La PEC è obbligatoria per le imprese, la Pubblica Amministrazione e i liberi professionisti (per i privati sarà gratuita). È uno strumento capace di attribuire valore legale ad una mail, portandola al pari di una raccomandata con ricevuta di ritorno. Ma non è l'unica strada percorribile. Ci sono anche i Certificati Digitali S/MIME (utilizzati nella maggior parte degli stati UE) che possono essere tranquillamente adoperati e che sono perfettamente in linea con la normativa vigente.
Questo è uno dei punti che è emerso dalla nostra inchiesta. Ma c'è molto altro. Abbiamo scoperto anche che la Posta Elettronica Certificata è uno standard tutto italiano, e che il sistema di funzionamento presenta diversi punti poco chiari. Ma procediamo per gradi...
Trovare una logica, tra leggi, commi e decreti, che cambiano giorno dopo giorno, non è stato facile. Ma siamo riusciti (almeno per il momento) a sciogliere una matassa che definire "ingarbugliata" è poco!
Nell'inchiesta
sotto riportata, abbiamo dato spazio sia alla PEC cha ai Certificati
Digitali: troverete gli aggiornamenti e le leggi di riferimento in
materia, le offerte dei gestori, il procedimento per l'accredito a Certification Authority, gli aspetti tecnici e il parere di numerosi esperti.
Tutto è partito da una frase.
"...o
analogo indirizzo di posta elettronica basato su tecnologie che
certifichino data e ora dell'invio e della ricezione delle
comunicazioni e l'integrità del contenuto delle stesse, garantendo
l'interoperabilità con analoghi sistemi internazionali".
Era gennaio. La fine di gennaio di quest'anno. E sulla Gazzetta Ufficiale veniva pubblicato il decreto di conversione in legge del noto decreto "anticrisi". Quella frase si andava ad aggiungere al comma 6 dell'art. 16 della Legge n.2 del 28 gennaio.
La PEC era diventata obbligatoria. Ma non era più l'unica strada
percorribile. Era nata un'alternativa: il sentiero che porta ai Certificati digitali... Ed infatti, in quel momento, in molti si sono detti: "Ma
allora non devo per forza adottare la PEC! Posso anche scegliere di
mantenere il mio indirizzo di posta e renderlo certificato con una
tecnologia di certificazione?!".
Lì nacque il dilemma: meglio i Certificati digitali o la PEC?
Sono
passati più di 6 mesi da allora. Si sono susseguiti dibattiti,
convegni, discussioni e conferenze stampa. Gli esperti di diritto e
tecnologia hanno espresso i loro pareri, e il Ministro Brunetta, come
già detto, ha annunciato che regalerà la PEC a chiunque ne faccia
richiesta. In molti, poi, hanno espresso le loro perplessità. Come
l'associazione Cittadini di Internet, che già ad Aprile del 2008 presentò una denuncia alla Commissione Europea
contro il sistema PEC, e che in questi giorni sta organizzando un
convegno (che si terrà a Roma nel mese di settembre) dal titolo "PEC O NON PEC: questo è il problema".
E oggi, ecco la novità: il 25 maggio è stato pubblicato sulla Gazzetta Ufficiale n.119 il D.P.C.M. con le "Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini". In pratica, il decreto che permetterà a tutti di ricevere gratuitamente la Posta Elettronica Certificata. Questo, dà attuazione ai commi 5 e 7 dell'articolo 16-bis del Dl sopra citato che recitano...
"5. (...) ai cittadini che ne fanno richiesta è attribuita una casella di posta elettronica certificata (...).
7. Con decreto del Presidente del Consiglio dei ministri (...) sono definite le modalità di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini ai sensi del comma 5 (...).
Tutto risolto, quindi. Il Legislatore ha scelto la PEC.
E invece no...
Il 26 maggio sono state approvate in via definitiva (e pubblicate sulla Gazzetta Ufficiale del 19 giugno 2009 n. 140, supplemento ordinario n. 95, legge n. 69) delle ulteriori modifiche apportate dal Senato.
Con il DL 1082-B sono stati ribaditi e modificati alcuni concetti basilari della legge 2 del 29 gennaio di quest'anno. In sostanza, è stata ribadita l'esistenza dell'alternativa alla PEC, ripetendo, nell'art.35, la modifica al precedente art.16/bis "a) al comma 5, primo periodo, sono aggiunte, in fine, le seguenti parole: o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali".
A questo punto, mi chiedo: se
il Governo vuole regalare la PEC a tutti, e la resa obbligatoria per
imprese, PA e liberi professionisti, allora perché ha introdotto
un'alternativa?
Per rispondere a questa domanda e per capire il perché del susseguirsi di tutte queste precisazioni legislative, bisogna fare un passo indietro ed analizzare nel dettaglio la PEC, i certificati digitali e il funzionamento di entrambi.
Una premessa
Personalmente ho cominciato a studiare l'argomento qualche mese fa. Quando, la redazione di Office Magazine (di cui faccio parte) ha deciso di dedicare alla PEC uno speciale di ben 10 pagine: un dossier completo e dettagliato sul sistema di certificazione delle e-mail. Con la speranza di chiarire una volta per tutte ogni dubbio sulla PEC, nell'approfondimento sotto riportato, troverete anche una parte di quello speciale, curato dal sottoscritto in collaborazione con Andrea Ricco.
Buona lettura
La Posta Elettronica Certificata (conosciuta anche sotto l'acronimo di PEC) è stata introdotta per la prima volta nel 2005, con il decreto del Presidente della Repubblica n.68 del 11/02/2005 attestante il "regolamento delle disposizioni per l'utilizzo della posta elettronica certificata". All'atto pratico, la PEC non è altro che un sistema di posta elettronica con valenza legale, dotato di caratteristiche di sicurezza e di certificazione della trasmissione dei dati. Come già anticipato, questo servizio è stato concepito con l'idea di attribuire al contenuto di una e-mail lo stesso valore di una raccomandata con ricevuta di ritorno di tipo tradizionale. Si sentiva, infatti, la necessità di certificare lo scambio dei documenti tramite il Web e l'idea di poter fruire di uno strumento che attestasse le operazioni fondamentali di invio e ricezione dei dati sembrava essere indispensabile.
Come funziona?
Come
detto, l'utilizzo della PEC è del tutto simile a quello della posta
elettronica tradizionale. Per inviare e ricevere messaggi, basta
semplicemente ricorrere alla Web-mail messa a disposizione dal provider
(fornitore del servizio) scelto e quindi accedervi attraverso il
proprio browser oppure servirsi di un qualunque client. Ma come funziona all'atto pratico la PEC?
Quando si spedisce un regolare messaggio da una casella di questo tipo,
si riceve dal proprio provider di posta certificata una ricevuta di
accettazione, firmata dal gestore stesso che attesta il momento della
spedizione ed i destinatari, distinguendo quelli normali da quelli
dotati di PEC (le informazioni sono in genere disponibili sia in
formato testo che in xml). Tale ricevuta ha valore legale, data dalla
legge stessa istitutiva della PEC, e conferma l'effettivo oppure il
mancato invio della comunicazione. Il provider del mittente crea quindi
un nuovo messaggio che prende in genere il nome di busta di trasporto.
Questa, conterrà non solo l'e-mail originale ma anche i principali dati
della spedizione e gli eventuali allegati. La realizzazione di questo
ulteriore "pacchetto" permette di controllare che non ci sia alcuna
manomissione nel corso della spedizione. La busta viene quindi firmata
dal gestore del mittente ed inviata (vedi schema sopra). Bisogna a
questo punto fare una considerazione. Quando la trasmissione del
messaggio di posta elettronica certificata avviene tramite più
fornitori (ovvero i provider delle due parti sono differenti), il
gestore del destinatario rilascia a quello del mittente una ulteriore
ricevuta. Essa attesterà l'avvenuta presa in carico della mail. Una
volta ricevuto il "pacchetto", il provider del destinatario provvederà
dunque a verificare la completa integrità dello stesso. Appena
effettuata la consegna del messaggio, il gestore di posta del
destinatario invierà al mittente la ricevuta di consegna. Anche qui
(come nel caso dell'invio) si tratta di una e-mail, firmata dal gestore
stesso che specifica l'avvenuto recapito, data ed ora relative. In
aggiunta essa conterrà anche il messaggio vero e proprio trasmesso al
destinatario e comprensivo di tutti gli eventuali allegati. Quindi la
PEC, a differenza dei normali mezzi per l'invio di documenti ufficiali
in formato cartaceo, fornisce al mittente una prova firmata
dell'avvenuto recapito della "busta di trasporto" (con tanto di data e
ora di consegna). E non solo. Qualora il mittente non abbia più la
disponibilità delle ricevute relative ai messaggi inviati (può
facilmente capitare di cancellare una mail per errore), potrà
richiedere le informazioni di cui ha bisogno al provider. Il gestore di
posta certificata è infatti obbligato (secondo quanto previsto dalla
normativa vigente) a tenere traccia per trenta mesi delle operazioni di
spedizione e ricezione avvenute per suo tramite, all'interno di
appositi file di log (è importante sottolineare che con tale termine si
identifica l'avvenuta trasmissione/ricezione del messaggio nonché
l'intero contenuto dello stesso). Va infine aggiunto che, se dovesse
presentarsi l'eventualità per cui il messaggio di posta elettronica
certificata non risulti consegnabile, il gestore dovrà comunicare al
mittente entro le ventiquattro ore successive all'invio la mancata
consegna tramite un avviso (così come previsto dalla legge disposta in
materia).
