Posta elettronica certificata - PEC

Aspetti giuridici e tecnici

Aspetti giuridici

L’obiettivo principale della normativa sulla PEC, come fa capire chiaramente l’appena citato art. 48 del CAD, è fornire alla posta elettronica caratteristiche di affidabilità analoghe a quelle della raccomandata con Avviso di Ricezione. Anzi, come chiarisce il comma 2 del medesimo art. 48, un invio tramite PEC addirittura «equivale, nei casi consentiti dalla legge, alla notificazione per mezzo della posta ».
Perché ciò possa avvenire bisogna fare uso di un Gestore di PEC incluso nell’apposito Elenco CNIPA, come dice in modo inequivocabile l’art. 4, comma 7, del DPR 68/2005: «Il mittente o il destinatario che intendono fruire del servizio di posta elettronica certificata si avvalgono di uno dei gestori di cui agli articoli 14 e 15.»

L’art. 14 ribadisce un concetto già espresso dal comma 1 dell’art. 4: «Il mittente o il destinatario che intendono fruire del servizio di posta elettronica certificata si avvalgono dei gestori inclusi in un apposito elenco pubblico disciplinato dal presente articolo». L’art. 15 assicura ai Gestori accreditati in altri paesi membri dell’Unione Europea (European Union Member States - EUMS) parità di diritti con i Gestori italiani. Infine il comma 13 dell’art. 14 assegna al CNIPA il compito di vigilare sull’operato dei gestori da esso accreditati: «Il CNIPA svolge funzioni di vigilanza e controllo sull’attività esercitata dagli iscritti all’elenco di cui al comma 1.»
Un aspetto collaterale, ma ugualmente importante, è che la PEC fornisce un meccanismo atto a costituire «validazione temporale» (5) come dice il comma 3, sopra citato, dell’art. 48 del CAD.

Aspetti tecnici

Dal punto di vista tecnico la PEC è molto semplice da usare: bastano un contratto con uno dei 23 Gestori accreditati alla data in cui si scrive questo articolo, un client sul tipo di Outlook Express o Mozilla Thunderbird oppure la possibilità di accedere alla propria casella di PEC con modalità webmail, e si è pronti all’uso: basta preparare il messaggio, aggiungere gli eventuali allegati e spedire il tutto.

La ricezione è soltanto un poco più laboriosa: si riceverà una Busta di Trasporto, cioè un messaggio di posta elettronica che, una volta aperto, conterrà due allegati il cui nome è definito dal citato DM 2 novembre 2005: postacert.eml e daticert.xml. Il primo contiene il messaggio originale, il secondo contiene l’insieme, strutturato dal Gestore del Mittente secondo le specifiche definite nel D.M., di tutte le informazioni relative all’invio: mittente, gestore del mittente, tutti i destinatari, data e ora dell’invio e altre informazioni «di servizio».La cosa si complica un po’ ’quando si fa il cosiddetto forward (inoltro) ad altri destinatari di un messaggio ricevuto, che magari trasporta allegati. Infatti il destinatario di questo inoltro, aprendo il messaggio di PEC, vi potrà trovare una combinazione degli allegati originali, di quelli aggiunti da chi ha inoltrato il messaggio e perfino il datacert.xml del messaggio originale: insomma, serve un po’ di attenzione per ricostruire la sequenza dei messaggi e capire che cosa è stato allegato a quale invio di messaggio. Si deve riconoscere, però, che si tratta di un sistema che funziona, nonostante qualche possibile miglioramento dovuto al fatto che si tratta della prima realizzazione di questo tipo al mondo, avente per di più validità legale.

Flusso operativo

La sequenza delle operazioni è mostrata in Tavola 1, i flussi indicati nella figura sono spiegati qui di seguito.

