Posta elettronica certificata - PEC

Ulteriori dettagli tecnico/giuridici

Verifica della firma del Gestore

I Gestori, come si è detto, firmano tutto quanto da loro prodotto: Ricevute, Buste di trasporto e Avvisi.
Queste firme sono emesse con un dispositivo di firma conforme con i criteri di certificazione indicati al capitolo 1, lettera r) della Circolare CNIPA/CR/49 (8) e sono basate su certificati rilasciati appositamente dal CNIPA con una Certification Authority a sé stante. Questa CA è inserita in una «catena» di trust supportata da una delle CA contenute in Windows. Pertanto ogni PC è in grado di verificare l’autenticità di tali firme.

Tavola 2 - Esempio di testo contenuto in una BdT

Prova del contenuto della PEC inviata

Se si invia un messaggio di PEC a un altro utentesempre di PEC, la ricevuta di consegna che viene recapitata al mittente contiene normalmente, salvo diversa scelta da parte di quest’ultimo, l’intero messaggio spedito, il che gli consente di dimostrare di aver inviato proprio «quel» messaggio. Questo è analogo al risultato che si ottiene con la posta cartacea quando si manda una Raccomandata senza busta: il destinatario non può negare di aver ricevuto esattamente quel contenuto. Anzi: la PEC è ancora più affidabile, in quanto, a differenza della raccomandata cartacea, la ricevuta contiene proprio il messaggio spedito e per di più senza grosse limitazioni (9). Infatti qualora, con la Raccomandata cartacea «senza busta», il destinatario asserisca di aver perso la comunicazione senza quindi esibirla, il mittente ha l’onere di dimostrare di aver inviato proprio quel determinato messaggio, facendosi carico di una serie di adempimenti accessori. Con la PEC, invece, al mittente basta esibire la ricevuta di consegna che di per sé fa testo. Come anticipato, la normativa prevede la possibilità di chiedere una ricevuta che non contenga il messaggio inviato, ma solo il suo testo con il digest degli allegati (Ricevuta breve) o addirittura solo il file daticert.xml (Ricevuta sintetica). Quest’ultima scelta non fornisce più quel livello di garanzia di cui sopra per cui, in assenza di altri meccanismi che forniscano un analogo livello di affidabilità, sceglierla rasenta il masochismo. In ogni caso la scelta del tipo di ricevuta è possibile solo se non si utilizzano i normali client (sul tipo di Outlook, Outlook Express, Firefox, Opera, ecc.), ma applicazioni webmail appositamente fornite dai Gestori.

Purtroppo la normativa non prevede che l’identificativo del messaggio di PEC creato dal Gestore, di cui al punto 2 del capitolo «Flusso operativo«, sia basato sul digest del messaggio per cui, se si manda un messaggio di PEC a un destinatario che non sia anch’esso utente PEC, non sarà in alcun modo possible fruire della prova di cui si è appena parlato.
Infatti la ricevuta di accettazione che un Gestore invia al mittente non avrà alcun collegamento inoppugnabile al contenuto del messaggio e quindi il mittente, non potendo disporre della ricevuta di consegna di cui si è appena parlato, non sarà in grado di opporre alcunché di valido di per sé in caso di contestazione.

Qualora il CNIPA, come accennato nella Premessa, adeguasse le norme tecniche alle specifiche di prossima pubblicazione da parte di ETSI, in modo che anche nella ricevuta di Accettazione si abbia un collegamento al digest del messaggio, si eliminerebbe anche questa carenza.

Affidabilità del tempo della PEC

I dati del log relativi a specifiche spedizioni di mail di PEC possono essere richiesti al Gestore interessato come sostituto delle ricevute, delle Buste di trasporto e degli avvisi recapitati al singolo utente, nel caso in cui quest’ultimo le abbia smarrite.

Stante la caratteristica dei Gestori di essere una Terza Parte fidata, caratteristica avallata dalla vigilanza che su di essi esercita il CNIPA, il tempo da essi indicato in Ricevute, Buste di trasporto e Avvisi è da ritenersi strumento di validazione temporale, come consentito dal Dlgs 82/2005 all’art. 48, comma 3: «La data e l’ora di trasmissione e di ricezione di un documento informatico trasmesso mediante posta elettronica certificata sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche.»

