La posta elettronica certificata (PEC) è un tipo particolare di posta elettronica, disciplinata dalla legge italiana, che permette di dare a un messaggio di posta elettronica lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale garantendo così il non ripudio. Anche il contenuto può essere certificato e firmato elettronicamente oppure criptato garantendo quindi anche autenticazione, integrità dei dati e confidenzialità.
La disciplina della PEC è principalmente contenuta nel Decreto del presidente della Repubblica 11 febbraio 2005 n. 68 e nel decreto legislativo 7 marzo 2005 n. 82 (cosiddetto codice dell'amministrazione digitale).
Nell'aprile 2011 Francesco Gennai, Alba Shahin (ISTI-CNR), Claudio Petrucci e Alessandro Vinciarelli (CNIPA) hanno redatto l'Internet RFC 6109 (Request for Comments 6109) al fine di rendere accessibili alla comunità Internet l'architettura e i protocolli PEC.
Dal 1º luglio 2013 le comunicazioni tra imprese e pubblica amministrazione devono avvenire solo via PEC, non essendo più accettate le comunicazioni in forma cartacea.
Il servizio "CEC-PAC" ufficiale del Governo italiano ("PostaCertificat@") verrà progressivamente sospeso nell'arco del 2015.
Per poter utilizzare il servizio si deve disporre di un'apposita casella di PEC presso uno dei gestori autorizzati (un servizio di PEC gratuita era fornito fino a dicembre 2014 dal Governo Italiano, su un dominio specifico, senza firma digitale, ed esclusivamente per comunicazioni tra cittadino e Pubblica Amministrazione e viceversa).
La pubblicazione dell'elenco dei gestori autorizzati e quello della Pubblica Amministrazione, la vigilanza e il coordinamento nei confronti dei gestori e della Pubblica Amministrazione è demandata all'Ente nazionale per la digitalizzazione della Pubblica Amministrazione (DigitPA).
Al momento dell'invio di una mail PEC il gestore PEC del mittente si occuperà di inviare a quest'ultimo una ricevuta che costituirà valore legale dell'avvenuta (o mancata) trasmissione del messaggio, con precisa indicazione temporale del momento in cui la mail PEC è stata inviata. In egual modo, il gestore del destinatario, dopo avergli depositato il messaggio PEC nella sua casella, fornirà al mittente una ricevuta di avvenuta consegna, con l'indicazione del momento temporale nel quale tale consegna è avvenuta. In caso di smarrimento di una delle ricevute presenti nel sistema PEC è possibile disporre, presso i gestori del servizio, di una traccia informatica avente lo stesso valore legale in termini di invio e ricezione, per un periodo di trenta mesi, secondo quanto previsto dalle normative.
Dal punto di vista dell'utente, una casella di posta elettronica certificata non si differenzia dunque da una casella di posta normale; cambia solo per ciò che riguarda il meccanismo di comunicazione sul quale si basa la PEC e sulla presenza di alcune ricevute inviate dai gestori PEC al mittente e al destinatario. L'utente destinatario non visualizza l'e-mail del mittente, ma un messaggio automatico generato dal gestore di posta del mittente, che contiene due allegati: la e-mail "originale" del mittente con relativi allegati, e un file di ".xml" (file di testo o apribile con apposito software) con le stesse informazioni della notifica di invio trasmessa al mittente (ID del messaggio, luogo data e ora di invio, e dati di intestazione quali e-mail del destinatario tipo PEC / non-PEC, oggetto). La posta elettronica certificata, infatti, per essere tale, deve seguire le regole fissate dal Decreto del presidente della Repubblica n. 68/2005 e dalle successive regole da esso previste. Queste norme, insieme ad altre (tra cui, in particolare, il Codice dell'Amministrazione Digitale, Decreto legislativo n. 235/2010), ne stabiliscono la validità legale, le regole e le modalità di utilizzo. In particolare:
Il servizio può essere erogato esclusivamente dai gestori accreditati presso il CNIPA che è l'organo pubblico preposto al controllo della posta elettronica certificata.
Per la PEC devono essere usati domini dedicati (un dominio di PEC non contiene caselle email non PEC).
Ogni gestore PEC nel rispetto della norma deve sottoporsi a una serie di test d'interoperabilità, espressamente individuati e disponibili sul sito ufficiale del CNIPA[3]. I test d'interoperabilità vengono eseguiti per valutare la correttezza tecnico/funzionale del servizio di PEC erogato dal gestore. Come indicato nella documentazione ufficiale sono presenti espliciti test per verificare l'invio e la ricezione con caselle di posta elettronica tradizionale. Si ricorda che le regole tecniche PEC, allegate al Decreto Ministeriale 2 novembre 2005, prevedono la gestione di messaggi di posta elettronica tradizionale, tanto che viene definita un'apposita busta di trasporto atta a contenere e-mail provenienti da indirizzi di posta non PEC. Inoltre la ricevuta di accettazione, emanata all'atto dell'invio, evidenzia la tipologia di indirizzi di posta con apposite diciture (es. Posta Certificata - Posta non Certificata). Chiaramente, l'eventuale destinatario non PEC, pur ricevendo correttamente il messaggio, potrà generare gli avvisi di avvenuta/mancata consegna (e lettura del messaggio), ma senza alcun valore legale che invece avrebbe un destinatario di PEC.
