Posta elettronica certificata e
firma digitale
dott. Andrea Crobu per ANCE Verona, 06/04/2011
Due strumenti diversi che lavorano insieme
• La posta elettronica certificata (PEC) ha la
stessa funzione della raccomandata con
ricevuta di ritorno nell’attestare l’avvenuta
consegna di un messaggio
• La firma digitale garantisce la paternità di un
documento elettronico
Cos’è la Posta Elettronica Certificata (PEC)?
Un sistema di comunicazione che garantisce legalmente
l’avvenuta ricezione del messaggio in tutte le sue parti,
allegati compresi.
La PEC permette di sostituire la raccomandata e il fax nei rapporti
ufficiali e si può usare anche per l'inoltro di comunicazioni che
attestino l'invio ma non richiedano la certificazione della consegna,
come le fatture
Come funziona?
Mittente
Gestore del
mittente
Quattro sono i soggetti necessari
Gestore del
destinatario
Destinatario
Come funziona?
Mittente
Avvenuta
spedizione
Gestore del
destinatario
Avvenuta
ricezione
Messaggio
Busta di
trasporto
Gestore
del
mittente
Verifica
della
busta
Destinatario
Come funziona?
Cosa c’è nella busta di trasporto?
•
•
•
•
Il messaggio originale
Gli allegati
I certificati d’autenticità
Data e ora della spedizione
Come funziona?
Cosa c’è nella ricevuta di spedizione?
• Attestazione dell’avvenuta spedizione
• Elenco dei destinatari
• Distinzione tra destinatari
PEC e non PEC
Come funziona?
Cosa c’è nella ricevuta di ricezione?
• Attestazione dell’avvenuta ricezione per ogni
destinatario PEC
• Messaggio completo
• Allegati originalmente inclusi
Come funziona?
Cosa certifica la ricevuta di ricezione?
• la consegna
• la data e l’ora di consegna
• il contenuto consegnato
Come funziona?
Aspetto molto importante
la posta certificata fornisce al mittente una prova,
firmata dal gestore scelto dal destinatario, dell’avvenuta
ricezione di tutto il contenuto che è stato recapitato (con
data e ora di recapito). Questa è una delle caratteristiche
più significative che distingue la posta certificata dai
normali mezzi per l'invio di documenti ufficiali in formato
cartaceo.
Il quadro normativo
• Decreto del Presidente della Repubblica 11 febbraio 2005 n. 68, e
nei collegati documenti tecnici
• Decreto Ministeriale 2 novembre 2005 Regole tecniche per la
formazione, la trasmissione e la validazione, anche temporale,
della posta elettronica certificata
• Circolare CNIPA del 24 novembre 2005 n.49
• Il Codice dell'Amministrazione Digitale (Decreto Legislativo
82/2005 modificato ed integrato dal Decreto Legislativo 235/2010)
• Il Decreto Legislativo 185/2008 convertito con Legge 2/2009
PEC ≠ PostaCertificat@
Il 26 Aprile 2010 il Ministro per la pubblica amministrazione e l'innovazione ha
presentato il servizio PostaCertificat@.
PostaCertificat@ fornisce gratuitamente, a ogni cittadino maggiorenne che
ne fa richiesta, una casella di posta elettronica certificata da usarsi
esclusivamente per le comunicazioni con la Pubblica Amministrazione.
Tale servizio ha le seguenti caratteristiche:
•
•
•
•
•
250 MB di spazio a disposizione
Max 10 invii giornalieri
Max 50 destinatari per messaggio
Max 30 MB dimensioni messaggio
Solo verso P.A.
PEC ≠ PostaCertificat@
Attualmente le caselle attive di PostaCertificat@ sono prossime al milione
PostaCertificat@ è un servizio che soddisfa l’obbligo di legge per quanto
concerne i rapporti con la P.A.
