PEC gratis: i dubbi persistono

Posted by F. Forestiero • mer 13 ottobre 2010 • Category: Opinioni

La vicenda PEC non sembra avere fine.

L’ultima segnalazione proviene dall’Associazione Cittadini di Internet che denuncia poca trasparenza del sito postacertificata.gov.it, il portale additato per la richiesta della Posta Elettronica Certificata gratuita.

Già in passato la “PEC gratuita” aveva alimentato dubbi e controversi dibattiti.

Anche il sottoscritto aveva realizzato un’inchiesta sull’argomento. Questa, apparsa su Office Magazine, sviscerava tutti gli aspetti tecnici e giuridici della Posta Certificata, e non mancavano delle interviste agli esperti.

Ve la ripropongo, sperando di fare cosa gradita.

Buona lettura.


PEC gratis: tutta la verità
La PEC è obbligatoria per le imprese, la Pubblica Amministrazione e i liberi professionisti (per i privati sarà gratuita). E' uno strumento capace di attribuire valore legale ad una mail, portandola al pari di una raccomandata con ricevuta di ritorno. Ma non è l'unica strada percorribile. Ci sono anche i Certificati Digitali S/MIME (utilizzati nella maggior parte degli stati UE) che possono essere tranquillamente adoperati e che sono perfettamente in linea con la normativa vigente.
Questo è uno dei punti che è emerso dalla nostra inchiesta. Ma c'è molto altro. Abbiamo scoperto anche che la Posta Elettronica Certificata E' uno standard tutto italiano, e che il sistema di funzionamento presenta diversi punti poco chiari. Ma procediamo per gradi...
Trovare una logica, tra leggi, commi e decreti, che cambiano giorno dopo giorno, non è stato facile. Ma siamo riusciti (almeno per il momento) a sciogliere una matassa che definire "ingarbugliata" è poco!
Nell'inchiesta sotto riportata, abbiamo dato spazio sia alla PEC cha ai Certificati Digitali: troverete gli aggiornamenti e le leggi di riferimento in materia, le offerte dei gestori, il procedimento per l'accredito a Certification Authority, gli aspetti tecnici e il parere di numerosi esperti. 






Tutto è partito da una frase.
"...analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità  del contenuto delle stesse, garantendo l'interoperabilità  con analoghi sistemi internazionali".
Era gennaio. La fine di gennaio di quest'anno. E sulla Gazzetta Ufficiale veniva pubblicato il decreto di conversione in legge del noto decreto "anticrisi". Quella frase si andava ad aggiungere al comma 6 dell'art. 16 della Legge n.2 del 28 gennaio.
La PEC era diventata obbligatoria. Ma non era più l'unica strada percorribile. Era nata un'alternativa: il sentiero che porta ai Certificati digitali... Ed infatti, in quel momento, in molti si sono detti: "Ma allora non devo per forza adottare la PEC! Posso anche scegliere di mantenere il mio indirizzo di posta e renderlo certificato con una tecnologia di certificazione?!".


Lì nacque il dilemma: meglio i Certificati digitali o la PEC?
Sono passati più di 6 mesi da allora. Si sono susseguiti dibattiti, convegni, discussioni e conferenze stampa. Gli esperti di diritto e tecnologia hanno espresso i loro pareri, e il Ministro Brunetta, come già  detto, ha annunciato che regalerà  la PEC a chiunque ne faccia richiesta. In molti, poi, hanno espresso le loro perplessità . Come l'associazione Cittadini di Internet, che già  ad Aprile del 2008 presentò una denuncia alla Commissione Europea
contro il sistema PEC, e che in questi giorni sta organizzando un convegno (che si terrà  a Roma nel mese di settembre) dal titolo "PEC O NON PEC: questo è il problema".
E oggi, ecco la novità : il 25 maggio è stato pubblicato sulla Gazzetta Ufficiale n.119 il D.P.C.M. con le "Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini". In pratica, il decreto che permetterà  a tutti di ricevere gratuitamente la Posta Elettronica Certificata. Questo, dà  attuazione ai commi 5 e 7 dell'articolo 16-bis del Dl sopra citato che recitano...

"5. (...) ai cittadini che ne fanno richiesta è attribuita una casella di posta elettronica certificata (...).


7. Con decreto del Presidente del Consiglio dei ministri (...) sono definite le modalità  di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini ai sensi del comma 5  (...).

Tutto risolto, quindi. Il Legislatore ha scelto la PEC. E invece no...
Il 26 maggio sono state approvate in via definitiva (e pubblicate sulla Gazzetta Ufficiale del 19 giugno 2009 n. 140, supplemento ordinario n. 95, legge n. 69) delle ulteriori modifiche apportate dal Senato.

Con il DL 1082-B sono stati ribaditi e modificati alcuni concetti basilari della legge 2 del 29 gennaio di quest'anno. In sostanza, è stata ribadita l'esistenza dell'alternativa alla PEC, ripetendo, nell'art.35, la modifica al precedente art.16/bis "a) al comma 5, primo periodo, sono aggiunte, in fine, le seguenti parole: o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità  del contenuto delle stesse, garantendo l'interoperabilità  con analoghi sistemi internazionali".
A questo punto, mi chiedo: se il Governo vuole regalare la PEC a tutti, e la resa obbligatoria per imprese, PA e liberi professionisti, allora perché ha introdotto
un'alternativa?

Per rispondere a questa domanda e per capire il perché del susseguirsi di tutte queste precisazioni legislative, bisogna fare un passo indietro ed analizzare nel dettaglio la PEC, i certificati digitali e il funzionamento di entrambi.

