L'anno scorso un mio cliente mi ha chiamato di venerdì sera. Tono di voce che conosco bene: quello di chi ha appena ricevuto una raccomandata dall'Agenzia delle Entrate. Doveva esibire le email scambiate con un fornitore tra il 2021 e il 2023. Il problema? Aveva cambiato provider email a gennaio 2023 e nessuno si era preoccupato di migrare l'archivio. Due anni di corrispondenza commerciale, spariti.
Questa storia la racconto perché, nella mia esperienza, è il modo in cui la stragrande maggioranza delle PMI italiane scopre che esiste un obbligo di conservazione delle email aziendali: dopo che il danno è fatto. Non prima.
In questo articolo ti spiego cosa dice davvero la legge, cosa rischi concretamente, e soprattutto cosa fare domani mattina per metterti in regola. Niente legalese: parlo da consulente IT che queste situazioni le gestisce ogni settimana.
Il quadro normativo: quali leggi regolano la conservazione delle email aziendali
La conservazione delle email aziendali in Italia non è regolata da una singola legge. Sono almeno tre le fonti normative che devi conoscere, e ognuna ha regole diverse.
1. Il Codice Civile (art. 2220)
L'articolo 2220 del Codice Civile stabilisce che fatture, lettere e telegrammi devono essere conservati per 10 anni. E sì, le email rientrano in questa definizione. Ogni email che riguarda un contratto, un ordine, una trattativa, un preventivo -- tutto va conservato per un decennio.
La maggior parte degli imprenditori che incontro pensa che questo obbligo riguardi solo le lettere cartacee. Non è così dal 2005, quando il Codice dell'Amministrazione Digitale ha equiparato i documenti informatici a quelli cartacei.
2. La normativa fiscale (DPR 600/73 e DPR 633/72)
Le email che hanno rilevanza fiscale -- fatture elettroniche inviate via email, conferme d'ordine, comunicazioni con il commercialista -- seguono gli obblighi di conservazione fiscale. Il DPR 600/73 e il DPR 633/72 stabiliscono termini di accertamento di 5 o 7 anni a seconda dei casi. I 10 anni di conservazione vengono dall'art. 2220 del Codice Civile, che in pratica copre anche le esigenze fiscali con margine.
Attenzione: la conservazione fiscale a norma richiede che il documento digitale sia conservato con requisiti specifici -- marca temporale, firma digitale o sigillo elettronico, secondo le regole AgID. Non basta avere l'email nel tuo archivio Outlook.
3. Il GDPR e il Codice Privacy (D.Lgs. 196/2003 aggiornato)
Qui la logica si ribalta. Se le prime due normative ti dicono "conserva tutto il più a lungo possibile", il GDPR dice l'opposto: conserva solo il necessario, per il tempo strettamente necessario. È il principio di limitazione della conservazione (art. 5, par. 1, lett. e del Regolamento UE 2016/679).
Questo crea un conflitto che molti ignorano. Da un lato devi conservare la corrispondenza commerciale per 10 anni. Dall'altro non puoi tenere dati personali oltre il necessario. La soluzione? Conservi le email rilevanti per gli obblighi di legge, e cancelli o anonimizzi tutto il resto. Ma ci arriviamo nella sezione pratica.
Il problema che nessuno vuole affrontare: le email degli ex dipendenti
Questo è il punto dove vedo le aziende bloccarsi completamente. Un dipendente se ne va, e la sua casella email resta lì, attiva, per mesi. A volte anni.
Ho avuto un cliente -- un'azienda manifatturiera con 40 dipendenti -- che aveva ancora attive le caselle email di persone uscite tre anni prima. "E se arriva qualcosa di importante?" mi ha detto il titolare. Come se l'email di un ex dipendente fosse un cassetto da tenere aperto per sicurezza.
Il Garante Privacy su questo è stato chiarissimo, e non da ieri. È intervenuto più volte -- dal provvedimento del 2019 (doc. web n. 9215890) a quello del 2023 (doc. web n. 9909235) -- e dice una cosa semplice: l'account email dell'ex dipendente va disattivato al momento della cessazione del rapporto di lavoro. Non dopo un mese. Non "quando ci ricordiamo". Giorno zero.
