• Decrease font size
  • Reset font size to default
  • Increase font size
  • Qualità
  • Sicurezza
  • Garanzia
  • Rapidità di risposta
  • Diminuzione dei costi
  • Soluzioni Ecosostenibili
  • Utilizzo di materiali riciclabili
  • Risparmio energetico
PEC Trattato Giuridico

Trattato tecnico giuridico redatto e scritto dal Dott. Loris Calipari per il convegno governativo tenuto dal GIP Andrea Dott. Salemme della Procura della Repubblica Tribunale di Milano.

 

Trattato Tecnico Giuridico

Gip Andrea Dott. Salemme

Tribunale Ordinario e della Procura della Repubblica di Milano

SCHEDE TECNICHE SULLA PEC

redatte con la collaborazione

del Dott. Loris Calipari

 

Apprezzato professionista che ausilia i Magistrati penali del Tribunale Ordinario e della Procura della Repubblica di Milano in specie nel settore della pedopornografia informatica e, più in generale, delle intercettazioni telematiche. Al medesimo siano consentiti i più sentiti ringraziamenti dell’Autore per la pazienza prestatagli nel rispondere a domande banali e soddisfare curiosità elementari.

 

 

CHE COSA LA PEC E’

La Posta Elettronica Certificata, in breve PEC, è il sistema che consente di inviare un’e-mail idonea ad assumere, con una particolare impostazione della trasmissione ed un’altrettanto particolare tecnologia applicata, un valore diverso, aggiuntivo o qualificato, dall’e-mail o posta elettronica comune.

La PEC ha valore legale equiparato ad una lettera raccomandata con avviso di ricevimento, volgarmente: ricevuta di ritorno (DPR 11 Febbraio 2005, n.68).

Tuttavia, benché il servizio PEC presenti forti similitudini con la posta elettronica comune, è doveroso dare risalto alle caratteristiche aggiuntive o qualificate tali da fornire agli utenti la certezza – a valore legale - dell’invio e della consegna (o della mancata consegna) dell’e-mail al destinatario.

La PEC è equipollente alla lettera raccomandata con avviso di ricevimento, ma in più contiene l’attestazione dell'orario esatto di spedizione. Inoltre il sistema PEC, grazie ai protocolli di sicurezza utilizzati, è in grado di garantire la certezza del contenuto, non rendendo possibili modifiche al messaggio, sia per quanto riguarda i contenuti che per quanto riguarda eventuali allegati. Infine la PEC garantisce - in caso di contenzioso - l'opponibilità ai terzi. Più precisamente, proprio l’aggettivo "certificata" si riferisce al fatto che il gestore della casella PEC del mittente rilascia a costui una ricevuta, detta ricevuta di invio, costituente prova a tutti gli effetti dell’avvenuta spedizione del messaggio ed eventuali allegati. Allo stesso modo, il gestore della casella PEC del destinatario invia al mittente la ricevuta di avvenuta consegna. I gestori “certificano” quindi con le proprie "ricevute" che il messaggio

è stato spedito;

è stato consegnato;

non è stato alterato.

In ogni avviso inviato dai gestori è apposto anche un riferimento temporale che attesta data ed ora di ciascuna delle operazioni descritte.

I gestori inviano ovviamente avvisi anche in caso di errore in una qualsiasi delle fasi del procedimento (accettazione, invio, consegna), in modo che non possano esserci dubbi sullo stato della spedizione (inteso il termine in senso ampio) di un messaggio. Qualora il mittente dovesse smarrire le ricevute, la traccia informatica delle operazioni svolte, conservata dal gestore per 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.

 

 

A CHI LA PEC SI RIVOLGE

La PEC è uno strumento di utilità.

Sul mercato l’offerta della PEC si rivolge a tutti coloro che hanno l'esigenza di inviare e ricevere messaggi o allegati in modo sicuro, con attestazione di invio e consegna, comodamente dal proprio computer, in maniera semplice, intuitiva e veloce.

Privilegiando l’utilizzo della PEC rispetto ai tradizionali strumenti di comunicazione, quali fax e raccomandate con avviso di ricevimento, si otterrà un notevole risparmio di tempo e denaro, ottenuto dal costo fisso della casella di PEC, indipendente dalla quantità/dimensione dei messaggi spediti e/o ricevuti e dal recapito dei medesimi in tempi pressoché immediati, senza maggiorazione di costi e vincoli di orari in punto di spedizione e di consegna.

