Prof. Stefano Pigliapoco
L’EMAIL: ISTRUZIONI PER L’USO
Strumenti, metodi e criticità per
creare, gestire e conservare la
posta elettronica
[email protected]
Posta Elettronica (PE)
¤ [DPCM 31/10/2000]: Lo scambio dei documenti soggetti alla
registrazione di protocollo è effettuato mediante messaggi
conformi ai sistemi di posta elettronica compatibili con il protocollo
SMTP/MIME definito nelle specifiche pubbliche RFC 821-822,
RFC 2045-2049 e successive modificazioni o integrazioni.
Posta Elettronica (PE)
¤ [Bozza delle nuove regole tecniche sul protocollo informatico]: Lo
scambio dei documenti soggetti alla registrazione di protocollo è
effettuato mediante messaggi di posta elettronica certificata ai
sensi del decreto del Presidente della Repubblica 11 febbraio
2005, n. 68 o messaggi conformi ai sistemi di posta elettronica
compatibili con il protocollo SMTP/MIME definito nelle specifiche
pubbliche RFC 821-822, RFC 2045 e 2049 e successive
modificazioni.
Posta Elettronica (PE)
¤ I messaggi di posta elettronica sono trasmessi via internet come
file plain text, denominati transmission file, codificati in ASCII
standard e prodotti dalle applicazioni client
¤ Un transmission file è composto da due sezioni principali: la
sezione header, che contiene le informazioni sul messaggio, e la
sezione body, che contiene il testo del messaggio e gli eventuali
allegati.
Posta Elettronica (PE)
¤ La sezione header contiene i campi:
• Subject:
• From:
• To:
• Cc:
• Ccn:
• Reply-to:
• date:
Posta Elettronica (PE)
• Message-ID:
• Received:
• Return-path:
• …..
¤ Queste informazioni servono a controllare la trasmissione del
messaggio e sono aggiunti dai server che intervengono nel
percorso dal mittente al destinatario.
Posta Elettronica (PE)
¤ Inizialmente i messaggi contenevano solo testo e quindi erano
facilmente codificabili in ASCII; oggi, invece, possono essere
strutturati in formato HTML e avere allegati in numero,
dimensione e tipologia variabili.
¤ Per permettere la trasmissione di file plain text (il transmission
file) contenente anche allegati e parti di testo non ASCII, lo
standard SMTP/MIME prevede la loro codifica e decodifica – sui
client di posta - con gli algoritmi Quoted Printable o Base 64
Posta Elettronica (PE)
¤ Un messaggio codificato secondo lo standard MIME aggiunge
all’header:
• MIME version: 1.0
• Content-type: (text/plain; text/html; image/gif; image/jpeg;
multipart/mixed; ...
• Content-Transfer-Encoding: indica il meccanismo di codifica
delle parti non ASCII
• Content-Disposition: stabilisce come verrà visualizzata sul
client la parte cui si riferisce (attachment, inline)
Posta Elettronica (PE)
¤ I formati di memorizzazione dei messaggi di posta elettronica
sono definiti dalle applicazioni client e sono sostanzialmente di
due tipi:
• Individuali: un file per ogni email (.eml; .msg)
• Collettivi: un file più email (.mbox; .dbx; .pst; .mbx)
¤ Il formato .eml è costituito da plain text nello standard MIME
Firma elettronica
¤ L’identificazione degli utenti del servizio di posta elettronica
avviene all’atto della spedizione delle email tramite le loro
credenziali di accesso
¤ L’art. 1, c. 1, lett. q), del codice dell’amministrazione digitale
(CAD), recependo l’art. 2, c. 1, direttiva UE n. 1999/93, definisce
firma elettronica “l’insieme dei dati in forma elettronica, allegati
oppure connessi tramite associazione logica ad altri dati
elettronici ed utilizzati come metodo di identificazione
informatica”.
Firma elettronica
¤
¤
L’art. 5, c. 2, direttiva n. 1999/93/CE, dichiara che “una firma
elettronica non può esser considerata legalmente inefficace o
inammissibile come prova in giudizio, unicamente perché
• È in forma elettronica; o non è basata su un certificato
qualificato rilasciato da un prestatore di servizi di
certificazione accreditato; oppure non è creata con un
dispositivo per la creazione di una firma sicura
[Art 21, c. 1] - Il documento informatico, cui è apposta una firma
elettronica, sul piano probatorio è liberamente valutabile in
giudizio, tenuto conto delle sue caratteristiche oggettive di
qualità, sicurezza, integrità e immodificabilità
Posta Elettronica (PE)
¤ Una casella di posta elettronica tradizionale con le relative
credenziali di accesso è rilasciata ai titolari dai gestori senza
l’accertamento dell’identità del richiedente
¤ La posta elettronica convenzionale non garantisce:
• L’identità del mittente
• La riservatezza dei messaggi
• La consegna dei messaggi
• L’integrità dei messaggi
Posta Elettronica Sicura (S/MIME)
¤ Il protocollo S/MIME estende le specifiche del protocollo MIME
aggiungendo le funzionalità di crittografia e firma elettronica.