O due o niente...
La PEC è uno "standard"
definito solamente in Italia ed affinché la procedura prevista vada a
buon fine, è necessario che da ambo i lati (mittente e destinatario) si
abbia una casella di Posta Elettronica Certificata. Se così non fosse,
inviando un'e-mail da un account di posta "non PEC" ad un account PEC
il sistema che riceve la mail inviata potrebbe generare un messaggio di
errore, che prende generalmente il nome di anomalia di trasporto. Tale
comportamento può però dipendere da una specifica configurazione
software utilizzata dal provider e il mittente che utilizza un account
"non PEC" è possibile non riceva alcun avviso. Nonostante ciò sarà
comunque possibile leggere o rispondere alla mail, ma essa non avrà
alcun valore giuridico, visto che viene a mancare il reciproco scambio
fra sistemi PEC.
Gestori e CNIPA
Come abbiamo fino ad ora affermato, l'utenza che voglia registrare una casella PEC deve rivolgersi a degli appositi gestori. Ma chi approva e regolarizza le offerte di questi provider? L'organo
preposto al controllo della posta elettronica certificata è il Centro
Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA). È
infatti quest'ultimo che si occupa di controllare le richieste di
iscrizione avanzate dai provider interessati ad offrire il servizio PEC
e di redigerne un elenco. Questa lista che riassume tutti i gestori
accreditati è pubblicamente consultabile sul sito internet del CNIPA
all'indirizzo: http://www.cnipa.gov.it/site/it-IT/Attivit%C3%A0/Posta_Elettronica_Certificata__(PEC)/Elenco_pubblico_dei_gestori/.
L'elenco pubblico è sottoscritto con firma digitale dal Presidente del
CNIPA e contiene, per ogni gestore, le seguenti indicazioni:
denominazione sociale, sede legale, rappresentante legale, indirizzo
internet, data di iscrizione all'elenco ed eventuale data di
cessazione. L'utente può quindi scegliere tra i provider indicati
quello che preferisce e richiedere, previa sottoscrizione di un
contratto, una casella PEC. È bene specificare che l'inserimento di un
gestore nell'elenco delle società accreditate avviene in seguito ad
un'istruttoria che valuta la bontà dei requisiti della parte
interessata a commercializzare il servizio PEC. Nello specifico ogni
gestore, nel rispetto della norma, deve sottoporsi ad una serie di test
d'interoperabilità (dettagliatamente indicati sul sito ufficiale del
CNIPA). La loro funzionalità è diretta a valutare e garantire la
correttezza tecnico/funzionale del servizio erogato da ciascun provider
Internet.
Non ripudio e sicurezza
L'idea della PEC è
quella dunque di andare a far fronte alle problematiche che la classica
raccomandata A/R non è in grado di adempiere. Ne sono un esempio la
certezza della consegna, il non ripudio della ricezione della busta di
trasporto e la possibilità di stabilire con precisione data ed ora di
consegna. La PEC offre sicuramente migliori garanzie a riguardo, in
quanto il suo funzionamento si basa su un sistema che va a coinvolgere
direttamente i provider internet scelti dall'utenza (rispettivamente da
mittente e destinatario). Ma cosa si intende effettivamente con l'espressione "non ripudio"?
Questo termine individua una prova incontestabile di avvenuta
spedizione e di avvenuta ricezione della busta di trasporto inviata
tramite posta elettronica. Nel particolare possiamo distinguerlo in due
differenti modalità: non ripudio dell'origine e quello della
destinazione. Il primo è diretto ad accertare chi è il mittente di una
spedizione. Il secondo, invece, prova che il messaggio inviato è
arrivato ad uno specifico destinatario. È importante a questo punto
sottolineare che la posta elettronica certificata offre si la garanzia
della consegna del messaggio, ma non della sua lettura da parte del
destinatario. In altre parole, nulla assicura che il destinatario abbia
letto o meno il messaggio PEC, ma si hanno comunque garanzie
sull'avvenuto recapito (ricevuta). Altra domanda che viene lecito porsi
è quali siano le procedure di sicurezza informatica che la Posta
Elettronica Certificata utilizza. A questo proposito è bene andare per
gradi. Innanzi tutto è giusto ricordare che la legge prevista in
materia fa obbligo ai gestori di applicare le procedure atte a
garantire la privacy dei dati personali e la sicurezza della
trasmissione della busta di trasporto contenente messaggi e/o
documenti. Proprio per questo la PEC si basa sull'utilizzo di protocolli di sicurezza quali: https, smtps, pop3s e imaps.
Grazie ad essi, il sistema riesce a fornire agli utenti un servizio
sicuro (fra utilizzatori PEC ed il primo server e fra l'ultimo server e
il destinatario), limitando anche il fastidioso problema dello spam (ma
soltanto da caselle non PEC verso caselle PEC). In più, il DPR 68/2005
ha stabilito che qualora il gestore del mittente riceva messaggi con
virus informatici è tenuto a non accettarli, informando tempestivamente
l'assistito dell'impossibilità di dar corso alla trasmissione. Stesso
dicasi nel caso in cui il provider del destinatario percepisca posta
contenente file infetti o dannosi. Egli è tenuto a non inoltrarli al
destinatario, informando opportunamente il gestore del mittente,
affinché comunichi al suo cliente l'impossibilità di inoltrare la mail.
Va comunque specificato che in tutto il percorso compiuto dalla busta
(in altri server o altro), questa può comunque essere "attaccata" da
virus. Non sono infatti previsti ancora appositi antivirus per la PEC.
La normativa
La
Legge numero 2 del 28 gennaio del 2009, che converte in legge il
Decreto Legge del 29 novembre 2008 n.185, noto ai più come il decreto
"anti-crisi", contiene importanti modifiche al "Regolamento per l'utilizzo della Posta Elettronica Certificata"
(D.P.R. n.68/2005) ed al "Codice dell'Amministrazione Digitale" (D.Lgs.
n.82/2005). In questo secondo caso, la normativa è diretta ad attuare
la "dematerializzazione" documentale, ossia il processo attraverso cui
è possibile sostituire un documento cartaceo originale con la sua copia
digitale (firmata digitalmente). Tale opera è di fatto un'iniziativa
estremamente positiva, che accelera i processi per l'abbandono del
cartaceo, anche per quanto concerne l'invio di documentazione di
particolare rilevanza. Ma il focus che canalizza l'attenzione sulla
normativa è un altro. La modifica sostanziale è stata introdotta con il
comma 6 (dell'articolo 16) destinato a ridurre i costi amministrativi a
carico delle imprese. Esso recita così: "le imprese costituite in
forma societaria sono tenute a indicare il proprio indirizzo di posta
elettronica certificata nella domanda di iscrizione al Registro delle
Imprese o analogo indirizzo di posta elettronica basato su tecnologie
che certifichino data e ora dell'invio e della ricezione delle
comunicazioni e l'integrità del contenuto delle stesse, garantendo
l'interoperabilità con analoghi sistemi internazionali". Sebbene la
legge in vigore fosse diretta a sancire l'obbligo dell'adozione di una
casella PEC da parte di Pubblica Amministrazione, professionisti ed
imprese, con la modifica dell'articolo 16, questa imposizione è caduta.
La dicitura "o analogo indirizzo di posta elettronica basato su
tecnologie che certifichino data e ora dell'invio e della ricezione
delle comunicazioni e l'integrità del contenuto delle stesse,
garantendo l'interoperabilità con analoghi sistemi internazionali",
consente a chiunque non desiderasse dotarsi di una casella PEC, di
utilizzare una equivalente soluzione alternativa. Per completezza della
normativa, aggiungiamo che il Decreto dispone per tutte le aziende
esistenti l'obbligo di munirsi entro tre anni di un indirizzo di PEC o
servizio equivalente. Mentre per i liberi professionisti la scadenza
per la comunicazione ai rispettivi ordini o collegi è fissato ad un
anno dall'entrata in vigore del decreto. Non resta fissato un termine
per gli enti di Pubblica Amministrazione, per i quali unica indicazione
riguarda l'obbligo di dotarsi di un indirizzo di posta certificata "per
ogni registro di protocollo" dandone comunicazione al CNIPA.
L'alternativa: i certificati S/MIME
Risulta
chiaro come la modifica applicata alla normativa sembra delineare
un'apertura verso l'utilizzo di altri strumenti diretti a certificare
la posta elettronica e che focalizzino l'attenzione sul contenuto. L'alternativa
plausibile risulta essere l'adozione dei certificati S/MIME,
interoperabili con qualunque sistema ed ormai disponibili da anni anche
in ambito internazionale. Vediamo più da vicino cosa sono e come
funzionano. Con MIME (acronimo di Multipurpose Internet Mail Extensions
) si indica uno standard per il formato di un messaggio di posta
elettronica. La gran parte delle e-mail che circolano su Internet sono
spedite via SMTP in questo formato. In altre parole, possiamo dire che
le varie parti di un'e-mail, ed in particolare le indicazioni MIME
inserite al suo interno, individuano informazioni quali: il formato con
cui viene inviato il messaggio (solo testo o html), la presenza di
allegati, il tipo di codifica utilizzata ecc. Con la sigla S/MIME
(Secure Multipurpose Internet Mail Extensions) si va invece a
specificare un formato basato sullo standard internazionale X.509v3,
che si inserisce all'interno delle specifiche MIME. Questo tipo di
certificato (che generalmente ha valenza annuale - attualmente le CA lo
rilasciano fino a 5 anni) consente di autenticare e verificare
l'integrità dei messaggi e ne garantisce il "non ripudio" mediante
l'utilizzo della certificazione digitale. In più è anche in grado di
proteggere il messaggio trasmesso sul Web mediante algoritmi di
crittografia asimmetrica: una chiave (pubblica) viene inserita
all'interno del certificato mentre un'altra, collegata ad essa, deve
restare segretamente conservata con cura dall'utente (chiave privata).