Cos'è la PEC?
La Posta Elettronica Certificata (conosciuta anche sotto l'acronimo di PEC) è stata introdotta per la prima volta nel 2005, con il decreto del Presidente della Repubblica n.68 del 11/02/2005 attestante il "regolamento delle disposizioni per l'utilizzo della posta elettronica certificata".
All'atto pratico, la PEC non è altro che un sistema di posta elettronica con valenza legale, dotato di caratteristiche di sicurezza e di certificazione della trasmissione dei dati. Come già  anticipato, questo servizio è stato concepito con l'idea di attribuire al contenuto di una e-mail lo stesso valore di una raccomandata con ricevuta di ritorno di tipo tradizionale. Si sentiva, infatti, la necessità  di certificare lo scambio dei documenti tramite il Web e l'idea di poter fruire di uno strumento che attestasse le operazioni fondamentali di invio e ricezione dei dati sembrava essere indispensabile.





Come funziona?
Come detto, l'utilizzo della PEC è del tutto simile a quello della posta elettronica tradizionale. Per inviare e ricevere messaggi, basta semplicemente ricorrere alla Web-mail messa a disposizione dal provider (fornitore del servizio) scelto e quindi accedervi attraverso il proprio browser oppure servirsi di un qualunque client. Ma come funziona all'atto pratico la PEC? Quando si spedisce un regolare messaggio da una casella di questo tipo, si riceve dal proprio provider di posta certificata una ricevuta di accettazione, firmata dal gestore stesso che attesta il momento della spedizione ed i destinatari, distinguendo quelli normali da quelli dotati di PEC (le informazioni sono in genere disponibili sia in formato testo che in xml). Tale ricevuta ha valore legale, data dalla legge stessa istitutiva della PEC, e conferma l'effettivo oppure il mancato invio della comunicazione. Il provider del mittente crea quindi un nuovo messaggio che prende in genere il nome di busta di trasporto. Questa, conterrà  non solo l'e-mail originale ma anche i principali dati della spedizione e gli eventuali allegati. La realizzazione di questo ulteriore "pacchetto" permette di controllare che non ci sia alcuna manomissione nel corso della spedizione. La busta viene quindi firmata dal gestore del mittente ed inviata (vedi schema sopra). Bisogna a questo punto fare una considerazione. Quando la trasmissione del messaggio di posta elettronica certificata avviene tramite più fornitori (ovvero i provider delle due parti sono differenti), il gestore del destinatario rilascia a quello del mittente una ulteriore ricevuta. Essa attesterà  l'avvenuta presa in carico della mail. Una volta ricevuto il "pacchetto", il provider del destinatario provvederà  dunque a verificare la completa integrità  dello stesso. Appena effettuata la consegna del messaggio, il gestore di posta del destinatario invierà  al mittente la ricevuta di consegna. Anche qui (come nel caso dell'invio) si tratta di una e-mail, firmata dal gestore stesso che specifica l'avvenuto recapito, data ed ora relative. In aggiunta essa conterrà  anche il messaggio vero e proprio trasmesso al destinatario e comprensivo di tutti gli eventuali allegati. Quindi la PEC, a differenza dei normali mezzi per l'invio di documenti ufficiali in formato cartaceo, fornisce al mittente una prova firmata dell'avvenuto recapito della "busta di trasporto" (con tanto di data e ora di consegna). E non solo. Qualora il mittente non abbia più la disponibilità  delle ricevute relative ai messaggi inviati (può facilmente capitare di cancellare una mail per errore), potrà  richiedere le informazioni di cui ha bisogno al provider. Il gestore di posta certificata è infatti obbligato (secondo quanto previsto dalla normativa vigente) a tenere traccia per trenta mesi delle operazioni di spedizione e ricezione avvenute per suo tramite, all'interno di appositi file di log (è importante sottolineare che con tale termine si identifica l'avvenuta trasmissione/ricezione del messaggio nonché l'intero contenuto dello stesso). Va infine aggiunto che, se dovesse presentarsi l'eventualità  per cui il messaggio di posta elettronica certificata non risulti consegnabile, il gestore dovrà  comunicare al mittente entro le ventiquattro ore successive all'invio la mancata consegna tramite un avviso (così come previsto dalla legge disposta in materia).

O due o niente...
La PEC è uno "standard" definito solamente in Italia ed affinché la procedura prevista vada a buon fine, è necessario che da ambo i lati (mittente e destinatario) si abbia una casella di Posta Elettronica Certificata. Se così non fosse, inviando un'e-mail da un account di posta "non PEC" ad un account PEC il sistema che riceve la mail inviata potrebbe generare un messaggio di errore, che prende generalmente il nome di anomalia di trasporto. Tale comportamento può però dipendere da una specifica configurazione software utilizzata dal provider e il mittente che utilizza un account "non PEC" è possibile non riceva alcun avviso. Nonostante ciò sarà  comunque possibile leggere o rispondere alla mail, ma essa non avrà  alcun valore giuridico, visto che viene a mancare il reciproco scambio fra sistemi PEC.

