Your SlideShare is downloading. ×
Articolo Pec
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Articolo Pec

874

Published on

La posta elettronica certificata: obbligo od opportunità?

La posta elettronica certificata: obbligo od opportunità?

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
874
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. La posta elettronica certificata: obblighi ed opportunità F. Di Crosta Ingegnere elettronico, consulente di organizzazione e consulente tecnico del Tribunale di Bologna per l’informatica 1. INTRODUZIONE SOMMARIO L’e-mail (acronimo di Electronic Mail, ovvero posta elet- La posta elettronica rappresenta uno strumento di ampis- tronica) è ormai lo strumento di comunicazione elet- sima diffusione per le caratteristiche di semplicità, imme- tronica più utilizzato per lo scambio di comunicazioni diatezza ed efficacia ed è frequentemente utilizzata nelle informali e spesso anche formali (offerte, contratti, comunicazioni interpersonali e d’ufficio. La Posta Elet- comunicazioni ufficiali inter-aziendali o intra-aziendali, tronica Certificata è un sistema di posta elettronica in ecc.). La posta elettronica è il mezzo di comunicazione grado di superare le “debolezze” della posta elettronica in forma scritta via Internet che permette di veicolare e di poter essere utilizzata in qualsiasi contesto nel quale ad uno o più destinatari – in tempi rapidissimi, dell’or- sia necessario avere prova opponibile dell’invio e della dine di qualche minuto – non solo testo scritto, ma consegna di un determinato documento. La PEC si pre- anche file allegati contenenti documenti di testo in for- senta come un’innovazione capace di generare enormi mato non modificabile, immagini/foto, video, suoni, o risparmi sul piano economico nei settori pubblici e privati qualsiasi tipo di file. L’unico limite è la dimensione del e di semplificare i rapporti sia tra privati, sia con la Pub- file allegato, che deve essere inferiore ad una determi- blica Amministrazione. L’acquisto e l’utilizzo sistematico nata soglia, sia per il mittente che per il destinatario, della posta elettronica certificata non comporta oneri par- stabilita dal gestore del servizio. ticolari per la piccola impresa ed il libero professionista, né Il principale punto di debolezza della posta elettro- in termini di costi, né di tempo necessario per essere com- nica tradizionale è l’incertezza della trasmissione del pletamente operativi. messaggio e del contenuto. Infatti l’opzione “richie- sta avviso di ricevimento”, disponibile in alcuni client SUMMARY di posta elettronica non sempre è affidabile (se il destinatario non ha accettato l’avviso di ricevimento Summary, summary summary summary summary sum- non si ha la certezza dell’avvenuto recapito, talvolta mary summary summary summary summary summary l’avviso di ricevimento è inviato automaticamente summary summary summary summary summary sum- ma il destinatario non è consapevole del ricevimento mary summary summary summary summary summary del messaggio,...) e non è compatibile con tutti i pro- summary summary summary summary summary sum- grammi di posta. Inoltre il contenuto dell’e-mail (te- mary summary summary summary summary summary sto ed allegati) potrebbe essere contraffatto dall’at- summary summary summary summary summary sum- tacco di hacker o programmi dannosi ed anche vei- mary summary summary summary summary summary colare virus. Tutto questo fa si che il messaggio di po- summary summary summary summary summary sum- sta elettronica ordinaria non ha valore legale: né per mary summary summary summary summary summary quanto riguarda il contenuto, né per quanto riguar- summary summary summary summary summary sum- da la certezza del mittente. mary summary summary summary summary summary Numerose cause legali sono state basate su messaggi di summary summary summary summary summary sum- posta elettronica inviati da utenti che in realtà poteva- mary summary summary summary summary summary summary summary summary summary summary sum- no essere altri (la password della posta elettronica dei mary summary summary summary summary summary PC aziendali non viene sempre richiesta, spesso non summary summary summary summary summary sum- viene mantenuta segreta o non soddisfa i crismi della mary summary summary summary summary legge, sanciti dal D.Lgs 196/2003, il c.d. “Codice della inarcos 159
