Email archiving:
non è più opzionale.

Il backup della posta non basta più

Nella maggior parte delle PMI italiane la posta aziendale viene «conservata» in uno di questi tre modi: la si lascia nella mailbox di ciascun utente, si fa il backup periodico del tenant Microsoft 365 o Google Workspace, oppure si esporta di tanto in tanto in file PST su un NAS. Nessuno di questi tre metodi soddisfa i requisiti di conservazione legale richiesti dalla normativa italiana ed europea.

La distinzione tra backup e archivingnon è un sofismo. Il backup serve a ripristinare dati dopo un incidente; l'archiving serve a dimostrare che un documento esisteva in una certa forma in una certa data. Sono due strumenti con obiettivi diversi, che rispondono a domande diverse: il backup risponde a «posso ripristinare?», l'archiving risponde a «posso dimostrare?». Molte normative ne richiedono entrambi.

Cosa chiede la legge

L'articolo 2220 del Codice Civile impone la conservazione delle scritture contabili per dieci anni. Tra le scritture contabili rientrano anche le comunicazioni via email che documentano ordini, conferme, pagamenti, fatture allegate o trasmesse via PEC. Il termine decennale non è una best practice: è un obbligo civilistico.

Al Codice Civile si sommano:

• Codice dell'Amministrazione Digitale (CAD) articolo 43— stabilisce i requisiti per la conservazione a norma dei documenti informatici, applicabile a qualsiasi comunicazione con valore probatorio.
• Fatturazione elettronica via Sistema di Interscambio— aggiunge un obbligo di conservazione a norma con requisiti tecnici definiti dall'Agenzia delle Entrate, che si riflette anche sulle email che accompagnano le fatture.
• Regolamento (UE) 2016/679 (GDPR)— richiede una base giuridica documentata per la conservazione prolungata dei dati personali presenti nelle comunicazioni aziendali, e un controllo degli accessi tale da poter dimostrare chi ha visto cosa.
• Direttiva (UE) 2022/2555 (NIS2)— per i soggetti in perimetro impone la conservazione di log e prove a supporto della gestione degli incidenti e delle notifiche all'autorità competente.
• PEC (Posta Elettronica Certificata)— ha valore legale pari a una raccomandata con ricevuta di ritorno. La ricevuta di accettazione e la ricevuta di consegna sono prove giuridicamente rilevanti: devono essere conservate in un contenitore idoneo, altrimenti il valore probatorio si perde.

Cosa deve fare un archivio email conforme

Un archivio email che regga in un contenzioso, in un audit NIS2 o in un'ispezione del Garante ha caratteristiche molto precise, e diverse da quelle di un semplice backup:

• 1Immutabilità— una volta scritta, un'email non può più essere modificata né cancellata prima della scadenza della policy di retention. Nemmeno un amministratore di sistema con privilegi completi deve poter alterare l'archivio.
• 2Firma digitale con timestamp certificato RFC 3161— ogni email riceve una marca temporale rilasciata da un'autorità esterna di certificazione. L'integrità può essere verificata in modo indipendente dall'archivio stesso, requisito critico per produrre un messaggio come prova in tribunale.
• 3Legal hold— la possibilità di bloccare in modo selettivo un set di email per contenziosi o ispezioni, impedendone la cancellazione anche quando la retention ordinaria è scaduta.
• 4eDiscovery full-text— ricerca nell'intero contenuto dei messaggi e degli allegati, su milioni di email, in tempi compatibili con le richieste di un consulente tecnico d'ufficio o di un ispettore.
• 5Privacy Officer dedicato— un ruolo separato dall'amministratore di sistema, con autorizzazione a controllare gli accessi ai dati sensibili e a richiedere autorizzazioni temporanee. Anche gli admin devono chiedere il permesso per consultare l'archivio, e ogni consultazione è tracciata.
• 6Compatibilità PEC— l'archivio deve poter preservare il valore legale delle ricevute di accettazione, consegna e della busta di trasporto, via connettore IMAP dedicato che mantiene intatti i metadati.

Il servizio ATWS Email Archiving

Per rispondere a queste esigenze AtWorkStudio propone Email Archiving, un servizio di archiviazione email conforme compatibile con Microsoft 365, Exchange on-premise, Google Workspace, Zimbra e qualsiasi altro mail server via SMTP o IMAP. Supporta nativamente la PEC, la firma digitale con timestamp RFC 3161 e la cifratura AES-256. Disponibile in modalità cloud gestita con dati in UE o on-premise nel datacenter del cliente.

AtWorkStudio opera da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN per i servizi cloud. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT. Progettiamo e gestiamo i servizi di archiviazione come componenti di un'architettura di conformità più ampia, allineata ai requisiti GDPR, NIS2 e ISO 27001.