E' evidente che si tratta di una deficienza progettuale del sistema PEC, e spero che a nessuno venga in mente di giustificare la cosa scaricando sugli utenti l'obbligo di adottare ulteriori misure di sicurezza, o addirittura di scegliere cosa inviare via PEC (messaggi meno rilevanti) e cosa via posta cartacea. Come anche mi auguro che si eviti di dire che il livello di sicurezza è garantita dal fatto che i gestori PEC sono obbligati al rispetto delle misure minime in materia di dati personali. Un antivirus aggiornato una volta l'anno, un firewall e un backup sono, francamente, un po' pochino.
Per concludere sul punto, mi auguro infine che a nessuno venga in mente di rispolverare il vecchio argomento "ma alla fin fine, a chi volete che interessi la PEC della zia Maria?" Magari a nessuno (quella della zia Maria), però andando per phishing nei grandi numeri (tanti utenti, tantissimi messaggi) qualcosa si porte sempre a casa. Una casella PEC, inoltre, non è necessariamente assegnata a un soggetto pienamente identificato.

A differenza di quanto stabilito per la firma digitale, non esiste un vincolo operativo per identificare il richiedente di una mailbox PEC, e infatti sul mercato ci sono diversi metodi per la stipulazione del contratto per ottenerne una. Alcuni gestori chiedono la sottoscrizione di un documento cartaceo, in altri casi la transazione avviene in modo completamente dematerializzato, affidando l’identificazione del contraente alla comunicazione di una mailbox non PEC, allo strumento di pagamento (carta di credito) e all’invio tramite fax del documento di identità. Procedura, quest’ultima, che in astratto non sembra apparire sufficientemente rigorosa per scongiurare furti di identità (una carta di credito può essere prepagata, l’indirizzo di posta - specie se estero - potrebbe essere stato ottenuto senza troppe verifiche sull’identità dell’utente, e un documento di identità da spedire via fax può essere alterato abbastanza agevolmente).

E’ un’ipotesi ovviamente patologica, ma che attiene in ogni caso al novero della possibilità e che si potrebbe scongiurare semplicemente usando la firma digitale. Un messaggio PEC si considera ricevuto quando arriva nella casella di posta del gestore del servizio, non quando viene materialmente letto dal destinatario. In pratica non si prevede un sistema analogo alla “compiuta giacenza” della posta cartacea.
Sull’impiego delle ricevute di consegna di un messaggio PEC in ambito contenzioso, va detto che le regole ordinarie del processo civile conferiscono una fede particolare alla busta in questione e dunque chi dichiara di non avere ricevuto un messaggio PEC quando l’altra parte (mittente) esibisce la ricevuta di consegna, non può limitarsi a “fare catenaccio” negando la circostanza.

D’altra parte, sarebbe possibile - anche se processualmente non necessario - eseguire una verifica presso il gestore del servizio che è tenuto a conservare la ricevuta in questione. Sempre in ambito patologico, un problema potrebbe porsi se il gestore PEC avesse cancellato (per esempio per decorso del tempo) le proprie copie delle ricevute. In questo caso potrebbe essere sicuramente più complesso, in caso di contestazione, dimostrare l’effettivo invio del messaggio.
D'altra parte, nè la firma digitale né la PEC hanno risolto il problema della validità nel tempo. Oggi è sempre possibile eseguire verifiche di originalità su un documento vecchio anche di millenni. Mentre l'aspettativa di vita dei certificati digitali (anche di quelli usati per validare la PEC) è molto, molto più breve.

Concludiamo con un rapido cenno sull’impatto della PEC sull’operato della pubblica amministrazione. La PEC offre la possibilità concreta di inviare pressoché contemporaneamente un numero molto rilevante di richieste che implicano l’apertura di altrettanti procedimenti amministrativi. Questi saranno ovviamente tutti assoggettati allo stesso termine di legge per la loro conclusione e in assenza di una efficiente organizzazione di “backoffice” il rischio sarebbe la paralisi operativa dell'ente (come avverrebbe in assenza dell’integrazione fra il sistema PEC e quello del protocollo informatico).