Gestori e CNIPA
Come abbiamo fino ad ora affermato, l'utenza che voglia registrare una casella PEC deve rivolgersi a degli appositi gestori. Ma chi approva e regolarizza le offerte di questi provider? L'organo preposto al controllo della posta elettronica certificata è il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA). E' infatti quest'ultimo che si occupa di controllare le richieste di iscrizione avanzate dai provider interessati ad offrire il servizio PEC e di redigerne un elenco. Questa lista che riassume tutti i gestori accreditati è pubblicamente consultabile sul sito internet del CNIPA all'indirizzo: http://www.cnipa.gov.it/site/it-IT/Attivit%C3%A0/Posta_Elettronica_Certificata__(PEC)/Elenco_pubblico_dei_gestori/.
L'elenco pubblico è sottoscritto con firma digitale dal Presidente del CNIPA e contiene, per ogni gestore, le seguenti indicazioni: denominazione sociale, sede legale, rappresentante legale, indirizzo internet, data di iscrizione all'elenco ed eventuale data di cessazione. L'utente può quindi scegliere tra i provider indicati quello che preferisce e richiedere, previa sottoscrizione di un contratto, una casella PEC. E' bene specificare che l'inserimento di un gestore nell'elenco delle società  accreditate avviene in seguito ad un'istruttoria che valuta la bontà  dei requisiti della parte interessata a commercializzare il servizio PEC. Nello specifico ogni gestore, nel rispetto della norma, deve sottoporsi ad una serie di test d'interoperabilità (dettagliatamente indicati sul sito ufficiale del CNIPA). La loro funzionalità  è diretta a valutare e garantire la correttezza tecnico/funzionale del servizio erogato da ciascun provider Internet.

Non ripudio e sicurezza
L'idea della PEC è quella dunque di andare a far fronte alle problematiche che la classica raccomandata A/R non è in grado di adempiere. Ne sono un esempio la certezza della consegna, il non ripudio della ricezione della busta di trasporto e la possibilità  di stabilire con precisione data ed ora di consegna. La PEC offre sicuramente migliori garanzie a riguardo, in quanto il suo funzionamento si basa su un sistema che va a coinvolgere direttamente i provider internet scelti dall'utenza (rispettivamente da mittente e destinatario). Ma cosa si intende effettivamente con l'espressione "non ripudio"? Questo termine individua una prova incontestabile di avvenuta spedizione e di avvenuta ricezione della busta di trasporto inviata tramite posta elettronica. Nel particolare possiamo distinguerlo in due differenti modalità : non ripudio dell'origine e quello della destinazione. Il primo è diretto ad accertare chi è il mittente di una spedizione. Il secondo, invece, prova che il messaggio inviato è arrivato ad uno specifico destinatario. àˆ importante a questo punto sottolineare che la posta elettronica certificata offre si la garanzia della consegna del messaggio, ma non della sua lettura da parte del destinatario. In altre parole, nulla assicura che il destinatario abbia letto o meno il messaggio PEC, ma si hanno comunque garanzie sull'avvenuto recapito (ricevuta). Altra domanda che viene lecito porsi è quali siano le procedure di sicurezza informatica che la Posta Elettronica Certificata utilizza. A questo proposito è bene andare per gradi. Innanzi tutto è giusto ricordare che la legge prevista in materia fa obbligo ai gestori di applicare le procedure atte a garantire la privacy dei dati personali e la sicurezza della trasmissione della busta di trasporto contenente messaggi e/o documenti. Proprio per questo la PEC si basa sull'utilizzo di protocolli di sicurezza quali: https, smtps, pop3s e imaps.
Grazie ad essi, il sistema riesce a fornire agli utenti un servizio sicuro (fra utilizzatori PEC ed il primo server e fra l'ultimo server e il destinatario), limitando anche il fastidioso problema dello spam (ma soltanto da caselle non PEC verso caselle PEC). In più, il DPR 68/2005 ha stabilito che qualora il gestore del mittente riceva messaggi con virus informatici è tenuto a non accettarli, informando tempestivamente l'assistito dell'impossibilità  di dar corso alla trasmissione. Stesso dicasi nel caso in cui il provider del destinatario percepisca posta contenente file infetti o dannosi. Egli è tenuto a non inoltrarli al destinatario, informando opportunamente il gestore del mittente,
affinché comunichi al suo cliente l'impossibilità  di inoltrare la mail.
Va comunque specificato che in tutto il percorso compiuto dalla busta (in altri server o altro), questa può comunque essere "attaccata" da virus. Non sono infatti previsti ancora appositi antivirus per la PEC.

La normativa
La Legge numero 2 del 28 gennaio del 2009, che converte in legge il Decreto Legge del 29 novembre 2008 n.185, noto ai più come il decreto
"anti-crisi", contiene importanti modifiche al "Regolamento per l'utilizzo della Posta Elettronica Certificata" (D.P.R. n.68/2005) ed al "Codice dell'Amministrazione Digitale" (D.Lgs.n.82/2005). In questo secondo caso, la normativa è diretta ad attuare la "dematerializzazione" documentale, ossia il processo attraverso cui è possibile sostituire un documento cartaceo originale con la sua copia digitale (firmata digitalmente). Tale opera è di fatto un'iniziativa estremamente positiva, che accelera i processi per l'abbandono del cartaceo, anche per quanto concerne l'invio di documentazione di particolare rilevanza. Ma il focus che canalizza l'attenzione sulla normativa è un altro. La modifica sostanziale è stata introdotta con il comma 6 (dell'articolo 16) destinato a ridurre i costi amministrativi a carico delle imprese. Esso recita cos
ì: "le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al Registro delle Imprese o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità  del contenuto delle stesse, garantendo l'interoperabilità  con analoghi sistemi internazionali". Sebbene la legge in vigore fosse diretta a sancire l'obbligo dell'adozione di una casella PEC da parte di Pubblica Amministrazione, professionisti ed imprese, con la modifica dell'articolo 16, questa imposizione è caduta.
La dicitura "o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità  del contenuto delle stesse, garantendo l'interoperabilità  con analoghi sistemi internazionali",consente a chiunque non desiderasse dotarsi di una casella PEC, di utilizzare una equivalente soluzione alternativa. Per completezza della normativa, aggiungiamo che il Decreto dispone per tutte le aziende esistenti l'obbligo di munirsi entro tre anni di un indirizzo di PEC o servizio equivalente. Mentre per i liberi professionisti la scadenza per la comunicazione ai rispettivi ordini o collegi è fissato ad un anno dall'entrata in vigore del decreto. Non resta fissato un termine per gli enti di Pubblica Amministrazione, per i quali unica indicazione riguarda l'obbligo di dotarsi di un indirizzo di posta certificata "per ogni registro di protocollo" dandone comunicazione al CNIPA.

