c.m.g
08-05-2010, 10:07
May 7th, 2010 by Marco
Si fa tanto parlare in questi ultimi tempi di posta elettronica certificata, o PEC. In particolare si discute molto riguardo possibili alternative – legalmente valide – legate all’utilizzo di certificati S/MIME e, di conseguenza, l’inutilità della PEC.
Bisogna fare un po il punto della situazione ed alcune considerazioni al fine di poter comprendere al meglio la differenza tra le due tecnologie e come in realtà entrambe si completino.
La Posta Elettronica Certificata consente, per effetto del DPR n°68 del 11 Febbraio 2005, l’invio di messaggi la cui trasmissione è valida agli effetti di legge. Ciò significa che la PEC è, a tutti gli effetti, la sostituta della famosa vecchia raccomandata con ricevuta di ritorno la quale, in tribunale, garantisce l’effettiva consegna della raccomandata nelle mani del destinatario.
Come funziona la PEC? Cerchiamo di spiegarlo nella maniera più semplice possibile, a costo di sacrificare alcuni dettagli tecnici.
Innanzitutto sia mittente che destinatario devono utilizzare un account di posta elettronica certificata, il perché verrà spiegato successivamente.
Il mittente scrive al destinatario la propria lettera, come avrebbe scritto a mano una raccomandata. Nel momento in cui il mittente invia l’e-mail, inizia la procedura di trasmissione certificata.
L’e-mail viene presa in lavorazione dal provider di PEC utilizzato dal mittente. Il provider, per poter fungere da provider di posta elettronica certificata, deve seguire delle precise specifiche tecniche.
Ora il provider crea una busta di trasporto, nella quale inserisce l’e-mail del mittente. Questa busta di trasporto è la garanzia che l’e-mail arriverà al provider del destinatario inalterata.
Nel momento in cui il provider del mittente inizia questa procedura, invia una e-mail di feedback al mittente, nella quale informa il mittente che l’e-mail inviata è stata presa in lavorazione – cioè il provider sta provvedendo ad inviare l’e-mail certificata al destinatario.
Il provider di posta certificata del destinatario riceve la busta di trasporto dal provider del mittente e ne verifica l’integrità. Superato questo passaggio, l’e-mail viene inoltrata immediatamente all’account e-mail del destinatario. In questo momento, il provider del destinatario informa il provider del mittente che l’e-mail è stata consegnata al destinatario.
Il provider del mittente inoltrerà questa conferma di avvenuta consegna al mittente stesso, il quale potrà avere conferma che la sua e-mail ha raggiunto con successo il destinatario. Inoltre, il mittente potrà avere conferma della data e dell’ora in cui l’e-mail è stata recapitata al destinatario.
In questa maniera, il mittente avrà in mano una ricevuta di ritorno, così come sarebbe successo se avesse inviato una normale raccomandata con ricevuta di ritorno. Questa e-mail di avvenuta consegna che il provider del destinatario invia al provider del mittente è l’email che ha, in tribunale, valore legale.
È importante porre ora l’attenzione su come funziona la busta di trasporto, cioè il veicolo con cui i due provider di posta certificata comunicano e si trasferiscono le e-mail. La garanzia che la busta di trasporto sia inalterata durante il trasferimento da un provider all’altro è determinata dall’utilizzo di uno standard ben noto da tempo, cioè lo standard S/MIME (Secure/Multipurpose Internet Mail Extensions). Questo standard si basa sull’utilizzo di certificati digitali che permettono di firmare (e crittografare, volendo) le e-mail.
Senza soffermarsi sul funzionamento degli algoritmi di crittografia asimmetrica, basta sottolineare come essi possano garantire l’integrità del messaggio semplicemente apponendo una firma digitale sul messaggio stesso.
Il provider del mittente crea la busta di trasporto, vi inserisce l’e-mail del mittente e la firma digitalmente grazie ad proprio certificato digitale. Il provider del destinatario, grazie a questa firma digitale, può verificare che la busta di trasporto sia integra e, quindi, accettarla o meno.
Tuttavia è importante sottolineare come la PEC non garantisca a priori l’integrità del messaggio. La PEC, così strutturata, garantisce solamente che l’e-mail inviata dal mittente non venga alterata durante il trasferimento da provider a provider, ma non garantisce che l’e-mail scritta dal mittente non sia stata alterata nel percorso tra il mittente e il provider del mittente.
Ecco che entra in gioco l’utilizzo dei certificati S/MIME come strumento per garantire l’integrità dell’e-mail inviata.
Qualsiasi utente può disporre di un proprio certificato digitale S/MIME, grazie al quale può firmare le proprie e-mail digitalmente. Firmando digitalmente la propria e-mail, questa e-mail assumerà valore legale.
Infatti, secondo l’Art. 21 del D.Lgs n°82 del 7 Marzo 2005, “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile“.
Essendo lo standard S/MIME un tipo di firma elettronica qualificata, l’e-mail assume validità legale. Ciò significa che, inviando una e-mail con una firma digitale, quella e-mail potrà essere utilizzata in tribunale se ci dovessero essere eventuali cause legali.