Di conseguenza ciò che viene cifrato con la chiave pubblica, può essere
decifrato esclusivamente con la corrispondente chiave privata
(operazione che può ovviamente essere compiuta solo dal proprietario
della chiave). In questo modo per comunicare in maniera sicura con un
altro soggetto è sufficiente ottenere la sua chiave pubblica con cui
criptare il messaggio (procedura questa, semplice e automatica:
consiste nell'invio del primo messaggio firmato digitalmente al
destinatario). È semplice comprendere dunque come tutti i client di
posta elettronica che supportano questo formato siano in grado di
gestire certificati digitali ed è bene chiarire che con essi il proprio
indirizzo e-mail rimarrà quello originario al contrario della PEC
(G-Mail, ad esempio, ha da tempo integrato gli S-MIME nella sua casella
di posta gratuita). In raffronto quindi alla normativa vigente, si può
tranquillamente asserire che il protocollo S/MIME, attraverso
l'utilizzo di un certificato digitale, assolve interamente a quanto
richiesto e previsto dal comma 6. Per dare completezza al panorama
internazionale, è bene ricordare che l'UPU (Unione Postale Universale)
da alcuni anni studia un sistema chiamato Elettronic PostMark (EPM).
Nella commissione di studio, oltre l'US mail, e anche presente Poste
Italiane. L'idea è quella di porre tale sistema come standard
internazionale.
Le Certification Authority
Ma chi emette questi certificati e garantisce l'identità dell'utente?
La figura preposta ad assolvere tale compito è la Certification
Authority, un ente pubblico o privato che è abilitato, previa verifica
dei dati del soggetto richiedente, al rilascio di un certificato
digitale. Il sistema adottato dal protocollo S/MIME sfrutta come
abbiamo visto un metodo di crittografia a chiave asimmetrica. Le CA
rappresentano una garanzia che si interpone tra la chiave pubblica ed
il soggetto che si trova in possesso della relativa chiave privata. Si
occupano di controllare infatti, l'identità di un utente producendo,
dopo le necessarie verifiche, un certificato che è firmato digitalmente
dalla CA stessa (la quale gode della fiducia di ambo le parti coinvolte
nella comunicazione). Grazie a questo modus operandi, è possibile
stabilire immediatamente l'attendibilità e la validità di qualunque
certificato digitale. Infatti, al suo interno esso contiene le seguenti
informazioni: nome e dati del possessore (nel caso non si tratti di una
persona fisica ma di un server Web sarà indicato l'indirizzo internet e
il nome della società titolare del dominio), data di scadenza della
chiave pubblica, nome e firma digitale della Certification Authority
che ha emesso il certificato.
Luci ed ombre della Posta Elettronica Certificata
A
questo punto abbiamo tutti gli elementi necessari per fare una degna
analisi di quali siano gli aspetti positivi e negativi della PEC.
Innanzitutto il servizio di Posta Elettronica Certificata, mostra
sicuramente numerosi vantaggi rispetto alla tradizionale raccomandata
con ricevuta di ritorno. Primo fra tutti il risparmio. L'invio
di e-mail certificate ha costi inferiori a quello delle raccomandate.
Solitamente, infatti, una volta pagato il canone annuale previsto dal
gestore, l'utente può inviare un numero illimitato di messaggi (rimane
però il problema della capienza della casella di posta). In secondo
luogo, come abbiamo visto, la PEC applica una certificazione alla
busta di trasposto firmata dal gestore del servizio per garantire
l'integrità della stessa. Ed è caratterizzata dalle notifiche di
avvenuta consegna (data ed ora) o di mancato reperimento del
destinatario, dando ai messaggi scambiati fra caselle PEC validità
legale. In più, l'obbligo imposto ai provider internet di applicare le
procedure atte a garantire la privacy dei dati personali e la sicurezza
della trasmissione delle buste (assolta mediante protocolli di
sicurezza) danno una ulteriore garanzia agli utenti. Se queste però
sono le luci di questo sistema di certificazione, non possiamo esimerci
dall'indicarne le ombre. La prima caratteristica che salta all'occhio è
che la PEC è uno standard prettamente italiano e nessun altro
paese del mondo attualmente ha deciso di implementarlo. Perché questo
standard funzioni, inoltre, si deve avere da entrambi i lati un sistema
PEC. Ci si chiede per tanto se la legge prevista in materia non ponga
alcuni problemi su questo modello. La normativa, infatti, prevede la
garanzia di interoperabilità con analoghi sistemi internazionali. Ma se
la PEC è uno standard tutto italiano, come fa a garantire compatibilità
ed interoperabilità? Poniamo di voler utilizzare la nostra casella PEC
per dare valenza legale ad una comunicazione con un ente di una
Pubblica Amministrazione di una città europea. In questo caso dovremmo
chiedere alla PA estera di registrare un account dedicato presso i
gestori italiani accreditati, altrimenti la nostra comunicazione non
sancirebbe alcun valore legale.
La risposta alla nostra domanda...
Eccoci arrivati al dunque.
Ricordate la domanda posta all'inizio del nostro post?
Se il Governo vuole regalare la PEC a tutti, e la resa
obbligatoria per imprese, PA e liberi professionisti, allora perché ha
introdotto un'alternativa?
Bene, ecco la risposta...
I certificati S/MIME
(come visto in precedenza) soddisfano in pieno quanto previsto dalla
legge, consentendo di firmare digitalmente il documento e di
assicurarne l'integrità (oltre a proteggerlo criptandone il contenuto).
Inoltre essendo uno standard condiviso nel mondo, questo protocollo
garantisce compatibilità ed interoperabilità (dato che i certificati
digitali sono compatibili ed interoperabili tra loro). Per di più sono
attualmente presenti offerte di certificati S/MIME a titolo gratuito,
che non prevedono quindi il pagamento di alcun canone annuo.
Ma detto ciò, è bene considerare anche altri aspetti "critici" che attanagliano la PEC, come ad esempio quello del non ripudio.
In realtà la Posta Elettronica Certificata, con il suo sistema basato
sullo scambio di ricevute fra provider, non garantisce mai che il
destinatario abbia realmente letto la mail e né che il messaggio
contenga realmente quanto stabilito tra le parti. Per fare un paragone
con la raccomandata A/R, in caso di assenza del destinatario, viene
lasciato un avviso di giacenza presso l'ufficio postale. Con la PEC,
invece, quando il PC del ricevente è ad esempio spento o non collegato
alla Rete, nessun avviso verrà notificato poiché resterà memorizzato
sul server del provider. C'è anche un altro aspetto da considerare ed è
legato alla privacy e alla riservatezza dei messaggi. L'obbligo che
grava su ordini e collegi professionali di pubblicare in un elenco,
consultabile liberamente online, i dati degli iscritti completi di
indirizzo di posta elettronica, desta certamente un minimo di
preoccupazione fra gli utenti. Inoltre, con la creazione di un gestore
della PEC viene inserita una terza parte (provider) che ha nei propri
server l'intero contenuto dei messaggi. Ci si chiede dunque se questo
non consista in una presuntiva violazione della privacy. Basterà
infatti, un semplice ordine del giudice per intercettare l'intera
corrispondenza (da e per il soggetto indagato e per tutta la durata
dell'indagine); contrariamente alla criptazione del protocollo S/MIME e
certificato digitale.
Possiamo affermare, quindi, che la Posta Elettronica Certificata è uno standard esclusivo italiano
che ha si un buon fine, ovvero quello di portare alla
dematerializzazione dei documenti e di garantire una valenza legale
alle mail, ma che in realtà non si allontana molto dall'ordinario
concetto di casella di posta elettronica utilizzata con le dovute
accortezze. Con molta probabilità il Legislatore ha capito tutto
questo, e grazie alla nuova normativa, ha dato agli utenti la
possibilità di scegliere il sistema di posta certificata che si
desidera...
Altri approfondimenti
Le convenzioni per gli ordini professionali
L'attivazione
di una casella PEC ha in genere un costo che va da un minimo di 5 euro
ad una media che si attesta intorno alle 50 euro annue. È bene
precisare però, che per gli iscritti ad alcuni ordini, questi ultimi
hanno previsto delle agevolazioni, fornendo il servizio di Posta
Elettronica Certificata gratuitamente. Ad esempio l'Istituto Nazionale
dei Tributaristi ha previsto per il 2009 una convenzione con cui si
offre una casella di posta PEC (per il primo anno senza l'onere di
alcun canone) a ciascun iscritto. Stessa cosa accade ai membri degli
ordini dei Dottori Commercialisti, degli Ingegneri e degli Architetti
di numerose province italiane, per i quali viene incentivato il
passaggio alla PEC fornendo, per l'anno in corso, un indirizzo di Posta
Elettronica Certificata gratuito. Per maggiori informazioni si
consiglia comunque di richiedere indicazioni specifiche presso l'ordine
di appartenenza.
Attenzione alla chiave privata!
Nei
sistemi di posta certificata basata su certificati digitali, per
crittografare i messaggi è necessario un ID Digitale, in genere
richiesto ad un'autorità di certificazione (Certification Authority).