E non basta disattivarlo. Il Garante parla di "tempo ragionevole" per la dismissione completa dell'account, senza codificare tempi esatti. Nella mia esperienza, un protocollo ragionevole prevede tre fasi:
- Giorno 0 -- Disattivazione dell'account. L'ex dipendente non deve più poter accedere alla casella, e nessun nuovo messaggio deve entrarci.
- Immediatamente -- Risponditore automatico. Si attiva un messaggio automatico che informa i mittenti che l'indirizzo non è più attivo e fornisce un contatto alternativo. Questo è l'unico modo lecito per gestire la transizione.
- Entro 2-3 mesi -- Cancellazione definitiva dell'account. L'account viene rimosso dal sistema. Non archiviato, non parcheggiato: rimosso.
"Ma io devo conservare le email per 10 anni!" mi dicono. Vero. Ma c'è una differenza enorme tra conservare la corrispondenza commerciale rilevante e tenere attivo l'account email di una persona che non lavora più per te. La prima è un obbligo. La seconda è una violazione della privacy.
Conservazione sì, archivio indiscriminato no
Questo è il concetto che faccio più fatica a far passare con i clienti. La conservazione a norma non significa "tieni tutto, per sempre, ovunque".
Significa: identifica le email che hanno valore legale o fiscale, archiviale secondo le regole, e gestisci tutto il resto con una policy chiara.
In pratica, quello che faccio con i miei clienti è dividere le email in tre categorie:
| Categoria | Esempi | Conservazione |
|---|---|---|
| Rilevanza legale/fiscale | Contratti, ordini, fatture, comunicazioni con il commercialista, contestazioni | 10 anni, conservazione a norma AgID |
| Rilevanza operativa | Comunicazioni con clienti attivi, email di progetto, offerte commerciali | Durata del rapporto + 1 anno, backup standard |
| Nessuna rilevanza | Newsletter, spam, comunicazioni interne logistiche, email di servizio | Cancellazione periodica (ogni 6-12 mesi) |
L'archivio indiscriminato -- il classico "non cancello niente perché non si sa mai" -- è esattamente quello che ti mette nei guai. Non solo viola il principio di limitazione della conservazione del GDPR (art. 5, par. 1, lett. e) e quello di minimizzazione dei dati (art. 5, par. 1, lett. c), ma rende anche impossibile trovare le email che servono davvero quando servono.
Un mio cliente ha dovuto produrre email specifiche durante un contenzioso commerciale. Aveva un archivio di 180 GB non organizzato. Ci abbiamo messo tre giorni a trovare quello che serviva, con un costo in ore di consulenza che avrebbe pagato cinque anni di sistema di archiviazione a norma.
Come parlarne col cliente: la leva giusta non è il GDPR
Questa è una cosa che ho imparato sul campo. Quando vado da un cliente e gli dico "devi metterti a norma col GDPR", nella maggior parte dei casi si chiude. Pensa subito alla burocrazia, ai costi, a un altro adempimento che non capisce.
Quello che funziona è partire dalla loro responsabilità diretta. Non dal regolamento europeo, ma dalla domanda concreta: "Se domani l'Agenzia delle Entrate ti chiede le email degli ultimi 5 anni, ce le hai? Le trovi? Sono in un formato che vale come prova?"
Questa domanda sposta tutto. Non stai più parlando di privacy in astratto. Stai parlando del rischio concreto di non poter dimostrare un pagamento, una consegna, un accordo.
L'altro approccio che funziona è quello della continuità operativa. "Se domani il tuo server email si rompe, quanto tempo ci vuoi mettere per tornare operativo? E le email degli ultimi 10 anni, le recuperi?" Quando il titolare capisce che il suo archivio email è il patrimonio informativo dell'azienda, la conversazione cambia.
La checklist operativa: cosa fare (concretamente)
Questa è la checklist che uso con i miei clienti. Non è teoria -- è quello che implemento operativamente, punto per punto.