PostaCertificat@ non è uno strumento per la comunicazione tra aziende e/o
professionisti e/o privati
PostaCertificat@ è la denominazione del servizio CEC-PAC (Comunicazione
Elettronica Certificata tra Pubblica Amministrazione e Cittadino)
Vantaggi della PEC 1
• Ogni formato di documento digitale può essere inviato
tramite posta elettronica certificata
• I messaggi possono essere consultati da ogni computer
connesso a internet
• Certificazione degli allegati al messaggio
• L'avvenuta consegna della mail viene garantita, nel
caso non sia possibile consegnare il messaggio l'utente
viene informato
Vantaggi della PEC 2
• Le ricevute di consegna hanno validità legale;
• non ripudio della sorgente: prova chi è il mittente dei dati in una
transazione
• non ripudio della destinazione: prova che i dati sono arrivati ad
uno specifico destinatario
• Tracciabilità della casella mittente e conseguentemente del suo
titolare (se il titolare è stato identificato con certezza);
• Vi è certezza sulla destinazione dei messaggi;
• L'invio dei messaggi può avere costi inferiori a quello delle
raccomandate.
Vantaggi della PEC 3
• Per una giusta valutazione deve essere preso in considerazione il
costo di invio di una raccomandata cartacea tradizionale, che
cresce in funzione del numero di pagine e del peso del plico, e il
numero di comunicazioni inviate annualmente. Queste
informazioni devono poi essere comparate con le tariffe del
gestore PEC, che solitamente rende disponibile una casella PEC
con un costo calcolato su base annuale. Solitamente una volta
pagato il canone annuale l'utente può inviare un numero illimitato
di messaggi PEC. Va anche calcolato il total cost of ownership del
servizio legato alle necessità di storage locale, backup,
indicizzazione e retrieval delle ricevute, specie in grandi
organizzazioni che generano rilevanti quantità di corrispondenza;
Vantaggi della PEC 4
• Elevati requisiti di qualità e continuità del servizio. I Service Level
Agreement (SLA) di legge prevedono una disponibilità (Uptime) del
servizio del 99,8% su base quadrimestrale. Gli SLA della
disponibilità del servizio PEC non valgono per la connettività. In
altri termini, i server del gestore PEC possono essere disponibili nel
99,8% dell'anno, ma la connettività per raggiungerli (offerta da una
terza parte) potrebbe avere SLA differenti;
• Obbligo da parte del gestore di archiviare tutti gli eventi associati
ad invii e ricezioni di messaggi PEC, per un periodo di trenta mesi;
• Obbligo da parte del gestore di applicare le procedure atte a
garantire il rispetto delle misure di sicurezza previste dal Codice
dei dati personali e la sicurezza della comunicazione.
Svantaggi della PEC 1
• Viene certificato il deposito del messaggio nella casella del
destinatario, non che il destinatario l’abbia letto.
• La raccomandata non ritirata dal deposito viene rispedita al
mittente, che quindi è al corrente della mancata ricezione, con la
PEC questo non succede.
• È una come una normale email, quindi può essere cancellata per
errore
• La conservazione dei messaggi da parte dei gestori per 30 mesi può
costituire problemi di privacy
• Introduce complessità invece di eliminarne
• Usarla solo per i rapporti con la PA è come
tornare alla vecchia domanda in carta bollata.
Svantaggi della PEC 2
• Il quadro normativo è in continua evoluzione
• L’adozione della PEC da parte delle imprese e delle
amministrazioni pubbliche non è ancora capillare.
• È uno standard solo ed esclusivamente italiano: all’estero non
viene utilizzato.
• È stata fatta denuncia allo Stato italiano in sede europea per
l’adozione della PEC come standard indipendente, ponendo quindi
l’Italia in una posizione chiusa, al di fuori degli standard
internazionali.
Domande e discussione
La firma digitale
• La firma digitale è basata sulla tecnologia della
crittografia a chiave pubblica (o PKI). Dal punto di vista
informatico essa rappresenta un sistema di
autenticazione di documenti digitali tale da garantire il
non ripudio.
• La nozione di firma digitale ha in Italia anche
un'accezione giuridica, in quanto individua quel tipo di
firma che può essere apposta ai documenti informatici
alla stessa stregua di come la firma autografa viene
apposta ai documenti tradizionali.
La firma digitale
Cos’è la firma digitale?
Una tecnologia che permette di attribuire una
paternità certa a un documento elettronico.
In termini pratici è l’equivalente informatico
della firma autografa.