In esso sono inclusi una chiave privata, memorizzata nel computer
dell'utente, ed un certificato, comprensivo di una chiave pubblica. La
chiave privata è la parte fondamentale del sistema. Con essa l'utente
firma digitalmente i messaggi inviati ai destinatari e decodifica i
messaggi provenienti dai suoi contatti (i quali hanno provveduto a
criptare la mail con la chiave pubblica). È quindi intuitivo
comprendere quanto sia importante la chiave privata ed è bene che sia
custodita gelosamente e protetta da password. Se per qualche motivo
questa venisse persa, il certificato diverrebbe inutilizzabile.
Firma Digitale e PEC: le differenze
Spesso
si tende a fare confusione fra PEC e firma digitale, attribuendovi
erroneamente lo stesso significato. In realtà la prima rappresenta uno
standard italiano di posta elettronica certificata utilizzato per
inviare documenti tramite mail e sostituisce la tradizionale
raccomandata A/R. Mentre per quanto concerne la firma digitale, questa
rappresenta il mezzo elettronico per apporre la propria firma su un
documento elettronico e/o ad una mail. In parole più semplici possiamo
dire che la firma digitale non è altro che il sostituto informatico
della normale firma autografa. Mentre la PEC assicura che una busta
arrivi a destinazione inalterata (busta di trasporto) e garantisce
l'identità del titolare della casella di PEC; con la firma digitale il
mittente appone la propria sigla al contenuto del messaggio di posta
elettronica e agli eventuali allegati ad ulteriore garanzia della
propria identità. Risulta chiaro dunque come i due strumenti possano
essere utilizzati insieme. Va comunque ricordato che per l'utilizzo
della firma digitale è possibile dotarsi di una smart-card e di un
apposito lettore (o di un token USB). Nella card è presente un
microchip all'interno del quale sono contenute le informazioni
personali dell'utente ed il certificato di sottoscrizione. Qualora si
voglia portare sempre con se la propria "identità digitale", si potrà
anche utilizzare un supporto di tipo usb o altri similari.
Il parere degli esperti
A
supporto della nostra tesi, abbiamo intervistato degli esperti in
materia. Ovviamente, dando la parola anche a chi spinge perché la PEC
venga adottata, come Simone Braccagni, amministratore unico di Aruba PEC S.p.A. che ha, nella Posta Elettronica Certificata, il core business della sua impresa.
Abbiamo sentito inoltre il parere di Guido Scorza, uno dei massimi esperti italiani in Diritto e Nuove Tecnologie e di Massimo Penco, Fondatore di GlobalTrust, del Gruppo Comodo, di CertifiedMail Inc e presidente dell'Associazione Cittadini di Internet.
Perché la PEC è solo uno "standard italiano"?
Lo abbiamo chiesto all'avv. Guido Scorza, uno dei massimi esperti italiani in Diritto e Nuove Tecnologie. Qual è il suo parere sulla PEC?
E della sua adozione unicamente in Italia?
Faccio, francamente, fatica a credere che in un contesto economico e
socio-politico globale o, almeno, europeo quale quello nel quale per
taluni versi già siamo e, per altri, auspicabilmente saremo presto il
legislatore nazionale possa ancora pensare di imporre standard tecnici
operanti entro i confini geo-politici del nostro piccolo Paese. La
scelta di una supernormazione in
materia di standard di certificazione relativi alla trasmissione di
comunicazioni elettroniche (la famosa PEC - posta elettronica
certificata), pertanto, mi lascia perplesso sotto un profilo di
politica legislativa perché ricorda, molto da vicino, la recente
esperienza già vissuta dal nostro Paese nei primi anni '90 quando
pretese di essere il primo in Europa a darsi delle regole sull'uso e
gli standard in materia di firme digitali. A distanza di pochi anni il
legislatore europeo, come era giusto ed ovvio che fosse, ci richiamò
all'ordine imponendoci di rivedere radicalmente la disciplina nazionale
in modo da renderla conforme a quella frattanto varata in ambito
europeo. Le firme elettroniche così come la posta elettronica
qualificata sono strumenti innegabilmente utili e preziosi nell'Era dei
bit ma a condizione di poter essere utilizzati senza preoccuparsi della
nazionalità o cittadinanza dell'impresa o del cittadino al quale
dobbiamo o vogliamo indirizzare una comunicazione elettronica. In fondo
l'Unione Europea dovrebbe servire proprio a questo: individuare degli
"standard" comuni di coesistenza sociale, politica ed economica e, a
pensarci bene, la stessa Internet non avrebbe mai visto la luce se non
fosse stato individuato un protocollo di comunicazione come il TCP/IP.
Cosa accade se un privato invia una mail certificata ad un ente
della PA che non ha ancora adottato la PEC?
Le nostre amministrazioni pubbliche avrebbero dovuto ormai da tempo
dotarsi di un indirizzo di posta elettronica certificato in adempimento
a quanto disposto dagli artt. 47 e 48 del codice dell'amministrazione
digitale. Inutile negare che, molte pubbliche amministrazioni siano
indietro rispetto a tale adempimento tanto che il legislatore con
l'art. 16 del recente Decreto legge 29 novembre 2008 poi convertito con
la legge 28 gennaio 2009, n. 2, si è visto costretto a prevedere che
"le amministrazioni pubbliche di cui all'articolo 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni,
qualora non abbiano provveduto ai sensi dell'articolo 47, comma 3,
lettera a), del Codice dell'Amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, istituiscono una casella di posta
certificata o analogo indirizzo di posta elettronica di cui al comma 6
per ciascun registro di protocollo e ne danno comunicazione al Centro
nazionale per l'informatica nella pubblica amministrazione, che
provvede alla pubblicazione di tali caselle in un elenco consultabile
per via telematica". Mancava e manca tuttora, una sanzione per
l'ipotesi di inadempimento a tale obbligo, sebbene, probabilmente, sia
possibile configurare un autentico diritto del privato a comunicare con
la pubblica amministrazione a mezzo posta elettronica certificata. Il
sistema della posta elettronica certificata, ovviamente, è, per così
dire, "autoreferenziale" con la conseguenza che è possibile attribuire
ad una comunicazione le garanzie derivanti dall'utilizzo della PEC solo
laddove mittente e destinatario utilizzino tale strumento con la
conseguenza che il privato che voglia comunicare con l'Amministrazione
a mezzo PEC, ove quest'ultima non sia dotata del relativo indirizzo,
non potrà far altro che imbarcarsi in un giudizio amministrativo per
rivendicare il proprio diritto ad utilizzare tale strumento.
Solo PEC? Macché, basta il certificato!
Massimo
Penco, Fondatore di GlobalTrust, del Gruppo Comodo, di CertifiedMail
Inc e presidente dell'Associazione Cittadini di Internet, ci spiega
perché, a suo dire, è preferibile usare un certificato digitale al
posto della PEC.
Secondo lei l'utilizzo della PEC ha reso più snelli i rapporti fra PA, aziende e cittadini?
Assolutamente no. L'unico vantaggio è per gli addetti ai lavori (notai, commercialisti ecc.) che sono oggi in grado d'inviare
atti alla PA senza presentarli a mano. È un po' come il conto bancario
on-line dove determinati servizi di sportello che la banca faceva
vengono ora effettuati dai correntisti. Per fare quindi un parallelo,
in questo caso è la PA che ha dei vantaggi. La creazione però di un
sistema unico e non interoperabile e compatibile con altri aventi la
stessa valenza richiede che tutti abbiano una casella PEC, sia la PA
che i cittadini, creando così un sistema arroccato che non comunica con
il resto dei sistemi e delle persone. Una specie di posta solo per lo
stato. Al di la della pubblicità politica c'è da capire cosa vogliano
realmente fare tutte le pubbliche amministrazioni. Organi quali Camera
dei deputati, Carabinieri ecc. hanno un indirizzo di normale posta
elettronica ed accertarsene è molto facile: basta andare nel sito www.camera.it.
Per cui si può comunicare di già con la PA ai massimi livelli, persino
Berlusconi ha la sua e-mail pubblica. Normalmente non vedo perché,
usando i normalissimi client di posta ed automatizzando la conferma di
ricezione, non si possa comunicare senza crearsi ulteriori mal di testa.
Che differenze ci sono fra il panorama italiano e quello internazionale?
Nessuno stato al mondo ha sentito il bisogno di creare un sistema
simile alla PEC, che rimane uno "standard italiano". In un mondo fatto
sempre più di comunicazione interattiva e di standard, creare un
qualcosa che non interagisca con altri sistemi non è solo azzardato, ma
suicida. Questo, ha spinto la nostra associazione a denunciare
all'Unione Europea lo stato Italiano. Per coloro che ne vogliono sapere
di più: http://www.cittadininternet.org/UserFiles/File/Proposte%20ed%20iniziative/Domanda%20congiunta%20infrazione%20UE.pdf.
Una semplice e-mail in tutto il mondo costituisce prova. Del resto non
è oggi molto simile ad un fax sempre più integrato nei PC e nella posta
elettronica nel paese delle contraddizioni il fax costituisce prova ed
è comunemente usato da tutti la normalissima posta elettronica con
allegati o meno viene vista come un caso a parte, fortunatamente alcuni
Magistrati hanno dato valenza di prova anche alla semplice e-mail.
Cosa ci può dire sui gestori italiani e su quelli internazionali?