L'alternativa: i certificati
S/MIME
Risulta chiaro come la modifica applicata alla normativa sembra delineare un'apertura verso l'utilizzo di altri strumenti diretti a certificare la posta elettronica e che focalizzino l'attenzione sul contenuto. L'alternativa plausibile risulta essere l'adozione dei certificati S/MIME, interoperabili con qualunque sistema ed ormai disponibili da anni anche in ambito internazionale. Vediamo più da vicino cosa sono e come funzionano. Con MIME (acronimo di Multipurpose Internet Mail Extensions) si indica uno standard per il formato di un messaggio di posta elettronica. La gran parte delle e-mail che circolano su Internet sono spedite via SMTP in questo formato. In altre parole, possiamo dire che le varie parti di un'e-mail, ed in particolare le indicazioni MIME inserite al suo interno, individuano informazioni quali: il formato con cui viene inviato il messaggio (solo testo o html), la presenza di allegati, il tipo di codifica utilizzata ecc. Con la sigla S/MIME (Secure Multipurpose Internet Mail Extensions) si va invece a
specificare un formato basato sullo standard internazionale X.509v3, che si inserisce all'interno delle specifiche MIME. Questo tipo di certificato (che generalmente ha valenza annuale - attualmente le CA lo rilasciano fino a 5 anni) consente di autenticare e verificare l'integrità  dei messaggi e ne garantisce il "non ripudio" mediante l'utilizzo della certificazione digitale. In più è anche in grado di proteggere il messaggio trasmesso sul Web mediante algoritmi di crittografia asimmetrica: una chiave (pubblica) viene inserita all'interno del certificato mentre un'altra, collegata ad essa, deve restare segretamente conservata con cura dall'utente (chiave privata).
Di conseguenza ciò che viene cifrato con la chiave pubblica, può essere decifrato esclusivamente con la corrispondente chiave privata (operazione che può ovviamente essere compiuta solo dal proprietario della chiave). In questo modo per comunicare in maniera sicura con un altro soggetto è sufficiente ottenere la sua chiave pubblica con cui criptare il messaggio (procedura questa, semplice e automatica: consiste nell'invio del primo messaggio firmato digitalmente al destinatario). àˆ semplice comprendere dunque come tutti i client di posta elettronica che supportano questo formato siano in grado di gestire certificati digitali ed è bene chiarire che con essi il proprio indirizzo e-mail rimarrà  quello originario al contrario della PEC (G-Mail, ad esempio, ha da tempo integrato gli S-MIME nella sua casella di posta gratuita). In raffronto quindi alla normativa vigente, si può tranquillamente asserire che il protocollo S/MIME, attraverso l'utilizzo di un certificato digitale, assolve interamente a quanto richiesto e previsto dal comma 6. Per dare completezza al panorama internazionale, è bene ricordare che l'UPU (Unione Postale Universale) da alcuni anni studia un sistema chiamato Elettronic PostMark (EPM).
Nella commissione di studio, oltre l'US mail, e anche presente Poste Italiane. L'idea è quella di porre tale sistema come standard internazionale.

Le Certification Authority
Ma chi emette questi certificati e garantisce l'identità  dell'utente?
La figura preposta ad assolvere tale compito è la Certification Authority, un ente pubblico o privato che è abilitato, previa verifica dei dati del soggetto richiedente, al rilascio di un certificato digitale. Il sistema adottato dal protocollo S/MIME sfrutta come abbiamo visto un metodo di crittografia a chiave asimmetrica. Le CA rappresentano una garanzia che si interpone tra la chiave pubblica ed il soggetto che si trova in possesso della relativa chiave privata. Si occupano di controllare infatti, l'identità  di un utente producendo, dopo le necessarie verifiche, un certificato che è firmato digitalmente dalla CA stessa (la quale gode della fiducia di ambo le parti coinvolte nella comunicazione). Grazie a questo modus operandi, è possibile stabilire immediatamente l'attendibilità  e la validità  di qualunque certificato digitale. Infatti, al suo interno esso contiene le seguenti informazioni: nome e dati del possessore (nel caso non si tratti di una persona fisica ma di un server Web sarà  indicato l'indirizzo internet e il nome della società  titolare del dominio), data di scadenza della chiave pubblica, nome e firma digitale della Certification Authority che ha emesso il certificato.