Quindi dov’è il problema nell’utilizzo di un certificato S/MIME come alternativa alla PEC? I problemi sono essenzialmente due:
- con la PEC si ha una conferma che l’e-mail è stata effettivamente consegnata al destinatario, ma non si utilizza nessuna tecnologia affinché l’e-mail si possa considerare effettivamente integra sin dalla fonte;
- con i certificati S/MIME del singolo utente che invia l’e-mail si ha la conferma legale che l’e-mail, così come è stata scritta dal mittente, nello stesso stato raggiungerà il destinatario, senza venir mai alterata; tuttavia non si può avere un’effettiva conferma che l’e-mail abbia raggiunto il destinatario né la data e l’ora in cui abbia effettivamente raggiunto il destinatario.
Quindi, a rigor di logica, sia la PEC che l’utilizzo di certificati S/MIME ad personam forniscono un qualcosa di utile l’uno all’altro.
Un ultimo appunto riguarda la domanda: ma è necessario per forza utilizzare la PEC così come è stata studiata e progettata? Non è possibile farne a meno?
Risponde a questa domanda la legge n°2 del 28 Gennaio 2009, pubblicata nella Gazzetta Ufficiale n°22 del 28 gennaio 2009. L’articolo 16 di suddetta legge recita:
“Le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse, garantendo l’interoperabilita’ con analoghi sistemi internazionali. Entro tre anni dalla data di entrata in vigore del presente decreto tutte le imprese, gia’ costituite in forma societaria alla medesima data di entrata in vigore, comunicano al registro delle imprese l’indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.”
In altre parole, significa che non è necessario per forza di cose appoggiarsi alla PEC così come è stata progettata. Si possono utilizzare differenti tecnologie, l’importante è che possano certificare in maniera legale la data e l’ora dell’invio e della ricezione delle e-mail.
Esistono tecnologie che rispondono a questi requisiti, quali ad esempio Globaltrust Corporate Secure Email per le aziende.
La PEC è, in definitiva, a mio avviso un grande passo avanti nel mondo della comunicazione sicura online. Se è vero che la PEC non inventa niente di nuovo, definisce però uno standard che potrebbe finalmente far arrivare nelle case di tutti una tecnologia che altrimenti rischiava di rimanere sconosciuta ai più.
Fonte: PcAlSicuro.com di Marco Giuliani (http://www.pcalsicuro.com/main/2010/05/pec-e-smime-equivalenti-o-complementari/#more-341)
Si fa tanto parlare in questi ultimi tempi di posta elettronica certificata, o PEC. In particolare si discute molto riguardo possibili alternative – legalmente valide – legate all’utilizzo di certificati S/MIME e, di conseguenza, l’inutilità della PEC.
Bisogna fare un po il punto della situazione ed alcune considerazioni al fine di poter comprendere al meglio la differenza tra le due tecnologie e come in realtà entrambe si completino.
La Posta Elettronica Certificata consente, per effetto del DPR n°68 del 11 Febbraio 2005, l’invio di messaggi la cui trasmissione è valida agli effetti di legge. Ciò significa che la PEC è, a tutti gli effetti, la sostituta della famosa vecchia raccomandata con ricevuta di ritorno la quale, in tribunale, garantisce l’effettiva consegna della raccomandata nelle mani del destinatario.
Come funziona la PEC? Cerchiamo di spiegarlo nella maniera più semplice possibile, a costo di sacrificare alcuni dettagli tecnici.
Innanzitutto sia mittente che destinatario devono utilizzare un account di posta elettronica certificata, il perché verrà spiegato successivamente.
Il mittente scrive al destinatario la propria lettera, come avrebbe scritto a mano una raccomandata. Nel momento in cui il mittente invia l’e-mail, inizia la procedura di trasmissione certificata.
L’e-mail viene presa in lavorazione dal provider di PEC utilizzato dal mittente. Il provider, per poter fungere da provider di posta elettronica certificata, deve seguire delle precise specifiche tecniche.
Ora il provider crea una busta di trasporto, nella quale inserisce l’e-mail del mittente. Questa busta di trasporto è la garanzia che l’e-mail arriverà al provider del destinatario inalterata.
Nel momento in cui il provider del mittente inizia questa procedura, invia una e-mail di feedback al mittente, nella quale informa il mittente che l’e-mail inviata è stata presa in lavorazione – cioè il provider sta provvedendo ad inviare l’e-mail certificata al destinatario.
Il provider di posta certificata del destinatario riceve la busta di trasporto dal provider del mittente e ne verifica l’integrità. Superato questo passaggio, l’e-mail viene inoltrata immediatamente all’account e-mail del destinatario. In questo momento, il provider del destinatario informa il provider del mittente che l’e-mail è stata consegnata al destinatario.
Il provider del mittente inoltrerà questa conferma di avvenuta consegna al mittente stesso, il quale potrà avere conferma che la sua e-mail ha raggiunto con successo il destinatario. Inoltre, il mittente potrà avere conferma della data e dell’ora in cui l’e-mail è stata recapitata al destinatario.