Esaminando con attenzione la lista dei "gestori di servizi PEC" che
dovrebbero avere la stessa valenza ed operatività degli uffici postali,
ed essere quindi accessibili da chiunque, si riscontrano delle
anomalie. Tra i gestori vi sono infatti realtà che per la loro natura,
associazioni di categoria (es. notai, associazioni, comuni) non offrono
servizi al pubblico tra questi: Amministrazione Provinciale di Nuoro,
Ancitel , Cedacri, Consiglio Nazionale del Notariato, Sogei. Altri sono
aziende facenti parte di gruppi bancari o di altra natura che non
offrono anch'esse servizi al pubblico, particolare menzione meritano
Infocert interamente posseduta dalle Camere di Commercio, che trae
dalla sua posizione un sicuro vantaggio e Poste Italiane. Quindi il
numero effettivo dei gestori indipendenti si riduce a 2. Inoltre,
seppur previsti dalla normativa richiamata, non sono inseriti in elenco
(ma neanche menzionati ) i gestori Europei definiti dall'Articolo 15
della richiamata legge - "Gestori di posta elettronica certificata
stabiliti nei Paesi dell'Unione europea" rendendo impraticabile la
possibilità di rivolgersi a questi ultimi, ove erogassero un servizio
similare!
A suo parere la PEC sarà soggetta a nuovi cambiamenti?
Io sinceramente spero che venga abolita. Se si costringe ad usarla solo
per i rapporti con la PA si ritorna alla vecchia domanda in carta
bollata. Immaginate di dover ricevere notifiche di atti giudiziari o
semplici contravvenzioni tramite PEC. Vedo un mare di contestazioni ed
un enorme appesantimento della giustizia, costretta a decidere su temi
come: avevo il PC spento è non ho ricevuto nulla! In più, non si
capisce cosa accada nella circostanza in cui nella casella PEC si
esaurisca lo spazio oppure si verifichi un cambiamento del provider...
Prima della PEC bisogna avere molte altre cose, tra cui un PC e un
collegamento ad Internet. Inoltre, tutta la Pubblica Amministrazione
deve avere la PEC ed usarla: traguardo molto difficile! Per ultimo
direi che dovrebbero per prima cosa farla funzionare internamente alla
PA, e far colloquiare tra loro i uffici e amministrazioni e periferiche
che, guarda caso, pur avendo qualcuno la PEC preferiscono usare tra
loro la normalissima posta elettronica. C'è da chiedersi perché... Non
sarà che è troppo complicata?
Perché scegliere la PEC e non il certificato digitale?
Lo abbiamo chiesto a Simone Braccagni, amministratore unico di Aruba PEC S.p.A. Parliamo della PEC. Qual è l'offerta di Aruba?
La nostra offerta è articolata in modo da coprire tutte le possibili esigenze: da quelle dei privati cittadini e professionisti fino a quelle di grandi aziende o fornitori di servizi. L'offerta base prevede caselle PEC singole su domini di Aruba quali pec.it, gigapec.it, mypec.eu, (es. mariorossi@pec.it). Il costo è di soli 6 euro/anno senza alcuna limitazione sull'invio/ricezione dei messaggi. Per coloro che invece desiderano un indirizzo completamente personalizzato offriamo l'attivazione delle caselle su domini certificati di nuova registrazione o già di proprietà del cliente (ad esempio mariorossi@pec.nomeazienda.it). Oltre al costo del dominio, il prezzo di ogni casella è sempre di 6 euro/anno. Tutte le caselle hanno 1 GB di spazio, antivirus, notifica, inoltro per i messaggi non certificati e possono essere utilizzate attraverso la nostra webmail oppure tramite i più diffusi client di posta (Outolook, Outlook Express, Thunderbird, ecc). A breve verrà lanciata la casella "PRO" con spiccate caratteristiche professionali quali una maggiore quantità di spazio, la notifica di ricezione messaggi via SMS, l'archiviazione automatica, la possibilità di autenticarsi attraverso smartcard e la possibilità di firmare digitalmente i messaggi anche tramite webmail. Per chi è alla ricerca di soluzioni custom offriamo la possibilità di: configurare la dimensione delle caselle, personalizzare graficamente la webmail, personalizzare gli indirizzi dei servizi POP, SMTP e IMAP, etc. Infine, la nostra soluzione wholesale si rivolge a tutte le aziende ed i fornitori di servizi interessati a rivendere il servizio ai propri clienti. Per ulteriori informazioni o approfondimenti: www.pec.it.
Come fa Aruba ad offrire questo servizio a prezzi cosi contenuti?
Tutto il gruppo Aruba, ha da sempre offerto servizi secondo una logica
"cost oriented" puntando ai ricavi generati dalle grandi quantità e
dalle economie di scala.
Inoltre, quando abbiamo iniziato ad erogare
questo servizio, la posta certificata muoveva i primi passi ed il
mercato era tutt'altro che vivace. Il nostro approccio ci e' sembrato
quindi particolarmente corretto, avendo infatti non solo l'obbiettivo
di raggiungere una determinata quantità di clienti, ma anche quello di
dare una "sferzata" al mercato ed invogliare così imprese, enti e
privati cittadini ad usare uno strumento innovativo che offre
indiscutibili vantaggi sia di natura economica che pratica. La scelta
del prezzo è quindi semplicemente derivata da un'attenta analisi dei
costi. Inoltre, trattandosi di servizi molto affini al nostro core
business rappresentato da domini, hosting e posta elettronica
"tradizionale", è stato possibile ottimizzare ulteriormente i costi e
gli investimenti grazie alla nostra esperienza, alle nostre
infrastrutture, ma soprattutto grazie alle professionalità presenti
all'interno del gruppo.
Alla luce della nuova normativa,
perché un'azienda, o un professionista dovrebbe scegliere una casella
di posta certificata, anziché utilizzare un certificato digitale?
Ritengo che su questo argomento sia stata fatta un po' di confusione:
la PEC e la firma digitale sono strumenti nati con scopi ben diversi ed
è fuorviante pensarli come antagonisti. La firma digitale è nata con
l'obiettivo di trasferire il concetto di firma autografa nel mondo
dell'informatica mentre la posta certificata è nata con lo scopo di
sostituire la raccomandata A/R con un mezzo più moderno ed efficiente.
In realtà i due strumenti verranno utilizzati sempre di più in modo
complementare anziché alternativo realizzando un perfetto equivalente
di una "raccomandata A/R con firma autografa". Approfitto per dire che
trovo dannosamente esterofile le affermazioni che contestano alla PEC
il fatto di essere nata in Italia e quindi di essere destinata a morte
certa. Sono viceversa convinto che l'Italia abbia prodotto qualcosa di
buono ed innovativo e che vi siano dei buoni margini per l'adozione
della PEC da parte degli altri membri della Comunità Europea.
*****************
L'inchiesta termina qui. Spero di aver chiarito ogni vostro dubbio. Per concludere, vi segnalo che questo approfondimento è anche disponibile in formato PDF sulla pagina di Wikipedia dedicata alla Posta Elettronica Certificata.
A presto.
32 Commenti | Permalink | TrackbackTag: Certificati digitali Certificati S/MIME gratis PEC Penco Posta Elettronica Certificata Scorza
Segnala a
Articolo perfetto e brillante, di facile lettura, non manca nulla tutit gli argomenti sono stati affrontati con professionalità ed abiettività. Un sentito grazie all'autore.
Concordo e quoto appieno. è uno dei migliori approfondimenti che abbia mai letto sulla PEC e soprattutto sulla differenza con i certificati digitali. Complimenti.
Peraltro, a me questa situazione d'incertezza legislativa con Brunetta che la vuol dare a tutti, sa tanto di classico azzeccagarbugli all'italiana.
Lo dico da avvocato oltre che da dirigenti di una PMI
Saluti
Mario D.B.
Buon articolo, un sincero grazie all'autore
Ottimo! Con informazioni utili a tutti, hai reso chiara una materia complessa che i nostri legislatori stanno ancor più ingarbugliando
Saluti
Massimo B.
Complimenti alla rivista Office magazine per questo speciale che è chiaro e molto dettagliato.
Grazie agli autori
Va bene S/MIME, ma il problema e' il timpestamp.
occorre una CA cmq. riconosciuta dallo stato, che accetti il timestamp.
non puo' essere una CA fatta in casa o in un paese terzo, per capirci.
Caro Stefano
ll time stamp (o marca temporale) non ha nulla a che fare con la PEC.
E' il sistema per firmare documenti e dare validità di data ed ora agli stessi.
Lo standard riconosciuto è quello dettato dalle RFC.
Data ed ora sono determinate dalla tecnologia, come dice la legge stessa, e fornite dai vari server NTP sparsi in tutto il mondo ed interoperabili tra loro.
In pratica, si può firmare digitalmente con l'aggiunta di un timestamp un documento oggi ed inviarlo per e-mail successivamente; il documento non potrà essere cambiato o alterato e la data del documento sarà quella fornita dal timestamp provider al momento della firma dello stesso.
Su www.digistamp.com ci sono molti approfondimenti in merito.
In sostanza vale quanto riportato nella legge "...tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali".
Con il protocollo S-mime, il timestamp si assolve con una sola tecnologia firma digitale, e-mail, ma sopratutto inalterabilità dei messaggi e non ripudio.
Saluti
Perchè al Sig. Simone Braccagni, amministratore unico di Aruba PEC S.p.A., viene chiesto di fare un distinguo fra PEC e certificato digitale (e già credo che vi sia una bella differenza fra i due visto che la prima "certifica" il contenitore (la busta) e non il contenuto, mentre il secondo garantiche proprio il contenuto della mail e invece risposde facendo riferimento alle differenze della "firma digitale", che se non erro è tutt'altra cosa rispetto al certificato digitale?
Caro giovannino,
quelle che trova sopra riportate sono esattamente le risposte che ci hanno fornito i soggetti intervistati.