Luci ed ombre della Posta Elettronica Certificata
A questo punto abbiamo tutti gli elementi necessari per fare una degna analisi di quali siano gli aspetti positivi e negativi della PEC.
Innanzitutto il servizio di Posta Elettronica Certificata, mostra sicuramente numerosi vantaggi rispetto alla tradizionale raccomandata con ricevuta di ritorno. Primo fra tutti il risparmio. L'invio di e-mail certificate ha costi inferiori a quello delle raccomandate.
Solitamente, infatti, una volta pagato il canone annuale previsto dal gestore, l'utente può inviare un numero illimitato di messaggi (rimane per
ò il problema della capienza della casella di posta). In secondo luogo, come abbiamo visto, la PEC applica una certificazione alla busta di trasposto firmata dal gestore del servizio per garantire l'integrità  della stessa. Ed è caratterizzata dalle notifiche di avvenuta consegna (data ed ora) o di mancato reperimento del destinatario, dando ai messaggi scambiati fra caselle PEC validità legale. In più, l'obbligo imposto ai provider internet di applicare le
procedure atte a garantire la privacy dei dati personali e la sicurezza della trasmissione delle buste (assolta mediante protocolli di sicurezza) danno una ulteriore garanzia agli utenti. Se queste però sono le luci di questo sistema di certificazione, non possiamo esimerci dall'indicarne le ombre. La prima caratteristica che salta all'occhio è che la PEC è uno standard prettamente italiano e nessun altro paese del mondo attualmente ha deciso di implementarlo. Perché questo standard funzioni, inoltre, si deve avere da entrambi i lati un sistema PEC. Ci si chiede per tanto se la legge prevista in materia non ponga alcuni problemi su questo modello. La normativa, infatti, prevede la garanzia di interoperabilità  con analoghi sistemi internazionali. Ma se la PEC è uno standard tutto italiano, come fa a garantire compatibilità  ed interoperabilità ? Poniamo di voler utilizzare la nostra casella PEC per dare valenza legale ad una comunicazione con un ente di una Pubblica Amministrazione di una città  europea. In questo caso dovremmo chiedere alla PA estera di registrare un account dedicato presso i gestori italiani accreditati, altrimenti la nostra comunicazione non sancirebbe alcun valore legale.

La risposta alla nostra domanda...


Eccoci arrivati al dunque.

Ricordate la domanda posta all'inizio del nostro post?

Se il Governo vuole regalare la PEC a tutti, e la resa obbligatoria per imprese, PA e liberi professionisti, allora perché ha introdotto un'alternativa?

Bene, ecco la risposta...


I certificati S/MIME (come visto in precedenza) soddisfano in pieno quanto previsto dalla legge, consentendo di firmare digitalmente il documento e di assicurarne l'integrità  (oltre a proteggerlo criptandone il contenuto). Inoltre essendo uno standard condiviso nel mondo, questo protocollo garantisce compatibilità  ed interoperabilità  (dato che i certificati digitali sono compatibili ed interoperabili tra loro). Per di più sono attualmente presenti offerte di certificati S/MIME a titolo gratuito, che non prevedono quindi il pagamento di alcun canone annuo.


Ma detto ciò, è bene considerare anche altri aspetti "critici" che attanagliano la PEC, come ad esempio quello del non ripudio.
In realtà  la Posta Elettronica Certificata, con il suo sistema basato sullo scambio di ricevute fra provider, non garantisce mai che il destinatario abbia realmente letto la mail e né che il messaggio contenga realmente quanto stabilito tra le parti. Per fare un paragone con la raccomandata A/R, in caso di assenza del destinatario, viene lasciato un avviso di giacenza presso l'ufficio postale. Con la PEC, invece, quando il PC del ricevente è ad esempio spento o non collegato alla Rete, nessun avviso verrà  notificato poiché resterà  memorizzato sul server del provider. C'è anche un altro aspetto da considerare ed è legato alla privacy e alla riservatezza dei messaggi. L'obbligo che grava su ordini e collegi professionali di pubblicare in un elenco, consultabile liberamente online, i dati degli iscritti completi di indirizzo di posta elettronica, desta certamente un minimo di preoccupazione fra gli utenti. Inoltre, con la creazione di un gestore della PEC viene inserita una terza parte (provider) che ha nei propri server l'intero contenuto dei messaggi. Ci si chiede dunque se questo non consista in una presuntiva violazione della privacy. Basterà  infatti, un semplice ordine del giudice per intercettare l'intera corrispondenza (da e per il soggetto indagato e per tutta la durata dell'indagine); contrariamente alla criptazione del protocollo S/MIME e certificato digitale.


Possiamo affermare, quindi, che la Posta Elettronica Certificata è uno standard esclusivo italiano che ha si un buon fine, ovvero quello di portare alla dematerializzazione dei documenti e di garantire una valenza legale alle mail, ma che in realtà  non si allontana molto dall'ordinario concetto di casella di posta elettronica utilizzata con le dovute accortezze. Con molta probabilità  il Legislatore ha capito tutto questo, e grazie alla nuova normativa, ha dato agli utenti la possibilità  di scegliere il sistema di posta certificata che si desidera...


A supporto della nostra tesi, abbiamo intervistato degli esperti in materia. Ovviamente, dando la parola anche a chi spinge perché la PEC venga adottata, come Simone Braccagni, amministratore unico di Aruba PEC S.p.A. che ha, nella Posta Elettronica Certificata, il core business della sua impresa.Abbiamo sentito inoltre il parere di Guido Scorza, uno dei massimi esperti italiani in Diritto e Nuove Tecnologie e di Massimo Penco, Fondatore di GlobalTrust, del Gruppo Comodo, di CertifiedMail Inc e presidente dell'Associazione Cittadini di Internet.