1) Il mittente, dopo essersi fatto doverosamente riconoscere dal proprio Gestore, mediante password o altri meccanismi (6) a seconda della scelta del Gestore stesso, inoltra a quest’ultimo il messaggio;
2) il Gestore crea per questo messaggio di PEC un identificativo che sarà associato a tutte le ricevute, avvisi, buste di trasporto generate relativamente a questo messaggio dai gestori del circuito PEC interessati. Il Gestore quindi verifica che il messaggio sia formalmente corretto e privo di virus. Se l’esito è sfavorevole restituisce al mittente un Avviso di non accettazione che riporta anche il motivo del rifiuto, altrimenti invia al mittente una Ricevuta di accettazione;3) il Gestore del mittente crea la Busta di Trasporto contenente quanto precedentemente indicato (daticert. xml e postacert.eml). La BdT riporta il momento, con una tolleranza massima di 1 minuto rispetto al tempo UTC (7), in cui il Gestore ha preso in carico il messaggio inviato dal mittente e altre informazioni riportate anche nel file daticert.xml. Essa che, come si è detto, costituisce il messaggio di PEC effettivamente inviato al destinatario, è firmata dal Gestore con quella che nel D.P.R. 68/2005 è chiamata «firma elettronica avanzata», in inglese Advanced Electronic Signature - AdES, in conformità con la Direttiva europea 1999/93/CE sulle firme elettroniche. Purtroppo nel D.Lgs. n. 82 del 7 marzo 2005 tale tipo di firma è stato eliminato, caso più unico che raro tra i paesi membri dell’Unione Europea, e quindi nel Decreto del Ministro per l’innovazione e le tecnologie del 2 novembre 2005 è stato necessario inventarsi la «Firma del gestore» che altro non è che la firma elettronica avanzata.
In Tavola 2 è riportato un esempio del testo contenuto in una tale BdT.
La Busta di Trasporto viene inviata al Gestore del destinatario.
4) il Gestore del destinatario esamina la Busta di Trasporto e, se essa è valida e priva di virus, la accetta e restituisce al Gestore mittente una Ricevuta di presa in carico; altrimenti invia al Gestore del mittente un Avviso di presenza di virus;
5) dopo avere accettato la BdT il Gestore del destinatario tenta di depositarla nella mailbox del destinatario;
6) a seconda dell’esito del tentativo di cui al punto precedente, il Gestore del destinatario invia a quello del mittente una Ricevuta di consegna o un Avviso di mancata consegna.
7) il Gestore del mittente inoltra a quest’ultimo quanto testé ricevuto. Inoltre questo Gestore, qualora non riceva segno di vita da quello del destinatario entro 12 ore dall’inoltro della BdT, ne informa il mittente. Trascorse inutilmente e complessivamente 22 ore, e comunque prima che siano trascorse 24 ore, comunica al mittente la ferale notizia che il messaggio non è stato consegnato. I Gestori sono tenuti a registrare tutte le operazioni relative alle operazioni della PEC nel log del proprio sistema di PEC e, al massimo ogni giorno, a estrarre le registrazioni dell’ultimo periodo, ad apporvi una marca temporale e a conservarle con modalità di conservazione sostitutiva conforme alle norme relative per almeno 30 mesi. Inutile dire che il termine dei 30 mesi è raramente superato.

Tavola 1 - Flusso operativo della PEC

Note:
(5) CAD, art. 1, comma 1, lettera bb): «validazione temporale: il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi.»
(6) Tra questi messianismi meritano essere ricordati lo One Time Password - OTP - ben noto agli utenti di alcuni Internet Banking, il riconoscimento mediante misure biometriche o mediante dispositive crittografici quali ad esempio le smart card.
(7) UTC ovvero Tempo Coordinato Universale (Coordinated Universal Time - UTC). Si tratta dell’equivalente attuale dell’ora di Greenwich, ottenuta come media delle rilevazioni di oltre trecento stazioni dotate di orologi atomici installate in varie parti del mondo per tener conto delle variazioni del moto rotatorio della Terra.

Autore: Franco Ruggieri - Consulente per firma digitale, conservazione sostitutiva, PEC e fatturazione elettronica.
Fonte: Amministrazione & Finanza - Ipsoa Editore, n. 14/2008


In partnership con IPSOA
**
**

Le notizie

Gestione privacy in azienda

Gestione delle riunioni

Il risk management

Impresa in un giorno

Gli strumenti

Destinazione Impres@

Sicurezza informatica

Promozioni in corso

Pillole di tecnologia

Risorse
Chiudi



Condividi
Chiudi