  • 2. privacy”) e dunque tali prove sono state considerate nistrazioni. Saranno i gestori del servizio (art. 14) a inammissibili. fare da garanti dell’avvenuta consegna. Essi sono Il valore legale all’e-mail può essere dato attraverso la iscritti in apposito elenco tenuto dal CNIPA (Centro firma digitale, che permette di firmare un messaggio nazionale per l’Informatica nella Pubblica Ammi- di posta elettronica garantendone il mittente e l’inva- nistrazione), organismo tenuto a verificare i requisiti riabilità del contenuto, eventualmente anche la data e soggettivi ed oggettivi del gestore (inerenti ad esem- l’ora di sottoscrizione del messaggio se viene aggiunta pio alla capacità ed esperienza tecnico-organizzativa, una cosiddetta “marca temporale”. Un messaggio di alla dimestichezza con procedure e metodi per la posta elettronica con firma digitale inviato da un indi- gestione della sicurezza, alla certificazione ISO 9001 rizzo di e-mail ordinario non può però avere il valore del processo); della raccomandata, perché la sua trasmissione non è – per iscriversi nell’elenco dovranno possedere un capi- garantita. tale sociale minimo non inferiore a un milione di euro La Posta Elettronica Certificata (PEC) è invece un e presentare una polizza assicurativa contro i rischi sistema di posta elettronica nel quale è fornita al mit- derivanti dall’attività di gestore; tente documentazione elettronica, con valenza legale, – i messaggi verranno sottoscritti automaticamente da attestante l’invio e la consegna di documenti informa- parte dei gestori con firme elettroniche. Tali firme tici. “Certificare” l’invio e la ricezione - i due momenti sono apposte su tutte le tipologie di messaggi PEC ed fondamentali nella trasmissione dei documenti infor- in particolare sulle buste di trasporto e sulle ricevute matici - significa fornire al mittente, dal proprio gesto- per assicurare l’integrità e l’autenticità del messaggio; re di posta, una ricevuta che costituisce prova legale – i tempi di conservazione: i gestori dovranno conser- dell’avvenuta spedizione del messaggio e dell’eventua- vare traccia delle operazioni per 30 mesi; le allegata documentazione. Allo stesso modo, quando – i gestori sono tenuti a verificare l’eventuale presenza il messaggio perviene al destinatario, il gestore invia al di virus nelle e-mail ed informare in caso positivo il mittente la ricevuta di avvenuta (o mancata) consegna mittente, bloccandone la trasmissione (art. 12); con precisa indicazione temporale. Nel caso in cui il mit- – le imprese, nei rapporti intercorrenti, potranno tente smarrisca le ricevute, la traccia informatica delle dichiarare l’esplicita volontà di accettare l’invio di PEC operazioni svolte, conservata per legge per un periodo mediante indicazione nell’atto di iscrizione al registro di 30 mesi, consente la riproduzione, con lo stesso valo- delle imprese. Successivamente il Decreto 2 novembre 2005 ha sta- re giuridico, delle ricevute stesse. bilito le “Regole tecniche per la formazione, la trasmis- sione e la validazione, anche temporale, della posta elettronica certificata” e il D.Lgs 7 marzo 2005, n. 82, 2. I RIFERIMENTI LEGISLATIVI PER LA PEC “Codice dell’amministrazione digitale” ha completato il quadro di riferimento legislativo sancendo il pieno Il DPR 11 febbraio 2005, n. 68 disciplina le modalità di valore legale della Posta Elettronica Certificata come utilizzo della Posta Elettronica Certificata (PEC) non mezzo di comunicazione dei documenti informatici, solo nei rapporti con la Pubblica Amministrazione, ma anche come sostitutivo della notifica via posta. anche tra privati cittadini. In sintesi il provvedimento Anche se il sistema di funzionamento della PEC era già stabilisce che: stato stabilito da ben tre anni, sebbene presentasse – nella catena di trasmissione potranno scambiarsi le e- indubbi vantaggi nella semplificazione delle comunica- mail certificate sia i privati, sia le Pubbliche Ammi- 160 inarcos