Saluti
Sono d'accordo con Stefano. Il problema è il timestamp. Quoto.
Em.
Possibile che tutti questi signori non abbiamo sentito mai parlare di PReM, ovvero di una PEC internazionale?
Oppure si limitano a dire che il problema è solo italiano perchè così fa comodo.
Se andate al sito dell'ETSI o cercate su internet troverete che si tratta di un problema universale e che si sta cercando di definire uno standard internazionale.
Forse quello italiano non è il miglior sistema ma almeno siamo stati i primi a fornire una soluzione e lo standard che si sta delineando non è poi così differente.
Sono perfettamente d’accordo con lei: tutti sarebbero soddisfatti se ci fosse un unico standard. E sono a conoscenza, anche, della lodevole attività dell’ETSI. E non solo. Secondo me, sono da ammirare anche l’Unione postale Universale UPU e il CNIPA che, tra l’altro, da oltre 2 anni sottopone la PEC all’ ITEF, l’organo liberamente demandato alla discussione e definizione degli Standard (RFC).
Per la precisione: la posta elettronica certificata, come indicato nelle regole tecniche allegate al Decreto Ministeriale 2 novembre 2005, si basa su standard internazionali IETF e ISO. In particolare sulle seguenti versioni e integrazioni successive: RFC 1847, Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted, RFC 1891, SMTP Service Extension for Delivery Status Notifications, RFC 1912, Common DNS Operational and Configuration Errors, RFC 2045, Multipurpose Internet Mail Extensions (MIME) Part One: Format of Internet Message Bodies, RFC 2049, Multipurpose Internet Mail Extensions (MIME) Part Five: Conformance Criteria and Examples, RFC 2252, Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions, RFC 2315, PKCS #7: Cryptographic Message Syntax Version 1.5, RFC 2633, S/MIME Version 3 Message Specification, RFC 2821 Simple Mail Transfer Protocol, RFC 2822, Internet Message Format, RFC 2849, The LDAP Data Interchange Format (LDIF) - Technical Specification, RFC 3174, US Secure Hash Algorithm 1 (SHA1), RFC 3207, SMTP Service Extension for Secure SMTP over Transport Layer Security, RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, ISO/IEC 9594-8:2001, Open Systems Interconnection -- The Directory: Public-key and attribute certificate frameworks.
Il problema sta nella cosiddetta Rivoluzione digitale. “La legge, quando parla di tecnologia, deve dare degli indirizzi e non delle regole tecnologiche, che spesso viaggiano viaggiare alla stessa velocità della tecnologia”.
Ora, l’Italia è l’unico paese che ha deciso di creare tutta una serie di regolamenti e leggi. E il problema universale, in realtà, non sussiste. Internet, e con essa i suoi sistemi di comunicazione, deve rimanere libera e non “imbrigliata da leggi e regolamenti”.
Sarebbe pertanto indispensabile che venisse confermata l’alternativa alla PEC, come saggiamente qualcuno ha provveduto ad inserire in ben due leggi: “analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità' del contenuto delle stesse, garantendo l'interoperabilità' con analoghi sistemi internazionali. “
Come potrà sicuramente constatare la tecnologia fornisce già di per se stessa tutto quanto prescritto dalla legge sulla PEC senza aver bisogno di codici, norme e regolamenti.
A presto
Buongiorno a tutti, per motivi personali devo presentare un approfondimento su questa intricata tematica: Pec e S/MIME, onestamente però alla fine non ho trovato risposta alla mia domanda: cosa o perchè ci si dovrebbe spingere verso la PEC piuttosto che i certificati digitali.
(ps: ho letto tutto il possibile a riguardo ...dalle definizioni alle normative ).......ringrazio anticipatamente chi abbia 5 minuti da perdere nel rispondermi.
Buongiorno Roberto.
Ho girato la tua domanda a Massimo Penco (Fondatore di GlobalTrust, del Gruppo Comodo, di CertifiedMail Inc e presidente dell'Associazione Cittadini di Internet).
In calce trovi la sua risposta.
Saluti
Francesco
"Per prima cosa è meglio chiarire alcuni punti che con la confusione che c'è in giro si fa fatica a comprendere.
Sono ovviamente concetti ampiamente descritti in molte pubblicazioni oltre che dalle leggi (seppur confusionarie) recentemente in vigore.
In Italia non esiste un'intricata tematica PEC contro S-mime, ma un modo di definire le cose e come dire Auto, Macchina, Automobile, Veicolo, Autoveicolo tanto per banalizzare la cosa.
Ma Vediamo di mettere un po' d'ordine, quanto meno alle parole ed al significato delle stesse:
S-mime è un protocollo (sistema) di comunicazione che permette in modo sicuro ad un messaggio di posta elettronica di transitare in Internet ed è il sistema in cui la messaggistica PEC trasmette i suoi messaggi stabilito fra l'altro dalla legge Italiana (vedi regole tecniche e Standard Internazionali di riferimento in WIKIPEDIA).
Un messaggio PEC ha bisogno quindi del protocollo S-mime per funzionare. Dove è quindi la differenza? La PEC è un "clone informatico della Raccomandata AR" quindi usa S-mime per garantire sicurezza alla “Busta di trasporto” e non al contenuto del messaggio e relativi allegati tantomeno entrambi, pertanto assicura con S-mime che una determinata Busta (contenente non si sa cosa) arrivi al destinatario o per meglio dire al Server del provider di Posta elettronica del destinatario. Infatti se il destinatario non ha il PC in funzione o non lo accende mai in teoria non riceve nulla. E qui sorge il primo importante problema. Secondo la Legge è sufficiente che il provider del destinatario riceva il messaggio spedito con la PEC per provare a colui che lo ha spedito l’avvenuta consegna! Complicato non se uno pensa che con le raccomandate succede più o meno la stessa cosa, ovviamente la PEC è probatoria solo se entrambi ne sono in possesso.
Il certificato digitale (dalla parola stessa) è un certificato come quello di nascita, come questo frutto di un elaborato sistema definito X-509, che è un algoritmo. Il certificato è l’atto formale che certifica che il mittente di un messaggio sia veramente lui perché una autorità di certificazione lo ha accertato. Assieme al MIME va a formare S-mime dove S sta per sicurezza le due cose assieme permettono di:
1) Firmare digitalmente e certificare un messaggio di posta elettronica e suoi allegati, conseguentemente, garantire al ricevente che chi ha spedito il messaggio sia colui che dice di essere
2) Rende inalterabile il messaggio e suoi allegati, nel senso che se, vengono alterati i contenuti questo viene evidenziato dal l’intestazione del messaggio
3) Rendendo inalterabile il messaggio e suoi allegati rende probatoria ed inalterabile DATA ED ORA degli stessi
4) Ad ogni messaggio anche di Posta elettronica normale viene generato un Header (Intestazione Internet) dove sono contenuti molti più dati di quelli richiesti dalla PEC fra l’altro un identificativo unico per ogni messaggio in Outlook e molto semplice vedere l’Header cliccare con il pulsante destro del mouse sul messaggio, cliccare su opzioni messaggio in basso troverete Intestazione Internet che può essere selezionato copiato e rappresenta la ricevuta formale dei messaggi inviati.
5) Qualora il mittente e destinatario abbiano installato un qualunque certificato emesso da una CA internazionalmente riconosciuta lo scambio dei messaggi può essere anche criptato, reso quindi non leggibile sia in trasmissione che da colui che lo riceve il quale deve essere in possesso della “chiave” per aprire lo stesso.
6) Configurando in modo opportuno il proprio sistema di posta si potrà richiedere una conferma di lettura del messaggio ed anche una conferma S-mime dal server del provider ricevente. Avremo quindi una conferma inequivocabile della ricezione e lettura del messaggio.
Sembra complicato ma non lo è.
Rilegga il post del blog Office World, lì potrà trovare maggiori informazioni.
Inoltre nel numero 103 della rivista Office Magazine (in edicola a fine settembre) verrà pubblicato un approfondimento di come tutto questo sia ormai comunemente usato da gestori di posta elettronica pubblici come Gmail con tutte le caratteristiche di sicurezza ed oltre della PEC.
Una ulteriore importante precisazione: la PEC è una casella di posta “certificata” non un indirizzo di posta certificata, casella di posta che anche se da lei gestita rimane nei server di un provider che lei non ha scelto con tutti i suoi contenuti inviati e ricevuti!
La differenza sostanziale è che nel sistema Italiano (unico al Mondo) si è creata l’inutile figura del gestore di PEC il quale dovrebbe certificare l’invio di una busta, ma fortunatamente almeno fin ora il legislatore ha dato un alternativa alla PEC con l’art. 16 legge 2/01/09 che recita:.. "o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali…”
Se vuole ulteriormente approfondire l’argomento www.cittadininternet.org"
Spero che l'Ordine dei Biologi decida di accettare i certificati S-MIME che sono gratuiti, internazionali e sostituibili all'acquisto della PEC, dal momento che non ha regalato alcuna casella di PEC ai suoi iscritti, anzi, ha incoraggiato ad acquistarla! ( come si può leggere nelle riviste che l'ordine pubblica mensilmente)
Con la PEC (o CEC PAC) si sta rendendo più complesso ciò che è invece abbastanza semplice ed alla portata di tutti.
L'azione che si dovrebbe compiere, anzichè introdurre un nuovo modo di comunicare seppure gratuito, è di stabilire una norma di legge che preveda l'allineamento (in termini di data e ora) di tutti i sistemi di posta "ufficiali" e legati a un dominio (es. "@poste.it, @nomeazienda.com, etc etc ..).