Perché la PEC è solo uno "standard italiano"?
Lo abbiamo chiesto all'avv. Guido Scorza, uno dei massimi esperti italiani in Diritto e Nuove Tecnologie
.


Qual è il suo parere sulla PEC? E della sua adozione unicamente in Italia?
Faccio, francamente, fatica a credere che in un contesto economico e socio-politico globale o, almeno, europeo quale quello nel quale per taluni versi già  siamo e, per altri, auspicabilmente saremo presto il legislatore nazionale possa ancora pensare di imporre standard tecnici operanti entro i confini geo-politici del nostro piccolo Paese. La scelta di una supernormazione in
materia di standard di certificazione relativi alla trasmissione di comunicazioni elettroniche (la famosa PEC - posta elettronica certificata), pertanto, mi lascia perplesso sotto un profilo di politica legislativa perché ricorda, molto da vicino, la recente esperienza già  vissuta dal nostro Paese nei primi anni '90 quando pretese di essere il primo in Europa a darsi delle regole sull'uso e gli standard in materia di firme digitali. A distanza di pochi anni il legislatore europeo, come era giusto ed ovvio che fosse, ci richiamò all'ordine imponendoci di rivedere radicalmente la disciplina nazionale in modo da renderla conforme a quella frattanto varata in ambito europeo. Le firme elettroniche così come la posta elettronica qualificata sono strumenti innegabilmente utili e preziosi nell'Era dei bit ma a condizione di poter essere utilizzati senza preoccuparsi della nazionalità  o cittadinanza dell'impresa o del cittadino al quale dobbiamo o vogliamo indirizzare una comunicazione elettronica. In fondo l'Unione Europea dovrebbe servire proprio a questo: individuare degli "standard" comuni di coesistenza sociale, politica ed economica e, a pensarci bene, la stessa Internet non avrebbe mai visto la luce se non fosse stato individuato un protocollo di comunicazione come il TCP/IP.

Cosa accade se un privato invia una mail certificata ad un ente della PA che non ha ancora adottato la PEC?
Le nostre amministrazioni pubbliche avrebbero dovuto ormai da tempo dotarsi di un indirizzo di posta elettronica certificato in adempimento a quanto disposto dagli artt. 47 e 48 del codice dell'amministrazione digitale. Inutile negare che, molte pubbliche amministrazioni siano indietro rispetto a tale adempimento tanto che il legislatore con l'art. 16 del recente Decreto legge 29 novembre 2008 poi convertito con la legge 28 gennaio 2009, n. 2, si è visto costretto a prevedere che
"le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, qualora non abbiano provveduto ai sensi dell'articolo 47, comma 3, lettera a), del Codice dell'Amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, istituiscono una casella di posta certificata o analogo indirizzo di posta elettronica di cui al comma 6 per ciascun registro di protocollo e ne danno comunicazione al Centro nazionale per l'informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica". Mancava e manca tuttora, una sanzione per l'ipotesi di inadempimento a tale obbligo, sebbene, probabilmente, sia possibile configurare un autentico diritto del privato a comunicare con la pubblica amministrazione a mezzo posta elettronica certificata. Il sistema della posta elettronica certificata, ovviamente, è, per cos
ì dire, "autoreferenziale" con la conseguenza che è possibile attribuire ad una comunicazione le garanzie derivanti dall'utilizzo della PEC solo laddove mittente e destinatario utilizzino tale strumento con la conseguenza che il privato che voglia comunicare con l'Amministrazione
a mezzo PEC, ove quest'ultima non sia dotata del relativo indirizzo, non potrà  far altro che imbarcarsi in un giudizio amministrativo per rivendicare il proprio diritto ad utilizzare tale strumento.




Solo PEC? Macché, basta il certificato!

Massimo Penco, Fondatore di GlobalTrust, del Gruppo Comodo, di CertifiedMail Inc e presidente dell'Associazione Cittadini di Internet, ci spiega perché, a suo dire, è preferibile usare un certificato digitale al posto della PEC.


Secondo lei l'utilizzo della PEC ha reso più snelli i rapporti fra PA, aziende e cittadini?
Assolutamente no. L'unico vantaggio è per gli addetti ai lavori (notai, commercialisti ecc.) che sono oggi in grado
d'inviare atti alla PA senza presentarli a mano. E' un po' come il conto bancario on-line dove determinati servizi di sportello che la banca faceva vengono ora effettuati dai correntisti. Per fare quindi un parallelo, in questo caso è la PA che ha dei vantaggi. La creazione però di un sistema unico e non interoperabile e compatibile con altri aventi la stessa valenza richiede che tutti abbiano una casella PEC, sia la PA che i cittadini, creando così un sistema arroccato che non comunica con il resto dei sistemi e delle persone. Una specie di posta solo per lo stato. Al di la della pubblicità  politica c'è da capire cosa vogliano realmente fare tutte le pubbliche amministrazioni. Organi quali Camera dei deputati, Carabinieri ecc. hanno un indirizzo di normale posta elettronica ed accertarsene è molto facile: basta andare nel sito www.camera.it.
Per cui si può comunicare di già con la PA ai massimi livelli, persino Berlusconi ha la sua e-mail pubblica. Normalmente non vedo perch
é, usando i normalissimi client di posta ed automatizzando la conferma di ricezione, non si possa comunicare senza crearsi ulteriori mal di testa.
Che differenze ci sono fra il panorama italiano e quello internazionale?
Nessuno stato al mondo ha sentito il bisogno di creare un sistema simile alla PEC, che rimane uno "standard italiano". In un mondo fatto sempre più di comunicazione interattiva e di standard, creare un qualcosa che non interagisca con altri sistemi non è solo azzardato, ma suicida. Questo, ha spinto la nostra associazione a denunciare
all'Unione Europea lo stato Italiano. Una semplice e-mail in tutto il mondo costituisce prova. Del resto non è oggi molto simile ad un fax sempre più integrato nei PC e nella posta elettronica nel paese delle contraddizioni il fax costituisce prova ed è comunemente usato da tutti la normalissima posta elettronica con allegati o meno viene vista come un caso a parte, fortunatamente alcuni Magistrati hanno dato valenza di prova anche alla semplice e-mail.