  • 3. 1. Diagramma di funzionamento della PEC (tratto dal sito www.aruba.it) 1 zioni – fra soggetti privati e pubblici, ma anche solo fra del messaggio2. Parallelamente, il gestore del servi- soggetti privati - non è ancora decollato nel mondo zio di posta elettronica del destinatario invia al mit- aziendale. Recentemente però è stato emesso il D.Lvo tente la ricevuta di avvenuta consegna. Riepilo- n. 185 del 29/11/2008 (un provvedimento eterogeneo gando i gestori accreditati CNIPA certificano con le di “misure urgenti per il sostegno a famiglie, lavoro, proprie “ricevute”: occupazione e impresa e per ridisegnare in funzione a) che il messaggio è stato spedito; anti-crisi il quadro strategico nazionale”), poi converti- b) che il messaggio è stato consegnato; to nella Legge n. 2 del 28/01/2009, il quale prevede c) che il messaggio non è stato alterato. (cfr. art. 16 comma 6 e segg.) che i Liberi professionisti I gestori inviano ovviamente avvisi anche in caso di e le Aziende debbano dotarsi di una casella di posta errore in una qualsiasi delle fasi del processo (accet- elettronica certificata rispettivamente entro uno e tre tazione, invio, consegna) in modo che non ci siano anni ed analogamente dovrà avvenire per le Pubbliche mai dubbi sullo stato della spedizione di un messag- Amministrazioni (a cui era stato imposto di istituire un gio; inoltre se il mittente dovesse smarrire le ricevu- indirizzo di PEC già nel Codice dell’Amministrazione te, la traccia informatica delle operazioni svolte, con- Digitale del 2005). servata dal gestore per 30 mesi, consente la riprodu- Dunque se prima la PEC era un’opportunità, ora diven- zione, con lo stesso valore giuridico, delle ricevute ta un obbligo!. stesse. Operativamente i messaggi di posta certificata vengo- no spediti tra 2 caselle, e quindi Domini, certificati: 3. COME FUNZIONA LA PEC quando il mittente possessore di una casella di PEC invia un messaggio ad un altro utente certificato, il messag- La posta elettronica certificata è, dunque, il nuovo (si fa gio viene raccolto dal gestore del dominio certificato per dire, ha ormai quattro anni) sistema attraverso il (punto di accesso) che lo racchiude in una busta di tra- quale è possibile inviare e-mail con valore legale1 equi- sporto e vi applica una firma elettronica in modo da parato ad una raccomandata con ricevuta di ritorno garantirne inalterabilità e provenienza. Fatto questo, (con attestazione dell’orario esatto di spedizione). Pur indirizza il messaggio al gestore di PEC destinatario che presentando delle forti similitudini con il servizio di verifica la firma e lo consegna al destinatario (punto di posta elettronica “tradizionale”, la PEC dispone di alcu- consegna). Una volta consegnato il messaggio, il gesto- ne caratteristiche aggiuntive tali da fornire agli utenti re PEC destinatario invia una ricevuta di avvenuta con- la certezza, a valore legale, dell’invio e della consegna segna all’utente mittente che può essere quindi certo (o meno) dei messaggi e-mail al destinatario. Inoltre che il suo messaggio è giunto a destinazione. Durante con il sistema di Posta Certificata è garantita la certez- la trasmissione di un messaggio attraverso due caselle za del contenuto: i protocolli di sicurezza utilizzati di PEC vengono emesse altre ricevute che hanno lo fanno si che non siano possibili modifiche al contenuto scopo di garantire e verificare il corretto funzionamen- del messaggio ed agli eventuali allegati, in qualunque forma essi siano. 1 Il termine “certificata” si riferisce al fatto che il La Posta Elettronica Certificata, garantisce, in caso di contenzio- so, l’opponibilità a terzi del messaggio. gestore del servizio rilascia al mittente una ricevuta 2 In ogni avviso inviato dai gestori è apposto anche un riferimen- (nella pratica un messaggio di posta elettronica) che to temporale che certifica data ed ora di ognuna delle operazio- costituisce prova legale dell’avvenuta spedizione ni descritte. inarcos 161
  • 4. to del sistema e di mantenere sempre la transazione in per l’utente è assolutamente analogo all’invio di una e- uno stato consistente. mail tradizionale, l’unica differenza è costituita dal In particolare: fatto di scegliere l’indirizzo di posta elettronica apposi- • Il punto di accesso, dopo aver raccolto il messaggio to, attivato mediante procedura del tutto simile a quel- originale, genera una ricevuta di accettazione che la per l’attivazione di un normale indirizzo di e-mail. viene inviata al mittente; in questo modo chi invia una Dopo l’invio occorre chiaramente monitorare la notifi- mail certificata sa che il proprio messaggio ha iniziato ca di ricevimento, ovvero conservare la ricevuta digita- il suo percorso. le (un messaggio di posta elettronica) dell’avvenuta • Il punto di ricezione, dopo aver raccolto il messaggio spedizione e ricevimento (o meno) da parte del desti- di trasporto, genera una ricevuta di presa in carico che natario. viene inviata al gestore mittente; in questo modo il Operativamente un’impresa o un libero professionista gestore mittente viene a conoscenza che il messaggio deve: è stato preso in custodia da un altro gestore. 