In questo modo, sebbene i programmi client di posta (es. Outlook, Eudora, Thunderbird, etc etc) che si appoggiano all'ora "locale" del PC su cui girano potrebbero essere impostati ad un'ora "diversa" rispetto a quella "esatta", i Servers di posta di cui essi fanno uso per poter "scambiare" le e-mail con altri destinatari, lascerebbero la loro "traccia" elettronica dell'ora e della data certa nell'Header del messaggio e comunque nei log dsi rispettivi sistemi (per eventuali attività investigative future).
Come quindi si può vedere (ma non vorrei esser stato troppo "semplicistico"), per avere la garanzia della data e dell'ora, nonchè la garanzia di "interoperabilità con analoghi sistemi internazionali", nonchè il non ripudio ma anche la garanzia sull'integrità del contenuto della busta, etc etc ... non è affatto necessaria la PEC ma si tratta di "migliorare" quanto già è standard e da tutti utilizzato.
Forse andrebbe fatta un pò di "sensibilizzazione" su alcuni aspetti di sicurezza e di prevenzione nell'utilizzo del proprio computer e della propria posta elettronica, ma ... questo andrebbe fatto anche con la PEC (o CEC PAC che sia), in quanto da sola non garantisce proprio niente.
Cara Monica,
Lo speriamo noi tutti, occorre però essere informati, ma sopratutto essere partecipativi per fermare un evento come quello della PEC che complicherà la nostra vita di cittadini,imprese,professionisti con strascichi se prende piede così come è stato concepito che dureranno anni. www.cittadininternet.org sta cercando di fare il possibile per cercare di far adottare l'alternativa alla PEC prevista per legge ma ignorata, se vuoi farti un idea in merito troverai più di una informazione nel nostro sito web
Caro Alessandro,
Sono d'accordo con te su tutto se mi permetti una piccola precisazione, è vero che chiunque può modificare l'ora nel proprio PC deve però anche eliminare l'opzione "Ora Internet" ormai presente in tutti i sistemi operativi che è il collegamento al Server NTP previsti per la sincronizzazione del tempo, se in un PC viene scollegato il server di riferimento si può andare a vedere il LOG di windows che rileva questo evento come altri, ma comunque sia chi lo fà non risolve proprio nulla in quanto tutti i punti dove il messaggio è transitato (Server degli ISP) porteranno assieme al messaggio nella sua Intestazione (header) l'ora rilevata dai loro server che è quella Internet cioè del server NTP esempio: http://www.inrim.it/ntp/index_i.shtml dovresti conoscere chi sono e metterli d'accordo tutti quanti a compiere un falso visto che nei vari server possono transitare milioni di messaggi che se modificano l'ora per uno verrà modificata per tutti. Per fare un esempio semplice è come se cambiassi l'ora in un orologio di una stazione ferroviaria periferica ma il treno passerà sempre all'ora stabilita. Ergo non c'è nulla da cambiare e quanto aggiunto dal legislatore su nostro aiuto " basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni " sono infatti le tecnologie ormai evolute che determinano data e ora.
Sono i considerevoli sforzi del gruppo Edizioni Master e suoi collaboratori che "fanno sensibilizzazione" a cui si dovrebbero unire molti altri in un momento in cui è in pericolo la nostra libertà ed il nostro modo di comunicare, non mi andrebbe proprio di dire ve l'avevamo detto !!!
Grazie a Massimo per la sua doverosa precisazione.
Personalmente ritengo P.E.C una tavanata tutta Italiana, infatti il mio indirizzo di posta elettronica è certificato TRUST E VERISIGN e quindi le e-mail viaggiano in crittografia a 256 bit, peraltro è assolutamente gratuito.
Inoltre, posseggo una casella P.E.C, che adopero relativamente poco, ma sappiamo che le nostre e mail vengono approvate dal fornitore del servizio???
Ora se chiedo ad un amico come sta non c'e' problema, ma se inoltro dati confidenziali e riservati??
Inoltre la massima sicurezza dell'ID può solo fornirla Adobe Acrobat 9 PRO, o prodotti analoghi, dove per inserire la mia firma digitale, al PDF, devo inserire la mia password segreta comunicata ad Adobe.
Inoltre NON è possibile modificare Time-date- ecetera.
Inoltre la P.E.C. non permette risposta se il destinatario non possiede una casella P.E.C, invece l'attachament che posso fare con un broswer U.S.A di PDF mi permette la risposta del destinatario.
Considerando che L'ID Acrobat o altro prodotto similare ha valore legale, solo il prezzo ( abbastanza economico) di una P.E.C, mi potrebbe trattenere da acquistare la licenza ADOBE, ma se il mio uso è prettamente professionale necessito di una ID CERTA ED AUTOREVOLE.
Inoltre necessito di visualizzare la risposta del destinatario.
Purtroppo, il digitale terrestre Docet, ( 8 anni fa sembrava fosse impellente, ora sembra che vi sia tempo fino al 2011).
Da anni non seguo piu' gli standard o pseudo standard Italici, quando il resto del mondo commerciale si affida ad ID CERTIFICATE in PDF di Acrobat Pro od altri similari.
Unicredit, per fare un esempio, sta iniziando a fornire ID certificate, che nulla hanno a che vedere con P.E.C, alla propria clientela che opera con l'Estero per la sottoscrizione on-line di contrattualistica, comunicazioni ecc.
Ritengo che P.E.C, sia la solita bufala o bufalina Italiana.
Cordiali saluti
Gentile Redazione di Office Magazine, sono un libero professionista e vi scrivo in merito all'entrata in vigore dell'art.16 del D.L. n.185 del 29/11/2008 (decreto anticrisi), coordinato con la Legge di conversione n.2 del 28/01/2009 , che prevede per tutti " i professionisti iscritti agli Albi professionali di comunicare ai rispettivi ordini o collegi", entro un anno dalla data di entrata in vigore della norma (28/11/2009), "il proprio indirizzo di posta elettronica certificata (casella PEC) o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali". Escludendo, come utente, l'eventualità di avvalersi della PEC che, pur proposta dalla Legge, non soddisfa il requisito richiesto dell'interoperabilità internazionale, vorrei gentilmente sapere : 1) se l'uso in alternativa di un "Certificato Digitale" rilasciato da una Ca (Certification Authority) comporti necessariamente anche l'attivazione della Firma Digitale (e di conseguenza l'acquisto di un lettore smart card) oppure no. 2) In caso affermativo, chiedo se tale dispositivo possa essere supportato dal mio vecchio PC (anno 2002) che monta un Sistema Operativo Windows 98 Seconda Edizione. Riassumo le componenti del mio PC : - Hard Disk IBM Deskstar 60GXP 61GB 7200rpm udma100 - Processore Cpu AMD Athlon XP 1800+ - Fsb 266 MHz - Socket A - RAM Memoria DDR 256MB Pc2100-266 - Scheda Madre Mb Microstar KT3 Ultra-ARU x Athlon XP - Chipset KT333 - Raid - Usb 2.0 - Audio 6.1 - Scheda Video Video GeForce2 Mx400 64MB Tv-out - Modem-Fax 56k V92 Pci Interno - Case Middle Tower 300w P4/K7 3) Inoltre affinché un Certificato Digitale garantisca quanto previsto dalla suddetta Legge (data e ora dell'invio e della ricezione delle comunicazioni, ecc) è necessario che il mittente e il destinatario abbiano entrambi attivato un certificato digitale ? Oppure è sufficiente che tale attivazione sia fatta dal solo mittente ? 4) Infine per l'attivazione di un Certificato Digitale è possibile servirsi, oltre che di un qualsiasi client di posta elettronica (es. outlook express), anche di una web mail (yahoo) ? Ringraziando fin da ora per il tempo che Vorrete dedicare alle mie domande, porgo i miei più distinti e cordiali saluti.
Caro Domenico, Non posso che concordare con te, del resto ne parliamo da tempo alcune doverose informazioni per i lettori e commentatori assidui, anche perchè in Verisign c'ero ! L'unico neo del s-mime per e-mail gratuito rilasciate da CA internazionali è la parte identificativa del richiedente troppo superficiale e non adatta alla legislazione Europea alla quale sia www.globaltrust.it che COMODO www.instantssl.it hanno risolto applicando il sistema dell'auto certificazione nonchè dei nuovi art. del codice penale venuti fuori dalla convenzione di Budapest rendendo così questi certificati equivalenti anzi superiori alla PEC. Sul tenutario (Gestore del servizio) hai ragione ti consiglio di vedere una mia presentazione nel recente convegno di Roma sulla PEC contenuto nel nostro Zibaldone sulla PEC https://www.cittadininternet.org/home.asp?id=68 per aver più chiaro il problema anche sulla interoperabilità e sicurezza troverai approfondimenti che sostanzialmente ribadiscono in modo esaustivo quanto da te sostenuto.
Caro Fabrizio,
La tua decisione mi sembra saggia, sembra fra l'altro che tra breve verrà regolamentata anche l'alternativa alla PEC (made in Italy) oltre il problema da te sollevato c'è ne sono altri assai più gravi che potrai trovare nella presentazione al convegno sulla PEC dell'8 ottobre u.s. in :
https://www.cittadininternet.org/home.asp?id=68 Rispondo ora alle tue domande nello stesso ordine numerico:
1) La vecchia firma digitale richiedeva degli apparati smart card lettori ecc. quella da te richiamata no è sufficiente installare il certificato s-mime sul proprio PC questo certificato è anche di firma digitale se vuoi potrai averlo gratuitamente troverai il link nella nostra rivista.
