  • Mittente e destinatario come ruoli dei soggetti coinvolti
  • Numero degli allegati
  • Riservato: true
  • Firma digitale: true (considerando la firma apposta dal Gestore PEC)
  • Formato: EML
  • Nome file: per es. postacert.eml
  • Versione: sempre 1, perché non si prevedono modifiche

Lo scenario

Conservare a norma i messaggi PEC non significa semplicemente salvarli nella casella di posta, sul computer o in un sistema di gestione documentale: si tratta di un processo regolamentato che assicura valore legale e validità nel tempo alle comunicazioni digitali.

Stampare le PEC, oltre a generare sprechi di carta e inchiostro, non è una soluzione efficace: la copia cartacea ha infatti un valore probatorio inferiore rispetto all’originale digitale.

Per questo è importante distinguere tra contenuto e contenitore: identificare l’oggetto della conservazione e capire quali documenti devono essere conservati, in quale fase del processo effettuare il versamento e con quali modalità.

Definire fin dall’inizio formati, metadati e processi permette di valorizzare al meglio i propri dati e garantire la conformità normativa.

Originariamente pubblicato il 29 gen 2024
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • web reputation Gestione workflow documentale monitoraggio stampa e social con AI

  • sponsored story

    Workflow documentale, gestione più veloce grazie alla firma elettronica

    14 Apr 2025

    Condividi
  • contratti IA (1); normativa smart contract

  • la guida

    Come usare gli smart contract in Italia: le indicazioni normative

    08 Lug 2025

    di Luana della Luna

    Condividi
  • patente digitale

  • ITWallet

    Patente digitale su app IO, si parte: come averla, come funziona

    02 Mag 2025

    di Andrea Tironi

    Condividi
0
Lascia un commento, la tua opinione conta.x