1. Rivolgersi ad un gestore di PEC accreditato (l’elenco Questo e’ possibile in quanto la posta certificata ha le aggiornato è disponibile su http://www.cnipa.gov. seguenti caratteristiche: it/site/it-IT/Attivit%c3%a0/Posta_Elettronica_Certi- • il messaggio proviene da un gestore di posta certifi- ficata__(PEC)/Elenco_pubblico_dei_gestori/ o più cato e da uno specifico indirizzo e-mail certificato; semplicemente andare in www.cnipa.gov.it e cercare • il messaggio non può essere alterato durante la tra- nel menù di sinistra la voce “posta elettronica certifi- smissione; cata”) per richiedere uno o più indirizzi di PEC. • consente la privacy totale della comunicazione, avve- 2. Acquistare l’indirizzo di posta elettronica con il nome nendo lo scambio dati in ambiente sicuro; prescelto (a seconda del gestore e se si possiede già • assicura al mittente la certezza dell’avvenuto recapito un dominio internet è possibile avere un indirizzo del delle e-mail alla casella di posta certificata destinata- tipo nome.cognome@pec.nomedominio.it o simila- ria, con la spedizione di una ricevuta di consegna, in re) secondo la procedura stabilita (il gestore deve modo analogo alla tradizionale raccomandata A/R; accertarsi dell’identità del richiedente, dunque se • garantisce il destinatario da eventuali contestazioni in esso già dispone di un dominio registrato la proce- merito ad eventuali messaggi non ricevuti e dei quali dura è più semplice perché parte degli adempimenti il mittente sostiene l’avvenuto l’invio; burocratici sono già stati espletati in fase di registra- • assicura in modo inequivocabile l’attestazione della zione del dominio). data di consegna e di ricezione del messaggio e con- 3. Installare il nuovo account nel proprio client di posta serva la traccia della comunicazione avvenuta fra mit- elettronica (Outlook express, Windows Mail, Mi- tente e destinatario. crosoft Outlook, Thunderbird,...) o Web Mail secon- Dal punto di vista dell’utente, una casella di posta elet- do la procedura indicata dal gestore (del tutto simile tronica certificata non si differenzia da una casella di a quella per l’attivazione di un indirizzo di e-mail tra- posta normale; cambia solo per quello che riguarda il dizionale). meccanismo di comunicazione sul quale si basa la PEC e 4. Utilizzare l’indirizzo di PEC per l’invio di messaggi di sulla presenza di alcune ricevute inviate dai gestori PEC posta con eventuali allegati sia ad indirizzi di posta mittente e destinatario, dunque non è assolutamente elettronica tradizionale, sia ad indirizzi di posta elet- uno strumento difficile da usare: inviare un documento tronica certificata (distinguibili dal suffisso “pec”): informatico attraverso un indirizzo di posta certificato l’unica differenza è che l’invio di una e-mail ad un 162 inarcos
  • 5. indirizzo di posta normale ha valore di raccomanda- essere ripudiato dal sottoscrittore (la firma autogra- ta, mentre l’invio ad un indirizzo di PEC ha valore di fa può essere disconosciuta dal presunto sottoscrit- raccomandata A/R (ovviamente se si riceve l’avviso di tore dimostrando che si tratta di un falso.). ricevimento). Per generare una firma digitale è necessario utilizzare 5. Controllare ed archiviare le ricevute digitali di tra- una coppia di chiavi digitali asimmetriche, attribuite in smissione e di ricevimento in formato elettronico maniera univoca ad un soggetto detto Titolare della oppure cartaceo, stampandole. Tale archiviazione coppia di chiavi. La prima, chiave privata destinata ad può essere resa automatica utilizzando appositi essere conosciuta solo dal Titolare, è utilizzata per la automatismi resi disponibili dal client di posta (ad generazione della firma digitale da apporre al docu- esempio creando una regola in Outlook o Outlook mento, la seconda, chiave da rendere pubblica, viene Express che archivia le ricevute digitali in una apposi- utilizzata per verificare l’autenticità della firma. ta cartella opportunamente identificata). Caratteristica di tale metodo, detto crittografia a dop- 6. Ricordarsi di fare il backup della posta elettronica pia chiave, è che, firmato il documento con la chiave (attenzione all’ubicazione fisica dove il programma privata, la firma può essere verificata con successo di posta archivia i file dei