Cosa ci può dire sui gestori italiani e su quelli internazionali?
Esaminando con attenzione la lista dei "gestori di servizi PEC" che dovrebbero avere la stessa valenza ed operatività  degli uffici postali, ed essere quindi accessibili da chiunque, si riscontrano delle anomalie. Tra i gestori vi sono infatti realtà  che per la loro natura, associazioni di categoria (es. notai, associazioni, comuni) non offrono servizi al pubblico tra questi: Amministrazione Provinciale di Nuoro, Ancitel , Cedacri, Consiglio Nazionale del Notariato, Sogei. Altri sono aziende facenti parte di gruppi bancari o di altra natura che non offrono anch'esse servizi al pubblico, particolare menzione meritano Infocert interamente posseduta dalle Camere di Commercio, che trae dalla sua posizione un sicuro vantaggio e Poste Italiane. Quindi il numero effettivo dei gestori indipendenti si riduce a 2. Inoltre, seppur previsti dalla normativa richiamata, non sono inseriti in elenco (ma neanche menzionati ) i gestori Europei definiti dall'Articolo 15 della richiamata legge - "Gestori di posta elettronica certificata stabiliti nei Paesi dell'Unione europea" rendendo impraticabile la possibilità  di rivolgersi a questi ultimi, ove erogassero un servizio similare!

A suo parere la PEC sarà  soggetta a nuovi cambiamenti?
Io sinceramente spero che venga abolita. Se si costringe ad usarla solo per i rapporti con la PA si ritorna alla vecchia domanda in carta bollata. Immaginate di dover ricevere notifiche di atti giudiziari o semplici contravvenzioni tramite PEC. Vedo un mare di contestazioni ed un enorme appesantimento della giustizia, costretta a decidere su temi come: avevo il PC spento è non ho ricevuto nulla! In più, non si capisce cosa accada nella circostanza in cui nella casella PEC si esaurisca lo spazio oppure si verifichi un cambiamento del provider...
Prima della PEC bisogna avere molte altre cose, tra cui un PC e un collegamento ad Internet. Inoltre, tutta la Pubblica Amministrazione deve avere la PEC ed usarla: traguardo molto difficile! Per ultimo direi che dovrebbero per prima cosa farla funzionare internamente alla PA, e far colloquiare tra loro i uffici e amministrazioni e periferiche che, guarda caso, pur avendo qualcuno la PEC preferiscono usare tra loro la normalissima posta elettronica. C'è da chiedersi perch
é... Non sarà  che è troppo complicata?



Perché scegliere la PEC e non il certificato digitale?
Lo abbiamo chiesto a Simone Braccagni, amministratore unico di Aruba PEC S.p.A.

Parliamo della PEC. Qual è l'offerta di Aruba?
La nostra offerta è articolata in modo da coprire tutte le possibili
esigenze: da quelle dei privati cittadini e professionisti fino a quelle di grandi aziende o fornitori di servizi. L'offerta base prevede caselle PEC singole su domini di Aruba quali pec.it, gigapec.it, mypec.eu, (es. mariorossi@pec.it). Il costo è di soli 6 euro/anno senza alcuna limitazione sull'invio/ricezione dei messaggi. Per coloro che invece desiderano un indirizzo completamente personalizzato offriamo l'attivazione delle caselle su domini certificati di nuova registrazione o già  di proprietà  del cliente (ad esempio mariorossi@pec.nomeazienda.it). Oltre al costo del dominio, il prezzo di ogni casella è sempre di 6 euro/anno. Tutte le caselle hanno 1 GB di spazio, antivirus, notifica, inoltro per i messaggi non certificati e possono essere utilizzate attraverso la nostra webmail oppure tramite i pi๠diffusi client di posta (Outolook, Outlook Express, Thunderbird,
ecc). A breve verrà  lanciata la casella "PRO" con spiccate caratteristiche professionali quali una maggiore quantità  di spazio, la notifica di ricezione messaggi via SMS, l'archiviazione automatica, la possibilità  di autenticarsi attraverso smartcard e la possibilità  di firmare digitalmente i messaggi anche tramite webmail. Per chi è alla ricerca di soluzioni custom offriamo la possibilità  di: configurare la dimensione delle caselle, personalizzare graficamente la webmail, personalizzare gli indirizzi dei servizi POP, SMTP e IMAP, etc. Infine, la nostra soluzione wholesale si rivolge a tutte le aziende ed i fornitori di servizi interessati a rivendere il servizio ai propri clienti.