Fase 1: Audit della situazione attuale (settimana 1)
- Inventario di tutte le caselle email aziendali attive
- Identificazione delle caselle di ex dipendenti ancora attive (e disattivazione immediata)
- Verifica del provider email attuale e delle sue policy di conservazione
- Stima del volume di email archiviato e della sua organizzazione
- Verifica dell'esistenza di un backup email funzionante
Fase 2: Definizione della policy aziendale (settimana 2)
- Classificazione delle email secondo le tre categorie (legale/fiscale, operativa, irrilevante)
- Definizione dei tempi di conservazione per ogni categoria
- Definizione del protocollo di offboarding email (cosa succede quando un dipendente esce)
- Nomina del responsabile interno della conservazione email
- Aggiornamento dell'informativa privacy per i dipendenti
Fase 3: Implementazione tecnica (settimane 3-4)
| Azione | Quando | Responsabile |
|---|---|---|
| Configurazione backup automatico email (giornaliero) | Subito | IT / Consulente |
| Attivazione sistema di archiviazione a norma per email fiscali | Entro 30 giorni | IT + Commercialista |
| Disattivazione account ex dipendenti | Entro 48 ore dalla cessazione | HR + IT |
| Attivazione risponditore automatico su account disattivati | Stesso giorno della disattivazione | IT |
| Cancellazione account ex dipendenti | Entro 3 mesi dalla cessazione | IT |
| Pulizia email irrilevanti (newsletter, spam) | Ogni 6 mesi | Ogni dipendente + IT |
| Estrazione e archiviazione email a rilevanza legale | In caso di contenzioso | Legale + IT |
| Verifica integrità backup email | Ogni trimestre | IT |
Fase 4: Mantenimento (continuo)
- Revisione annuale della policy di conservazione
- Formazione dipendenti sulle regole di gestione email
- Test di ripristino backup (almeno una volta l'anno)
- Aggiornamento della policy in caso di cambiamenti normativi
Cosa rischi concretamente se non ti adegui
Non mi piace fare terrorismo normativo, ma i numeri servono per capire il livello di rischio.
- Sanzioni GDPR: fino al 4% del fatturato annuo globale o 20 milioni di euro (quello che è più alto). Il Garante italiano ha emesso sanzioni significative anche verso PMI -- non solo verso i colossi del tech.
- Sanzioni fiscali: l'impossibilità di esibire la corrispondenza commerciale richiesta dall'Agenzia delle Entrate configura un'irregolarità nella tenuta delle scritture contabili. Le conseguenze vanno dalla sanzione pecuniaria all'accertamento induttivo.
- Danno in contenzioso: se non puoi produrre le email che provano un accordo, una consegna o un pagamento, perdi la causa. Questo è il rischio che i clienti capiscono meglio.
- Responsabilità del consulente IT: e qui parlo anche per me. Se gestisci l'infrastruttura email di un cliente e non lo informi degli obblighi di conservazione, hai una responsabilità professionale che, in ambito GDPR (art. 82), può tradursi in un obbligo di risarcimento del danno. Non è un rischio teorico -- è il motivo per cui io metto sempre per iscritto le raccomandazioni, anche quando il cliente decide di ignorarle.
Il fai da te può fare più danni di un dipendente infedele
Chiudo con una cosa che dico spesso ai clienti, e che è il motivo per cui ho scritto questo articolo.
La gestione delle email aziendali sembra semplice. "Sono email, che ci vuole?" Ci vuole più di quanto pensi. Ci vuole sapere che il Codice Civile dice 10 anni ma il GDPR dice "il meno possibile". Ci vuole sapere che l'account dell'ex dipendente va chiuso il giorno stesso, non "quando il tecnico ha tempo". Ci vuole sapere che il backup su una chiavetta USB nel cassetto del titolare non è conservazione a norma.
Il fai da te, in questo campo, può fare più danni di un dipendente infedele. Perché il dipendente infedele lo scopri. La non conformità normativa la scopri quando ti arriva la sanzione o perdi una causa.
Se dopo aver letto questo articolo ti sei reso conto che nella tua azienda la conservazione email è gestita "a sensazione", non sei solo. La maggior parte delle PMI italiane è nella stessa situazione. La differenza la fa chi decide di sistemarla prima che diventi un problema.
Se vuoi capire come mettere in sicurezza la tua infrastruttura email, ho scritto anche una guida su come configurare un'email aziendale con dominio personalizzato -- perché la conservazione parte da un'infrastruttura fatta bene.
E se ti interessa capire cosa succede quando un dipendente lascia l'azienda e la sua email diventa un problema, ne parlo in dettaglio nell'articolo dedicato alla gestione delle email degli ex dipendenti secondo il Garante Privacy.