2) difficilmente funzionerebbe nel tuo vecchio PC
3) No occorrerà un altro certificato da parte del tuo destinatario solo ed esclusivamente se volete scambiare messaggi criptati cioè leggibili solo da voi due, qualsiasi certificato s-mime è in grado di fare questo.
4) I più comuni client di posta elettronica usano i certificati s-mime come anche i provider di posta come Yahoo, Gmail gestiscono ormai questo certificato nell'ultimo numero di Office Magazine ne abbiamo parlato diffusamente
Ottimo articolo, fruibile e chiaro in tutti i particolari, tecnici e divulgativi. I miei complimenti.
Aggiungo le mie osservazioni, che PEC e CA devono viaggiare insieme, secondo uno standard/protocollo di collaborazione che si deve redirigere, o meglio si deve formalizzare e divulgare, poiché i vantaggi sarebbero inevitabili. Ora che gli strumenti possano essere diversi, è plausibile vedi il caso di MTA ( mail transfer agent ) e Mail-Server.
Quindi, secondo me:
a.) la firma digitale deve essere realizzata fra le 2 parti ( cittadino o PA et simila ) con un garante, la CA, che a mio parere deve essere statale. Solo costui, lo Stato, può fare da garante nei rispetti dei due attori descritti, perché egli si trova non solo come univoco e possibile controllore delle identità, ma anche come CA.
b) la scalabilità della PEC o posta elettronica firmata, questo è il reale problema, poiché sole le PA e grandi società, ne gioverebbero, poiché possiedono comunque un controllo sulla loro infrastruttura tecnica. La difficoltà sta nel cittadino, poiché nessuno di noi ha uno smart-card reader, oppure un "posto sicuro" ( aka un hardware o comunque un dispositivo di immagazzinamento da utilizzare quando serve ) dove conservare il proprio certificato digitale.
Vantaggi, ovvi e assicurati sarebbero innumerevoli:
- trasmissione posta ordinaria;
- trasmissione certificazioni e/o simila;
Certo farlo capire a mia madre sarebbe difficile, ma non penso impossibile.
Ciao a tutti, intanto ringrazio davvero molto gli autori per la precisione e semplicità con i quali è stato affrontato l'argomento e anche Massimo Penco per la sua chiarezza.
Vorrei implementare nell'azienda dove lavoro il sistema S/MIME. Due domande.
1) per rispettare la legge è sufficiente che certifichi solo l'azienda? O deve essere una persona fisica dell'azienda? O tutti i dipendenti devono avere un proprio certificato (in altre parole, una chiave privata/pubblica a ciascuno o una per un solo indirizzo aziendale che identifica l'azienda in toto)?
2) Esistono società che mettono a disposizione certificati gratuitamente per aziende? Se si me ne indicate qualcuna gentilmente? Ho notato Global Trust e Thawte ma distribuiscono gratis certificati solo a privati. Mi chiedevo questa cosa perchè se Brunetta voleva dare PEC gratis alle aziende non vedo perchè si debbano pagare i certificati S/MIME.
Grazie mille. Saluti
Francesco B.
Grazie per le spiegazioni,ma essendo iscritto ad un Ordine professionale medico, è obbligatorio munirsi di PEC? e quali sarebbero le ripercussioni per eventuale omissione...e non si può ottenere, come giusto che sia ,gratis? e dovendo sceglierne uno a minor prezzo?
Grazie per le delucidazioni
Saluti
Claudio
Voglio sottoporre il problema della prova in giudizio civile di una mail spedita via PEC.
Se l'avvocato di controparte contesta che la mail spedita a mezzo PEC sia stata spedita..allora l'avvocato della parte che si è avvalsa a fini di prova della mail spedita a mezzo PEC (magari presentandola come semplice stampa di una mail a video), dovrà ottenere un ennesimo riscontro probatorio dal fornitore dei servizi PEC per vincere la contestazione. Ma..si è detto prima che il fornitore dei servizi PEC conserva i dati di trasmissione per 30 mesi (magari anche meno). mentre un'avvocato pruò imbastire una causa civile magari entro termini di prescrizione più lunghi ( es 5 o 10 anni) dal fatto costitutivo litigioso in cui viene in rilievo la mail a mezzo PEC e in ogni caso le cause civili in italia possono durare moltissimi anni. Non si può verificare lo stesso problema delle stampe di pagine web prodotte a fini di prova in cause civili che possono venire contestate se la relativa pagina web viene fatta sparire da internet a meno che le stampe non siano state autenticate da notaio?
Scusate una domanda banale, posso inviare una mail certificata per conto terzi?
Un amico mi ha chiesto di poter utilizzare la mia casella di posta certificataper inviare una richiesta di rimborso. Si può fare?
Grazie.
Direi che il problema da lei sollevato non è banale, le rispondo in modo esaustivo, spero:
Molto seccamente la risposta è NO! Ma andiamo a vedere cosa succede nella realtà della vita quotidiana, perché a furia di fare leggi e regole si va fuori strada , cioè quella che sembra una strada ben tracciata invece non lo è affatto infatti:
1) ci si preoccupa di dare una casella di PEC con l'identificazione della persona cioè ci si deve recare personalmente per avere le famose credenziali di accesso alla propria casella PEC dimenticando l'esistenza di precise norme che consentono di fare questo ON-LINE, trattandosi poi di un servizio sul web, norme fra l'altro molto severe sulle false dichiarazioni eccone un estratto con i relativi link " Nel rapporto tra privati il riconoscimento della validità dell'autocertificazione resta a discrezione del privato che richiede il certificato o documento/auto-dichiarazione, ai sensi della Legge 24 novembre 2000, n. 340 nonché D.P.R. n. 445/2000 in particolare l’art. 2,76 “Le norme concernenti i documenti informatici e la firma digitale, contenute nel capo II, si applicano anche nei rapporti tra privati come previsto dall'articolo 15, comma 2 della legge 15 marzo 1997, n. 59.e successivi provvedimenti e modificazioni, ribaditi dall’ art. 495-bis e 640-quinquies del Codice Penale.
2) La grossa problematica è quella “dell’identità digitale” discussa in tutto il Mondo ed ancora non risolta, ho cercato di dare una risposta esaustiva alla problematica in parecchi convegni tra cui l’ultimo a Roma in: https://www.cittadininternet.org/eventi/convegno_garante_post_convegno.html troverà abbondanti spiegazioni di ben 11 relatori sul problema ma in sostanza:
• Il possesso o la proprietà di un apparato che viene usato per comunicare non dà la certezza e la prova di chi:
• Lo usa
• Dove sia posizionato fisicamente
• Quando lo abbia usato temporalmente
• Quanto tempo lo abbia usato
• In sostanza non è possibile attribuire: la proprietà, possesso, l’uso, il luogo ad una specifica persona fisica
• Nessuna tecnologia è in grado di dare questa certezza
• Gli apparati digitali, Computer, cellulari ecc. hanno vita e personalità autonoma, indipendentemente da chi ne ha la proprietà, li possiede, li usa.
• I segnali che rilasciano,che registrano possono essere con certezza attribuiti all’apparato ma non alla persona
• associare apparato/persona è un altra prova complessa
L’intera presentazione la troverà nel sito di Cittadini di Internet dove se vuole approfondire l’argomento la invito ad iscriversi www.cittadininternet.org
Conseguentemente un comportamento sbagliato come quello da lei accennato il più delle volte può divenire un “Furto d’identità che oggi rappresenta una piaga nel Mondo di Internet e non solo anche su questo fenomeno strettamente legato ad un uso improprio di Internet.
Purtroppo non tutte le PEC sono uguali; ad esempio gli Ordini dei Medici non accettano quelle rilasciate gratuitamente da INPS o ACI perchè sarebbero destinate solo a contatti con le pubbliche amministrazioni.
L'unica alternativa è quella di aderire ad una PEC a pagamento.
E tutto questo per semplificare!
In effetti non semplifica proprio nulla anzi complica terribilmente grazie al Prof. Brunetta il morbo PEC si è "evoluto" generando:
1) La CEC PAC sistema di comunicazione solo con la PA riservata a tutti, medici inclusi nella loro sfera privata, che dialoga solo con la PA dotata dello stesso sistema e solo con quella riportata nel sito http://www.paginepecpa.gov.it/ se mai riuscirà ad essere aggiornato.
2) La PEC ACI ed INPS che a sua volta dialoga solo con la PA non si capisce se con lo stesso sistema di cui sopra
3) La PEC a pagamento che dialoga con tutte le altre PEC della PA se ce ne saranno cioè se la PA metterà anche quelle e con le altre PEC a pagamento la 1) e la 2) sono limitate solo a coloro che hanno lo stesso sistema.
In pratica il ritorno alla torre di Babele solo che questa è una Torre di Babele informatica, conseguentemente essendo un guazzabuglio anche la mia spiegazione potrebbe essere non chiara. Maggiori informazioni le trovera nel sito www.cittadininternet.org che si occupa attivamente di questi temi.
Articoli simili
PEC, PEC... PECcato che non funziona
Il sito per richiedere la PEC
Dal 26 aprile arriva la PEC
Lo Stato dell'Arte della Posta Elettronica Certificata
PEC, se scade l'abbonamento addio e-mail?
PEC: 1 milione o 30 mila?
PEC gratuita, il Ministro fa flop
Indice principale Archivi
Per la pubblicità: Master Advertising S.r.L.
redazione@techblogs.it | Condizioni generali per l'uso del sito | Privacy