La firma digitale
La firma digitale di un documento informatico si
propone di soddisfare tre esigenze
1. che il destinatario possa verificare l'identità
del mittente (autenticità)
2. che il mittente non possa disconoscere un
documento da lui firmato (non ripudio)
3. che il destinatario non possa modificare un
documento firmato da qualcun altro (integrità)
La firma digitale
Come funziona?
Si deve comprare un dispositivo di firma, generalmente sotto forma di
chiave USB o lettore di smart-card, dotato di un software di
crittografia apposito.
Si crea il documento, lo si critta e lo si spedisce e/o archivia.
Il documento viene convertito in un formato sicuro, apribile solo da
un altro software di crittografia e non modificabile da nessuno.
Differenze tra firma digitale e firma
convenzionale
Creazione
Apposizione
Verifica
Documento
copia
Validità
temporale
Automazione
dei processi
Firma autografa
Firma digitale
manuale
sul documento: la firma
è parte integrante del
documento
confronto con una firma
autenticata: metodo
insicuro
distinguibile
mediante algoritmo di creazione
come allegato: il documento firmato è
costituito dalla coppia (documento, firma)
illimitata
limitata
non possibile
possibile
mediante algoritmo di verifica pubblicamente
noto: metodo sicuro
indistinguibile
Il quadro normativo
Le norme che regolano la vita della firma digitale in Italia sono
soggette a una costante evoluzione, frutto del recepimento delle
direttive UE.
• D.P.R. 10 novembre 1997 n. 513 emanato in attuazione
dell'articolo 15 della legge 15 marzo 1997, n. 59.
• D.P.R. 28 dicembre 2000 n. 445
• Codice dell'amministrazione digitale" (Decreto Legislativo 7 marzo
2005, n. 82, così come modificato dal D.Lgs. 4 aprile 2006, n. 159)
La valenza giuridica
Per la legge italiana si definisce «firma digitale» un tipo
di firma elettronica qualificata alla quale si attribuisce
piena efficacia probatoria, paria
quella della firma
autografa.
Il termine «firma elettronica qualificata» è stato creato
per evitare le ambiguità derivanti dall’uso di «firma
digitale» nell’informatica come indicazione di tecniche di
autenticazione e di ottenimento del non ripudio dei
documenti.
La valenza giuridica
L’ordinamento italiano distingue tra
1. Firma elettronica: insieme dei dati usati per
l’identificazione informatica
2. Firma elettronica qualificata: insieme dei dati
necessari per l’identificazione univoca del creatore di
un documento elettronico attraverso mezzi di cui il
firmatario deve essere detentore esclusivo.
3. Firma digitale: firma elettronica qualificata basata su
crittografia a chiavi asimmetriche
La valenza giuridica
All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un
rimando all'art. 2702 del Codice Civile, che la firma
digitale (o altra firma elettronica qualificata) fa piena
prova, fino a querela di falso, se colui contro il quale la
scrittura è prodotta ne riconosce la sottoscrizione, ovvero
se questa è legalmente considerata come riconosciuta,
equiparando così il documento informatico sottoscritto
con firma digitale alla scrittura privata sottoscritta con
firma autografa (e non, come avveniva in precedenza, alla
scrittura privata con firma autenticata).
La valenza giuridica
Secondo un orientamento si ha l’inversione dell’onere
della prova:
l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo
del dispositivo di firma si presume riconducibile al
titolare, salvo che questi dia la prova contraria.
Secondo un altro orientamento si ha l’obbligo di
verificazione dell’eventuale avvenuto utilizzo del
dispositivo di firma
Vantaggi della firma digitale
• Garantisce la paternità dei documenti digitali
• Costi ridotti nell’acquisto e nell’utilizzo della
tecnologia
• Garantisce il non ripudio
• Costituisce uno standard internazionale
• Dopo l’apposizione, impedisce modifiche al
documento
• La firma varia a seconda del numero di bit del
documento firmato, rendendola irriproducibile
Svantaggi della firma digitale
• Essendo uno standard diffuso è soggetta a
frequenti tentativi di hackeraggio, purtuttavia
costantemente contrastati dallo studio delle
vulnerabilità.
• Rispetto alla firma reale, essa non è
direttamente riconducibile al firmatario, ma
abbisogna di un organismo certificante
Domande