dati!). esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dalla impossibilità di ricostrui- re la chiave privata (segreta) a partire da quella pub- 4. DIFFERENZE FRA PEC E FIRMA DIGITALE blica, anche se le due chiavi sono univocamente colle- gate. La Firma Digitale è il risultato di una procedura infor- La chiave privata utilizzata per la firma dei documen- matica che garantisce l’autenticità e l’integrità di mes- ti informatici deve essere conservata in maniera sicura saggi e documenti scambiati e archiviati con mezzi e segreta dal Titolare, che ne è responsabile; per tale informatici, al pari di quanto svolto dalla firma auto- ragione le smartcard crittografiche, opportunamente grafa per i documenti tradizionali. La differenza tra protette da PIN di accesso, sono state inizialmente firma autografa e firma digitale è che la prima è lega- individuate come un valido supporto, in quanto oltre ta alla caratteristica fisica della persona che appone la a permettere la generazione delle chiavi al loro inter- firma, vale a dire la grafia, mentre la seconda al pos- no e l’applicazione della firma digitale, dispongono di sesso di uno strumento informatico e di un PIN di abi- sistemi di sicurezza che impediscono l’esportazione e litazione, da parte del firmatario. la copia della chiave privata fuori dalla smartcard in La firma digitale è ottenuta attraverso una procedura cui è stata generata. La smartcard è simile, per forma di validazione che consente al sottoscrittore di rende- e dimensioni, ad una tradizionale carta di credito, ma re manifesta l’autenticità del documento informatico incorpora un processore in grado di memorizzare dati ed al destinatario di verificarne la provenienza e l’in- ed informazioni, a cui è possibile accedere tramite un tegrità. In sostanza i requisiti assolti sono: codice di sicurezza riservato e personale (PIN). • Autenticità: con un documento firmato digitalmen- Attualmente alle smartcard – che necessitano di appo- te si può essere certi dell’identità del sottoscrittore; sito lettore – si stanno affiancando dispositivi USB • Integrità: sicurezza che il documento informatico (eToken), più versatili nell’utilizzo, in quanto utilizza- non è stato modificato dopo la sua sottoscrizione; bili semplicemente collegandoli ad una porta USB del • Non ripudio: il documento informatico sottoscritto computer. con firma digitale, ha piena validità legale e non può La diffusione della chiave pubblica, invece, consente a inarcos 163
  • 6. tutti i possibili destinatari dei documenti informatici di Per la normativa italiana il certificato digitale deve disporre della chiave necessaria per la verifica dei contenere almeno le seguenti informazioni: documenti. Per individuare in maniera sicura il sotto- • numero di serie del certificato; scrittore del documento, la chiave pubblica deve esse- • ragione e denominazione sociale del certificatore; re legata in maniera certa al titolare della corrispon- • codice identificativo del titolare presso il certifica- dente chiave privata. tore; Rispetto all’utilizzo di un certificato digitale (conte- • nome, cognome e data di nascita ovvero ragione o nente le medesime informazioni presenti nella smart- denominazione sociale del titolare; card o token USB) memorizzato semplicemente su PC e • valore della chiave pubblica; trasmesso via internet, a fronte dei vantaggi dal punto • algoritmi di generazione e verifica utilizzabili; di vista della sicurezza che presentano suddetti dispo- • inizio e fine del periodo di validità delle chiavi; sitivi, ci sono degli indubbi svantaggi, dovuti al fatto di • algoritmo di sottoscrizione del certificato. dover avere sempre disponibile il dispositivo per poter Il certificato in formato X.509, contiene in uno stan- firmare digitalmente un documento. Inoltre la “tra- dard riconosciuto, una serie di campi per dati obbliga- sportabilità” della firma è talvolta limitata dalla neces- tori ai quali possono essere aggiunte ulteriori esten- sità di dover comunque installare appositi driver e spe- sioni per riportare informazioni aggiuntive. cifici software di gestione della firma per poter utiliz- Nella pratica l’utilizzo della firma digitale è semplice zare il dispositivo, oltre alla non completa compatibili- quanto utilizzare un bancomat: basta aprire il softwa- tà con i più diffusi ambienti operativi sul mercato. re di firma (anche le nuove versioni di Microsoft Word Se si vuole firmare digitalmente un messaggio di posta implementano