Alcuni esempi di utilizzo,

circa i soggetti:

* privati che vogliono evitare spese e code per l'invio delle proprie raccomandate;

* aziende che desiderano sostituire la posta cartacea per semplificare i rapporti con clienti e fornitori;

* enti pubblici che devono inviare comunicazioni ufficiali verso altri enti o verso imprese o cittadini;

… e circa le attività:

* inoltro, all’interno di enti pubblici ed aziende, di circolari e direttive vincolanti per i destinatari, con il vantaggio dell’integrabilità delle trasmissioni in software gestionali, paghe e stipendi, protocollo, workflow;

* conclusione di contratti o accordi, nei settori indifferentemente pubblico o privato, mediante invio e ricezione di ordini e fatture;

* convocazioni di organi collegiali pubblici o privati (consigli, giunte, assemblee … persino di condominio!);

… nonché, avuto riguardo specificamente alla Pubblica Amministrazione,

* gestione di gare di appalto (che oggi possono svolgersi per intero telematicamente);

* invio di documenti, atti, certificati alla o dalla Pubblica Amministrazione (nel caso di tutti i tipi di procedimenti amministrativi, anche tributari e in ipotesi disciplinari).

 

 

CHI REGOLA (E VIGILA SUL)LA PEC

La normativa sulla PEC attribuisce alla DigitPA svariati compiti, in particolare indicandola come custode e gestore delle regole tecniche. Su questo versante, è suo compito provvedere alla pubblicazione di aggiornamenti in coerenza con gli standards specificati nella normativa di riferimento, cosicché la disciplina sia costantemente al passo con l’evolvere della tecnica.

La DigitPA, nel proprio sito Internet, rende disponibile una apposita sezione riguardante la PEC.

Il governo italiano fornisce gratuitamente a tutti i cittadini italiani una casella PEC che, tuttavia, può essere usata solo nelle comunicazioni con la Pubblica Amministrazione e non include alcun servizio di firma digitale (quindi più propriamente detta CEC-PAC).

 

 

COME LA PEC FUNZIONA

I messaggi di posta certificata vengono spediti tra 2 caselle, e quindi domini, certificati.

Quando il mittente possessore di una casella PEC invia un messaggio ad un altro utente parimenti possessore di una casella PEC, detto messaggio viene raccolto dal gestore del dominio certificato (o punto di accesso) del mittente che, dopo aver inviato al mittente una ricevuta di invio, lo racchiude in una busta di trasporto e vi applica una firma elettronica in modo da garantirne provenienza e inalterabilità.

Successivamente il messaggio viene indirizzato al gestore del dominio certificato del destinatario, che verificata la firma, provvede alla consegna al destinatario medesimo (ragion per cui si parla di punto di consegna al fine di contrapporlo al già menzionato punto di accesso). A questo punto il gestore del dominio certificato del destinatario invia una ricevuta di avvenuta consegna al mittente, che può quindi essere “certo” (donde posta elettronica “certificata”) che il suo messaggio è giunto a destinazione.

Durante la trasmissione di un messaggio attraverso due caselle PEC vengono emesse svariate altre ricevute che hanno lo scopo di garantire e verificare il corretto funzionamento del sistema e di mantenere sempre la transazione in uno stato consistente.

Per meglio comprendere come la PEC funziona si pensi ad un’animazione che porta al risultato finale qui sotto riprodotto.

Nel dettaglio.

  • Il punto di accesso, dopo aver raccolto il messaggio originale, genera una ricevuta di accettazione che viene inviata al mittente. In questo modo chi invia una mail certificata sa che il proprio messaggio ha iniziato il suo percorso.
  • Il punto di consegna, dopo aver raccolto il messaggio di trasporto, genera una ricevuta di presa in carico che viene inviata al gestore mittente; in questo modo il gestore mittente viene a conoscenza che il messaggio è stato preso in carico e quindi in custodia da un altro gestore di posta elettronica certificata che, sfruttando crittografia e protocolli di sicurezza, riesce a fornire, al pari suo, un servizio sicuro (perché al riparo da pratiche di spamming, abusi e disguidi).

Tutto ciò è possibile grazie alle caratteristiche del servizio PEC riportate di seguito:

- il messaggio proviene da un gestore di posta certificato e da uno specifico indirizzo e-mail certificato;

- il messaggio non può essere alterato durante la trasmissione;

- v’è privacy totale nella comunicazione, avvenendo lo scambio dati in ambiente sicuro;

- al mittente è garantita la certezza dell'avvenuto recapito dell’e-mail alla casella PEC del destinatario con la spedizione di una ricevuta di consegna, in modo analogo alla tradizionale lettera raccomandata A/R e con lo stesso valore legale);

- il destinatario è sollevato da contestazioni in merito ai messaggi non ricevuti di cui pure il mittente sostiene l'avvenuto l'invio;

- l'attestazione della data di consegna e di ricezione del messaggio è inequivoca, tanto più in quanto è conservata la traccia informatica della comunicazione avvenuta fra mittente e destinatario;

- nel caso in cui il mittente smarrisca le ricevute, la traccia informatica della comunicazione, ossia delle singole operazioni che la compongono, viene conservata per 30 mesi in un apposito registro informatico custodito dai gestori: tale registro ha lo stesso valore giuridico delle ricevute.