In questa maniera, il mittente avrà in mano una ricevuta di ritorno, così come sarebbe successo se avesse inviato una normale raccomandata con ricevuta di ritorno. Questa e-mail di avvenuta consegna che il provider del destinatario invia al provider del mittente è l’email che ha, in tribunale, valore legale.
È importante porre ora l’attenzione su come funziona la busta di trasporto, cioè il veicolo con cui i due provider di posta certificata comunicano e si trasferiscono le e-mail. La garanzia che la busta di trasporto sia inalterata durante il trasferimento da un provider all’altro è determinata dall’utilizzo di uno standard ben noto da tempo, cioè lo standard S/MIME (Secure/Multipurpose Internet Mail Extensions). Questo standard si basa sull’utilizzo di certificati digitali che permettono di firmare (e crittografare, volendo) le e-mail.
Senza soffermarsi sul funzionamento degli algoritmi di crittografia asimmetrica, basta sottolineare come essi possano garantire l’integrità del messaggio semplicemente apponendo una firma digitale sul messaggio stesso.
Il provider del mittente crea la busta di trasporto, vi inserisce l’e-mail del mittente e la firma digitalmente grazie ad proprio certificato digitale. Il provider del destinatario, grazie a questa firma digitale, può verificare che la busta di trasporto sia integra e, quindi, accettarla o meno.
Tuttavia è importante sottolineare come la PEC non garantisca a priori l’integrità del messaggio. La PEC, così strutturata, garantisce solamente che l’e-mail inviata dal mittente non venga alterata durante il trasferimento da provider a provider, ma non garantisce che l’e-mail scritta dal mittente non sia stata alterata nel percorso tra il mittente e il provider del mittente.
Ecco che entra in gioco l’utilizzo dei certificati S/MIME come strumento per garantire l’integrità dell’e-mail inviata.
Qualsiasi utente può disporre di un proprio certificato digitale S/MIME, grazie al quale può firmare le proprie e-mail digitalmente. Firmando digitalmente la propria e-mail, questa e-mail assumerà valore legale.
Infatti, secondo l’Art. 21 del D.Lgs n°82 del 7 Marzo 2005, “Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile“.
Essendo lo standard S/MIME un tipo di firma elettronica qualificata, l’e-mail assume validità legale. Ciò significa che, inviando una e-mail con una firma digitale, quella e-mail potrà essere utilizzata in tribunale se ci dovessero essere eventuali cause legali.
Quindi dov’è il problema nell’utilizzo di un certificato S/MIME come alternativa alla PEC? I problemi sono essenzialmente due:
- con la PEC si ha una conferma che l’e-mail è stata effettivamente consegnata al destinatario, ma non si utilizza nessuna tecnologia affinché l’e-mail si possa considerare effettivamente integra sin dalla fonte;
- con i certificati S/MIME del singolo utente che invia l’e-mail si ha la conferma legale che l’e-mail, così come è stata scritta dal mittente, nello stesso stato raggiungerà il destinatario, senza venir mai alterata; tuttavia non si può avere un’effettiva conferma che l’e-mail abbia raggiunto il destinatario né la data e l’ora in cui abbia effettivamente raggiunto il destinatario.
Quindi, a rigor di logica, sia la PEC che l’utilizzo di certificati S/MIME ad personam forniscono un qualcosa di utile l’uno all’altro.
Un ultimo appunto riguarda la domanda: ma è necessario per forza utilizzare la PEC così come è stata studiata e progettata? Non è possibile farne a meno?
Risponde a questa domanda la legge n°2 del 28 Gennaio 2009, pubblicata nella Gazzetta Ufficiale n°22 del 28 gennaio 2009. L’articolo 16 di suddetta legge recita:
“Le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrita’ del contenuto delle stesse, garantendo l’interoperabilita’ con analoghi sistemi internazionali. Entro tre anni dalla data di entrata in vigore del presente decreto tutte le imprese, gia’ costituite in forma societaria alla medesima data di entrata in vigore, comunicano al registro delle imprese l’indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.”
In altre parole, significa che non è necessario per forza di cose appoggiarsi alla PEC così come è stata progettata. Si possono utilizzare differenti tecnologie, l’importante è che possano certificare in maniera legale la data e l’ora dell’invio e della ricezione delle e-mail.
Esistono tecnologie che rispondono a questi requisiti, quali ad esempio Globaltrust Corporate Secure Email per le aziende.
La PEC è, in definitiva, a mio avviso un grande passo avanti nel mondo della comunicazione sicura online. Se è vero che la PEC non inventa niente di nuovo, definisce però uno standard che potrebbe finalmente far arrivare nelle case di tutti una tecnologia che altrimenti rischiava di rimanere sconosciuta ai più.
Fonte: PcAlSicuro.com di Marco Giuliani (http://www.pcalsicuro.com/main/2010/05/pec-e-smime-equivalenti-o-complementari/#more-341)