la possibilità di firmare digitalmente i elettronica occorre preliminarmente aver installato il documenti) dopo aver inserito la chiave USB (oppure certificato nei programmi di posta utilizzati e nel la smartcard nel lettore), selezionare il documento sistema operativo; diversamente la semplice firma informatico da firmare, cliccare sull’apposita icona di digitale di un documento informatico (in formato PDF, firma e digitare il PIN segreto. I software generici di Word o altri formati stabiliti ufficialmente) è resa più firma normalmente generano un file in formato spe- semplice da dispositivi di firma portatili avanzati (quali ciale (estensione .p7m), mentre alcuni programmi già ad esempio la Business Key USB di Infocert) che incor- predisposti (ad es. Micorsoft Office Word, Adobe porano anche il software di firma e, pertanto, posso- Acrobat nelle versioni più recenti) possono gestire no essere utilizzati su qualsiasi PC senza la necessità di nativamente la firma digitale che è inserita all’interno dover installare software aggiuntivo. del documento informatico che dunque non cambia Il certificato digitale – contenuto nel dispositivo di estensione. firma – è il mezzo di cui dispone il destinatario per Opzionalmente si può aggiungere una marca tempo- avere la garanzia sull’identità del suo interlocutore e rale al documento per garantire la data e l’ora di firma per venire in possesso della chiave pubblica di que- (apposizione di “data certa” ai fini di legge). Le mar- st’ultimo. Per tale ragione il certificato – essenzial- che temporali sono acquistabili a parte in lotti (dun- mente un file – contiene, oltre la chiave pubblica per que ogni marcatura ha un costo), mentre la firma digi- la verifica della firma, anche i dati del titolare; è garan- tale ha validità generalmente triennale, rinnovabile tito e firmato da una “terza parte fidata”: il certifica- alla scadenza. tore (accreditato da CNIPA secondo regole prestabili- Per il rilascio della firma digitale le Certification te dalla legge). Authority (elenco aggiornato reperibile al sito 164 inarcos
  • 7. http://www.cnipa.gov.it/site/it-IT/Attivit%c3%a0/ to mediante posta elettronica con firma digitale si ha Firma_digitale/Certificatori_accreditati/Elenco_certifi- la possibilità di effettuare la trasmissione in modo sicu- catori_di_firma_digitale/ o più semplicemente andare ro e se il destinatario riceve il messaggio ed il relativo in www.cnipa.gov.it e cercare nel menù di sinistra la documento informatico allegato, si elimina completa- voce “Firma digitale”), che soddisfano requisiti del mente la necessità di trasmettere il documento via fax tutto simili a quelli dei gestori di posta certificata, o posta ordinaria. L’invio per posta elettronica ordina- devono riconoscere l’individuo che acquista la firma ria, anche con firma digitale, non ha però il valore digitale, quindi lo devono incontrare (o presso spor- della raccomandata (semplice o con avviso di ricevi- telli appositamente predisposti o in altro luogo) e que- mento). Questo si può ottenere mediante l’invio del sto fa lievitare leggermente i costi. messaggio attraverso una casella di posta elettronica Con la firma digitale, dunque, è possibile firmare con certificata: in tal caso se l’indirizzo del destinatario è valore legale un documento informatico e trasmet- un indirizzo PEC la corrispondenza ha valore di racco- terlo ad altri che avranno la garanzia che il docu- mandata con ricevuta di ritorno, viceversa – se è un mento è stato sottoscritto dal mittente, attraverso il indirizzo di e-mail ordinario – ha solo valore di racco- collegamento internet alla Certification Authority mandata semplice. (CA) la quale verifica la firma apposta sul documento Se invece si desidera inviare un messaggio di posta informatico (questa procedura è però automatica e elettronica con eventuali documenti allegati, senza la del tutto trasparente per l’utente che non deve fare necessità che essi siano firmati con valore legale, è pos- operazioni particolari). La firma digitale può essere sibile utilizzare la posta elettronica certificata e – apposta anche ad un messaggio di posta elettronica come precedentemente esposto, se il destinatario ha (occorre abilitare un indirizzo di posta elettronica un indirizzo PEC, allora la raccomandata è A/R, altri- all’utilizzo della firma digitale), direttamente trami- menti semplice. te il client di posta utilizzato: in questo modo chi rice- Vorrei però