Cosa succede se una casella PEC invia un messaggio a un indirizzo di Posta Ordinaria?

Nel caso in cui una casella (o account) PEC invii un messaggio ad un indirizzo di posta elettronica comune, la casella PEC si vedrà recapitata la ricevuta di accettazione ma non quella di avvenuta consegna. Il destinatario pertanto riceverà bensì la comunicazione ma, a fronte di ciò, non è generata ed inviata al mittente la seconda delle due ricevute che lo mettono al riparo da contestazioni. In questo caso, se il destinatario tenta di rispondere all’e-mail, riceve una notifica di errore (mailer-daemon), salvo che la casella PEC del mittente non sia configurata in modo tale da ricevere anche messaggi di posta elettronica ordinaria.

Cosa succede se una casella di posta elettronica ordinaria invia un messaggio ad una casella PEC?

Nel caso in cui un mittente non certificato invii un’e-mail ad una casella PEC attivata, egli otterrà in risposta un messaggio di errore per mancata consegna (mailer-daemon). Il server di posta del destinatario provvederà a respingere l’e-mail senza inviare alcuna notifica al destinatario.

Da avvertire però che sarà comunque possibile variare l’impostazione della casella di posta elettronica del destinatario attraverso il pannello di gestione della casella stessa.

Da avvertire anche che il messaggio di errore (mailer-daemon) viene inviato al mittente se la casella certificata alla quale ha inviato l’e-mail è gestita dai servers. Eppure nel caso in cui la casella PEC risulti attivata con un gestore certificato diverso da PEC A PEC, l’accettazione o meno del messaggio dipenderà dalla policy e/o dalla regolamentazione di tale gestore.

 

 

LE GARANZIE DI SICUREZZA DELLA PEC

Il sistema di posta elettronica certificata presenta tutte le garanzie di sicurezza compatibili con la tipologia di servizio erogato, sia a livello fisico che a livello informatico.

1) Presenza di tre livelli di firewalling con definizione di attente policies di accesso (in buona sostanza vengono stabilite le sole porte strettamente necessarie al funzionamento del sistema PEC).

2) Sistema di antivirus aggiornato con cadenza plurigiornaliera (almeno quattro volte al giorno) in modo da rendere il sistema protetto contro attacchi da parte di softwares malevoli.

3) Softwares costantemente aggiornati e patchati (al rilascio di un nuovo prodotto o di una patch, dopo una fase di test in ambiente di staging, esso è aggiornato il prodotto in ambiente di produzione).

4) Separazione fisica del livello di front-end dal livello di back-end and storage in modo da proteggere ulteriormente in dati da accessi indesiderati.

5) Ulteriore protezione delle macchine che contengono i dati degli utenti attraverso firewalls locali.

6) Sistema ridondato in ogni sua parte in modo da evitare single point of failure.

7) Meccanismo di auto esclusione degli apparati non funzionanti con conseguente dirottamento del traffico sugli altri nodi “gemelli”.

8) Utilizzo di storage di rete esterni al sistema per aumentare la protezione delle informazioni degli utenti.

9) Sistema di backup su doppio supporto per ridurre il rischio di perdita dei dati.

10) Utilizzo di protocolli sicuri per il colloquio tra l'utente ed il proprio gestore (SMTP/S,POP3/S,IMAP/S) e tra un gestore e l'altro (STARTTSL).

11) Firma dei messaggi con i dispositivi HSM certificati FIPS-2 Level 3.

 

 

SCHEMA TECNICO BREVE  DI FUNZIONAMENTO DELLA PEC

 

 

I VANTAGGI DELLA PEC

La manovra anticrisi varata dal governo con D.L. n. 185 del 2008 convertito nella L. n. 2 del 2009 statuisce che l’uso della PEC è obbligatorio per le aziende ed i professionisti nelle comunicazioni verso la P.A.

Pertanto per essi munirsi di tale strumento diventa quanto mai necessario, ma anche utile, sia per velocizzare l'invio di documentazione che per tagliare costi obsoleti.

Di seguito la tabella comparativa tra la posta elettronica certificata e gli altri principali mezzi di comunicazione in un riepilogo costo/benefici voce per voce.

 

 

GLI SVANTAGGI DELLA PEC

Attualmente la PEC non è uno standard internazionale, rappresentando quindi un insieme di regole e norme italiane. Inoltre esistono altre tecniche di firma digitale e di tracciamento della consegna analoghe alla PEC ma già da anni disponibili per le e-mails tradizionali ed utilizzate per lo scambio di documenti a livello internazionale previo accordo tra mittente e destinatario (come ad esempio il sistema RFC 3798).