Come fa Aruba ad offrire questo servizio a prezzi cosi contenuti?
Tutto il gruppo Aruba, ha da sempre offerto servizi secondo una logica "cost oriented" puntando ai ricavi generati dalle grandi quantità  e dalle economie di scala.
Inoltre, quando abbiamo iniziato ad erogare
questo servizio, la posta certificata muoveva i primi passi ed il mercato era tutt'altro che vivace. Il nostro approccio ci e' sembrato quindi particolarmente corretto, avendo infatti non solo l'obbiettivo
di raggiungere una determinata quantità  di clienti, ma anche quello di dare una "sferzata" al mercato ed invogliare cosଠimprese, enti e privati cittadini ad usare uno strumento innovativo che offre indiscutibili vantaggi sia di natura economica che pratica. La scelta del prezzo è quindi semplicemente derivata da un'attenta analisi dei costi. Inoltre, trattandosi di servizi molto affini al nostro core business rappresentato da domini, hosting e posta elettronica "tradizionale", è stato possibile ottimizzare ulteriormente i costi e gli investimenti grazie alla nostra esperienza, alle nostre infrastrutture, ma soprattutto grazie alle professionalità  presenti all'interno del gruppo.


Alla luce della nuova normativa, perché un'azienda, o un professionista dovrebbe scegliere una casella
di posta certificata, anziché utilizzare un certificato digitale?

Ritengo che su questo argomento sia stata fatta un po' di confusione: la PEC e la firma digitale sono strumenti nati con scopi ben diversi ed è fuorviante pensarli come antagonisti. La firma digitale è nata con l'obiettivo di trasferire il concetto di firma autografa nel mondo dell'informatica mentre la posta certificata è nata con lo scopo di sostituire la raccomandata A/R con un mezzo pi๠moderno ed efficiente. In realtà  i due strumenti verranno utilizzati sempre di pi๠in modo complementare anzichà© alternativo realizzando un perfetto equivalente di una "raccomandata A/R con firma autografa". Approfitto per dire che trovo dannosamente esterofile le affermazioni che contestano alla PEC il fatto di essere nata in Italia e quindi di essere destinata a morte certa. Sono viceversa convinto che l'Italia abbia prodotto qualcosa di buono ed innovativo e che vi siano dei buoni margini per l'adozione della PEC da parte degli altri membri della Comunità  Europea.


Altri approfondimenti


Le convenzioni per gli ordini professionali
L'attivazione di una casella PEC ha in genere un costo che va da un minimo di 5 euro ad una media che si attesta intorno alle 50 euro annue. E' bene precisare però, che per gli iscritti ad alcuni ordini, questi ultimi hanno previsto delle agevolazioni, fornendo il servizio di Posta Elettronica Certificata gratuitamente. Ad esempio l'Istituto Nazionale dei Tributaristi ha previsto per il 2009 una convenzione con cui si offre una casella di posta PEC (per il primo anno senza l'onere di alcun canone) a ciascun iscritto. Stessa cosa accade ai membri degli ordini dei Dottori Commercialisti, degli Ingegneri e degli Architetti di numerose province italiane, per i quali viene incentivato il passaggio alla PEC fornendo, per l'anno in corso, un indirizzo di Posta Elettronica Certificata gratuito. Per maggiori informazioni si consiglia comunque di richiedere indicazioni specifiche presso l'ordine di appartenenza.

Attenzione alla chiave privata!
Nei sistemi di posta certificata basata su certificati digitali, per crittografare i messaggi è necessario un ID Digitale, in genere richiesto ad un'autorità  di certificazione (Certification Authority). In esso sono inclusi una chiave privata, memorizzata nel computer dell'utente, ed un certificato, comprensivo di una chiave pubblica. La chiave privata è la parte fondamentale del sistema. Con essa l'utente firma digitalmente i messaggi inviati ai destinatari e decodifica i messaggi provenienti dai suoi contatti (i quali hanno provveduto a criptare la mail con la chiave pubblica). àˆ quindi intuitivo comprendere quanto sia importante la chiave privata ed è bene che sia custodita gelosamente e protetta da password. Se per qualche motivo questa venisse persa, il certificato diverrebbe inutilizzabile.

Firma Digitale e PEC: le differenze
Spesso si tende a fare confusione fra PEC e firma digitale, attribuendovi erroneamente lo stesso significato. In realtà  la prima rappresenta uno standard italiano di posta elettronica certificata utilizzato per inviare documenti tramite mail e sostituisce la tradizionale raccomandata A/R. Mentre per quanto concerne la firma digitale, questa rappresenta il mezzo elettronico per apporre la propria firma su un documento elettronico e/o ad una mail. In parole più semplici ossiamo dire che la firma digitale non è altro che il sostituto informatico della normale firma autografa. Mentre la PEC assicura che una busta arrivi a destinazione inalterata (busta di trasporto) e garantisce l'identità  del titolare della casella di PEC; con la firma digitale il mittente appone la propria sigla al contenuto del messaggio di osta elettronica e agli eventuali allegati ad ulteriore garanzia della propria identità . Risulta chiaro dunque come i due strumenti possano essere utilizzati insieme. Va comunque ricordato che per l'utilizzo della firma digitale è possibile dotarsi di una smart-card e di un apposito lettore (o di un token USB). Nella card è presente un microchip all'interno del quale sono contenute le informazioni personali dell'utente ed il certificato di sottoscrizione. Qualora li voglia portare sempre con se la propria "identità  digitale", si potrà  anche utilizzare un supporto di tipo usb o altri similari.


A cura di Francesco Forestiero e Andrea Ricco

| Top Exits (0)
Vote for articles fresher than 7 days!
Current karma: 2.67 of 5, 3 vote(s) 39085 hits

0 Trackbacks

  1. No Trackbacks

0 Comments

Display comments as (Linear | Threaded)
  1. No comments
The author does not allow comments to this entry