far notare un aspetto che differisce fra i ve il messaggio ha la garanzia che il messaggio di due sistemi facendo un confronto con la posta car- posta ed i relativi allegati sono stati inviati proprio tacea. dalla persona che ha firmato il messaggio, in quanto Se invio una raccomandata (A/R o meno) in posta al è garantita anche la non modificabilità del contenu- soggetto X e non firmo la lettera o i documenti nella to del messaggio di posta elettronica con firma digi- busta, il ricevente non ha nessuna garanzia del mit- tale (diversamente la modifica del messaggio causa- tente: potrei aver inviato una raccomandata a nome ta da virus, hacker o altro viene segnalata). Detto che di un’altra persona, con l’unica particolarità che devo la firma digitale è personale (abbinata sempre ad una indicare un indirizzo postale (non casella postale) per persona fisica e ad un indirizzo di posta elettronica l’avviso di ricevimento, dunque l’altra persona viene da essa indicato), mentre la posta elettronica certifi- a sapere di aver inviato una raccomandata A/R al sog- cata può essere assegnata ad una persona fisica o getto X. giuridica, passiamo ad analizzare le altre differenze Viceversa se firmo i documenti contenuti in una lette- fra i due sistemi. ra normale inviata per posta ordinaria il ricevente ha Come detto con la firma digitale si può firmare un la garanzia di avere documenti approvati da me stes- documento informatico (ad esempio un contratto, un so (salvo che la firma sia falsa, ma entriamo in altro incarico, un’offerta) con validità legale addirittura campo), ma io non ho la garanzia che il destinatario li superiore alla firma autografa. Se si invia il documen- abbia ricevuti, salvo contattarlo con altri mezzi, sem- inarcos 165
  • 8. pre che non abbia bisogno di cautelarmi ed avere la chiavi della cassetta della posta cartacea ordinaria), certezza legale documentata del ricevimento. mentre nel caso della firma digitale, oltre a mante- Questi due esempi mostrano le similitudini di due ope- nere la segretezza del PIN è necessario custodire con razioni che possono essere sostituite dalla trasmissio- cura il dispositivo di firma (smartcard o token). Del ne telematica: nel primo caso dalla posta elettronica resto dobbiamo avere la stessa attenzione auspicabi- certificata, nel secondo dalla firma digitale. Si noti che le nella gestione del bancomat, della carta di credito, in entrambe le situazioni lo strumento informatico dei relativi PIN, dei codici di accesso all’Home fornisce maggiori garanzie: Banking, del token che genera le password per l’ho- 1. La posta elettronica certificata viene inviata da un me banking, ecc.. indirizzo di e-mail che generalmente riporta il riferi- mento ad un nome di dominio (ad es. fabrizio@pec. dicrosta.it può far riferimento solo al dominio 5. VANTAGGI NELL’UTILIZZO DEI DOCUMENTI www.dicrosta.it) che comunque può essere registra- INFORMATICI to solo previa trasmissione di documenti che accerta- no l’identità del soggetto (persona fisica o giuridica) Visto che i documenti informatici possono essere e la proprietà del soggetto sul nome registrato (in approvati, conservati e trasmessi telematicamente in Italia non si può registrare un dominio www.fiat.it se modo sicuro e valido a tutti gli effetti legali, a condi- non si è proprietari del marchio FIAT). Ricordo che la zione di adottare tutte le misure di sicurezza necessa- proprietà di un dominio è comunque pubblica (per i rie per i sistemi informatici (antimalware, firewall, domini “.it” è sufficiente ricercare dei siti che offro- backup, ...), peraltro già rese obbligatorie dall’Alle- no la funzionalità “whois”, come ad esempio gato B del D.Lgs 196/2003 (Codice della Privacy), per- http://www.tuonome.it ed individuare la voce di ché non procedere alla progressiva smaterializzazione menù “Whois”). dei documenti e della corrispondenza? È sufficiente 2. La firma digitale ha un valore legale riconosciuto investire un po’ di tempo per conoscere questi nuovi superiore alla firma autografa che può essere disco- strumenti, scegliere il fornitore più adatto, formare il nosciuta dal presunto sottoscrittore dimostrando personale nel loro utilizzo e dotarsi di uno scanner per che si tratta di un falso, mentre ciò non è possibile l’acquisizione di documenti disponibili solo in formato nel caso della firma digitale. cartaceo; dopodiché i vantaggi sono considerevoli: Ne consegue che l’impiego combinato di posta elet- tronica