Il caos delle leggi italiane, che diverse volte nel corso degli anni hanno avuto un atteggiamento contraddittorio sull’obbligatorietà o meno della PEC, si è fermato allo stato attuale all’adozione non obbligatoria della PEC, comportando una battuta d'arresto nell’intero processamento dell’impiego della telematica nell’informatizzazione.

Il 19 gennaio 2009, infatti, l'art. 16 del D.L. n. 185 del 2008 ha subito, in fase di conversione in legge, modifiche rilevanti che rendono non più obbligatoria la PEC per cittadini, liberi professionisti e aziende, qualora essi abbiano a disposizione un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni ed integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali.

La PEC, dunque, pare nata già vecchia e comunque estranea al circuito internazionale: l’ennesimo intervento novellistico del legislatore se ne è finalmente accorto.

Inoltre, per quel che più conta ai fini dell’amministrazione della giustizia.

1

Il profilo tecnico della PEC è importantissimo per l’impostazione della PEC ma soprattutto per la sua “veridicità”.

La PEC, nel suo percorso e sviluppo, ha avuto una serie di modifiche e variazioni per essere resa operativa: partendo dal progetto che ha avuto vita nel 2005, si è perfezionata verso la fine 2009, per poi essere rilasciata dal 2010. Si è dovuto tener conto di molte imperfezioni e difficoltà che ancora oggi non sono state tutte risolte. La PEC ha la sua veridicità nel documentare in modo certo ed inequivocabile la spedizione/invio, con il riscontro, ricevuta/consegna. La PEC si perfeziona solo se sono presenti tutti I requisiti e le modalità esposte nelle grafiche rappresentate. Se c’è una discrepanza, la stessa non ha più validità legale.

I maggiori problemi sono la sincronizzazione degli orari, la gestione delle ricevute invio/ricezione e l’appaiamento in orario consequenziale di tutte le ricevute (e quindi non solo di quelle invio/ricezione) come da codifica.

2

Cosa prevede la normative per chi diventa gestore?

I gestori di PEC sono aziende o enti pubblici autorizzati a realizzare strutture tecniche avanzate per ospitare server-pec e per rivendere/fornire caselle e domini di posta elettronica certificata.

Per diventare gestori di PEC ed essere inseriti nell'Indice Pubblico dei Gestori (IGPEC) è necessario:

essere un'amministrazione pubblica oppure una società di capitali con 1.000.000 euro di capitale sociale i.v.;

mettere in opera un sistema di PEC rispondente ai requisiti tecnici, logistici ed organizzativi previsti dalla normativa;

predisporre uno staff ed una struttura tecnico/amministrativa per l'erogazione del servizio;

essere in possesso di certificazione di qualità ISO 9001;

stipulare una polizza assicurativa per la copertura dei danni di esercizio (clausola che vale solo per aziende private).

Le domande di accreditamento devono essere indirizzate al CNIPA.

L'elenco dei gestori di posta elettronica certificata è disponibile sul sito Internet del CNIPA.

E i requisiti dei gestori di PEC in funzione delle caratteristiche tipiche della PEC?

Nulla.

3

La certificazione del messaggio non riguarda affatto il contenuto della "busta elettronica", ma soltanto la data e l'ora della trasmissione e l’integrità in sé di un messaggio esistente. In sede di giudizio, come nel caso di ricevuta di ritorno per una raccomandata postale, il destinatario potrebbe sempre affermare di aver ricevuto effettivamente una busta, aggiungendo però che essa conteneva un foglio bianco!!!

4

Nell'utilizzo di un indirizzo e-mail su dominio generico (tipo: This e-mail address is being protected from spambots. You need JavaScript enabled to view it ) è incluso un certo spazio per l' archiviazione dei messaggi PEC e relative conferme. Si ricevono e spediscono messaggi e conferme e li si conserva nello spazio informatico messo a disposizione con la casella, poiché la PEC serve proprio a risalire anche a distanza di tempo ad un tale certificato di trasmissione legale da utilizzare in caso di contestazione. Il giorno in cui si decide – o sorge la necessità di – di modificare l’indirizzo PEC, si lascia la posta sul server, perdendo tutti i messaggi archiviati. Un archivio su supporti propri potrebbe non essere sufficiente a contenere la posta di anni. Dunque: meglio scegliere fin dall'inizio un indirizzo e-mail definitivo e duraturo nel tempo.

5

La concretezza della realtà è la seguente. Chiunque può chiedere l’attivazione di una PEC sul sito Internet postacertificata.gov.it. Non appena rilasciata la PEC in questione, che un e-mail address su un server di posta elettronica certificata appartenente al medesimo dominio postacertificata.gov.it, essa abilita ad interloquire con altri e-mail addresses certificati, ma solo appartenenti allo stesso dominio. Tipico errore della modalità di gestione che crea incompatibilità ….