Ne consegue che per dimostrare che un determinato documento, per esempio uno a cui sia stata apposta una firma digitale, esisteva a un determinato momento, si può inviarlo per PEC. Ovviamente laddove si preveda che tale dimostrazione debba essere esibita oltre i 30 mesi citati prima possono esserci difficoltà oggettive a sostenere tale tesi: se il certificate di firma del Gestore infatti scadesse entro quei trenta mesi, come è la norma, non sarebbe possible dimostrare valida la firma relativa né si potrebbe disporre del relativo log. In tale caso, quindi, è meglio ricorrere alle marche temporali.Se si vuole conservare per un periodo più lungo la dimostrazione dell’esistenza dei succitati elementi di PEC (Ricevute, Buste di trasporto e Avvisi) si può chiedere al Gestore, poco prima della scadenza dei fatidici trenta mesi, il log relativo ad essi. Si otterrà una comunicazione probante da parte del Gestore firmata con il certificato che esso avrà allora in uso, il che allungherà la vita dell’elemento interessato.In ogni caso non sarà possibile esibire queste «prove» per un tempo indefinito. Si ha comunque la possibilità di ricorrere alla conservazione sostitutiva.

La PEC e la Pubblica Amministrazione

La Finanziaria 2008, dispone che, a decorrere dalla data di entrata in vigore del regolamento tecnico di cui al comma 213 dell’elefantiaco art. 1, «l’emissione, la trasmissione, la conservazione e l’archiviazione delle fatture emesse nei rapporti con le amministrazioni dello Stato, anche ad ordinamento autonomo, e con gli enti pubblici nazionali, anche sotto forma di nota, conto, parcella e simili, deve essere effettuata esclusivamente in forma elettronica, …»

Ne dovrebbe derivare la speranza che, finalmente, almeno tutte le Pubbliche Amministrazioni Centrali dispongano di una casella di posta elettronica e, chissà, forse, in considerazione della sua maggiore affidabilità, addirittura di PEC.
Già questo era imposto dal seguente dettato del CAD all’art. 46, comma 3:

«Entro otto mesi dalla data di entrata in vigore del presente codice le pubbliche amministrazioni centrali provvedono a:
– istituire almeno una casella di posta elettronica istituzionale ed una casella di posta elettronica certificate ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, per ciascun registro di protocollo»
Purtroppo così non è stato (10).

NOTE
(8) «Le caratteristiche di sicurezza di detti dispositivi dovranno essere valutate secondo le specifiche CEN:CWA 14169. Sono altresì ammessi:
– livelli di valutazione E3 e robustezza HIGH dell’ITSEC e EAL 4
della norma ISO/IEC 15408 o superiori;
– livelli di valutazione internazionalmente riconosciuti;
– i dispositivi previsti dalla normativa in materia di firma digitale».
(9) In realtà una limitazione può essere posta dal Gestore alla dimensione del singolo messaggio, ma il D.M. 2/11/2005 all’art. 12, comma 2 dispone: «In ogni caso il gestore di posta elettronica certificata deve garantire la possibilità dell’invio di un messaggio:
– almeno fino a cinquanta destinatari;
– per il quale il prodotto del numero dei destinatari per la dimensione del messaggio stesso non superi i trenta megabytes.» Si tratta, comunque, di un limite abbastanza ampio.
(10) Non sarà mai abbastanza additato alla pubblica derisione quanto fatto da un Ministero di cui non si cita il nome il quale, in occasione dell’emanazione di un bando di gara al quale partecipavano i certificatori italiani, rifiutò lo scambio di documentazione per PEC, pretendendo invece l’uso del fax, sì: del fax.

Autore: Franco Ruggieri - Consulente per firma digitale, conservazione sostitutiva, PEC e fatturazione elettronica.
Fonte: Amministrazione & Finanza - Ipsoa Editore, n. 14/2008