certificata e firma digitale può permetterci di • per inviare raccomandate (con A/R verso soggetti già gestire in modo completo la sottoscrizione e la tra- predisposti) non è più necessario recarsi in posta, smissione di documenti informatici, l’unico limite è compilare bollettini postali, fare file e pagare il costo dato dagli interlocutori – comprese le Pubbliche di ogni singola raccomandata. Se il corrispondente Amministrazioni - che potrebbero non essere ancora necessita comunque della copia cartacea del docu- attrezzati con indirizzi PEC e firme digitali, ma i prov- mento è possibile inviargliela, in ogni caso, via posta vedimenti legislativi precedentemente citati dovreb- ordinaria. bero aiutarci in questo. • per sottoscrivere contratti non è più necessario Ovviamente nel caso dell’indirizzo di PEC occorre incontrare personalmente il cliente o il fornitore, né avere la massima cura nel custodire i codici di acces- trasmettere per posta il documento. so all’indirizzo di posta (come non bisogna perdere le • per gestire internamente l’approvazione dei docu- 166 inarcos
  • 9. menti e la loro conservazione è possibile dotarsi di cienza per il fatto di poter comunicare con un inter- applicativi software appositi che gestiscano la firma locutore dotato di posta elettronica certificata ed digitale qualificata, oppure predisporre un sistema eventualmente di firma digitale. Naturalmente in di firma elettronica interno se non si necessita del realtà più articolate non è sufficiente acquistare i valore legale dell’approvazione interna del docu- prodotti/servizi descritti, ma bisogna riorganizzare mento. alcuni processi interni per recepire le modifiche organizzative che inevitabilmente porta ogni inno- Da un lato i costi diminuiscono sensibilmente perché si vazione tecnologica. riducono le spese postali ed i tempi del personale per gestire la corrispondenza in uscita ed in ingresso, oltre 7. BIBLIOGRAFIA – RISORSE WEB ai costi vivi della carta e dei toner delle stampanti, riducendo anche l’impatto ambientale (considerate [1] http://www.cnipa.gov.it – sito del CNIPA da cui è anche che una lettera viaggia su mezzi di trasporto possibile scaricare i testi integrali dei provvedimen- inquinanti). Dall’altro occorre un piccolo investimento ti legislativi inerenti la posta elettronica certificata nelle risorse umane (formazione) e tecnologiche. I e la firma digitale costi dei servizi di firma digitale e posta elettronica [2] www.pec.it – sito Aruba per la posta elettronica certificata sono certamente modesti anche per una certificata piccola impresa e per un professionista: [3] http://www.legalmail.it/posta_elettronica_certifi- cata.htm - sito Legalmail Infocert per la posta elet- • Un indirizzo di posta elettronica certificata legato ad tronica certificata un dominio già registrato per l’utente può costare [4] http://www.microsoft.com/italy/pmi/gestioneim- anche solo € 5 all’anno; nessun costo aggiuntivo per presa/speciali/postaelettronicacertificata/ipsoa/def ogni e-mail inviata o ricevuta; ault.mspx - sito Microsoft per la posta elettronica • Un kit di firma digitale, comprensivo di certificato e certificata dispositivo di firma, costa circa € 60-80 per 3 anni (il [5] http://www.openpec.org/index.shtml - sito del pro- rinnovo € 15-20), il costo non varia in base all’utiliz- getto posta elettronica certificata Opensource. zo, ma può essere aggiunto il servizio di marca tem- [6] Legge n. 2 del 28/01/2009 - “Misure urgenti per il porale a partire da circa € 30 per 100 marche tem- sostegno a famiglie, lavoro, occupazione e impresa porali (ovviamente il costo unitario si abbassa al cre- e per ridisegnare in funzione anti-crisi il quadro scere del numero di marche). strategico nazionale” Tutti i costi indicati sono IVA esclusa. [7] D.Lgs n. 82 del 07/03/2005 - “Codice dell’ammini- strazione digitale” [8] Decreto 02/11/2005 - “Regole tecniche per la for- 6. CONCLUSIONI mazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” È dunque necessario adeguarsi alle prescrizioni di [9] DPR 11 febbraio 2005, n. 68 - “Regolamento recan- legge anche per usufruire degli enormi vantaggi che te disposizioni per l’utilizzo della posta elettronica gli strumenti presentati possono fornire e per con- certificata, a norma dell’articolo 27 della legge 16 sentire anche ai soggetti con i quali ci si interfaccia gennaio 2003, n. 3.” (clienti, fornitori, terzi, P.A.) di migliorare la loro effi- ■ inarcos 167

×