Attualmente è uno standard ampiamente riconosciuto e utilizzato
da tutti i client di posta elettronica
¤ Il meccanismo prevede il rilascio di un ID digitale ai titolari delle
caselle di posta elettronica da parte di un’autorità di certificazione,
che deve accertarsi della loro identità e fornire i servizi di gestione
dei certificati S/MIME (scadenze, rinnovi, accessi)
Posta Elettronica Sicura (S/MIME)
¤ Un ID digitale è un file che contiene una chiave segreta e un
certificato digitale S/MIME nel quale sono memorizzati i dati
identificativi del titolare della casella e la sua chiave pubblica
¤ Con il protocollo S/MIME è possibile generare firme elettroniche
con la chiave segreta dei titolari delle caselle e includerle nel
body insieme ai relativi certificati S/MIME. È possibile anche
crittografare i messaggi per garantirne la riservatezza
Posta Elettronica Sicura (S/MIME)
¤ Grazie alla firma elettronica inclusa nelle email è possibile
• identificare l’autore del messaggio
• rilevare le eventuali alterazioni
¤ Grazie alla crittografia
• È garantita la riservatezza del contenuto dei messaggi
¤ Lo standard S/MIME è standard internazionale utilizzato in molti
Paesi dell’Unione europea
Posta elettronica certificata
¤
¤
Le disposizioni per l’utilizzo della posta elettronica certificata
(PEC) sono contenute nel d.P.R. 11 febbraio 2005, n. 68,
mentre le regole tecniche sono state emanate con D.M. 2
novembre 2005
Altre disposizioni inerenti alla PEC sono riportate nel codice
dell’amministrazione digitale (d. lgs. n. 82/2005) e nella legge 28
gennaio 2009, n. 2, recante misure urgenti per il sostegno a
famiglie, lavoro, occupazione e impresa e per ridisegnare in
funzione anti-crisi il quadro strategico nazionale
Posta elettronica certificata
¤
Il servizio di PEC, essendo un servizio a cui è riconosciuta la
capacità di fornire certezze giuridiche equivalenti a quelle fornite
dalle raccomandate con ricevuta di ritorno, non può essere
erogato da un qualunque Internet Service Provider (ISP), ma
solo da coloro che possiedono i requisiti specificati nell’art. 14
del d.P.R. 11 febbraio 2005, n. 68.
Posta elettronica certificata
¤ Il sistema di PEC genera i messaggi (ricevute, avvisi e buste) in
formato MIME
¤ Il messaggio è quindi inserito in una struttura S/MIME v3 in
formato CMS, firmata con la chiave privata del gestore di posta
certificata. Il formato S/MIME usato per la firma dei messaggi
generati dal sistema è il “multipart/signed” (formato .p7s) così
come descritto nella RFC 2633
Posta elettronica certificata
¤
Qualora, per un motivo qualsiasi, un messaggio non risulti
consegnabile al destinatario, il gestore del servizio di PEC del
mittente è tenuto a comunicargli l’esito negativo della
trasmissione entro 24 ore dall’invio
¤
I gestori dei servizi di PEC devono tenere traccia delle
operazioni effettuate per la trasmissione dei messaggi in un
apposito registro informatico denominato log dei messaggi. Tale
registro deve essere conservato per almeno 30 mesi
Posta elettronica certificata
¤
Poiché la ricevuta di avvenuta consegna attesta che un
messaggio è stato depositato nella casella elettronica del
destinatario, ma non che questi l’abbia letto, è necessario che il
destinatario dichiari la sua casella di PEC, impegnandosi a
scaricare sistematicamente la posta ivi depositata.
Casella certificata del cittadino (CECPAC)
¤
Il DPCM 6 maggio 2009, emanato ai sensi dell’art. 16-bis, c. 7,
del D.L. n. 185/2008, convertito con L. n. 2/2009, disegna un
servizio finalizzato al rilascio di caselle di posta certificata ai
cittadini, che prevede per essi la possibilità di ottenere
gratuitamente un indirizzo di PEC, richiedendolo direttamente, o
tramite l’affidatario del servizio, al Dipartimento per l’Innovazione
e le Tecnologie della Presidenza del Consiglio dei Ministri
Istanze e dichiarazioni on line
¤ [Art 65, c. 1] – Le istanze e le dichiarazioni presentate alle PA per
via telematica sono valide:
• se trasmesse dall'autore mediante la propria casella di PEC
purché le relative credenziali di accesso siano state rilasciate
previa identificazione del titolare, anche per via telematica
secondo modalità definite con regole tecniche adottate ai
sensi dell'articolo 71, e ciò sia attestato dal gestore del
sistema nel messaggio o in un suo allegato
PEC ID
¤ Il servizio PEC ID consentirà di identificare le persone fisiche e
giuridiche che presentano istanze e dichiarazioni per via
telematica nei confronti delle pubbliche amministrazioni (articolo
65 comma 1 lettera c-bis del CAD)
¤ Un gruppo di lavoro coordinato da DigitPA ha definito le Regole
Tecniche, che dovranno essere emanate con un DPCM, alle quali
i gestori di posta elettronica certificata dovranno attenersi qualora
vogliano erogare il servizio PEC ID
PEC ID
¤ le Regole tecniche, in coerenza con il modello GFID di gestione
federata delle identità digitali del Sistema Pubblico di Connettività,
seguono il paradigma SAML (Security Assertion Markup
Language ), uno standard informatico basato su XML per lo
scambio di dati di autenticazione e autorizzazione tra domini di
sicurezza distinti, gestiti da Identity Provider.
¤ I Gestori di posta elettronica certificata che decideranno di
erogare il servizio di PEC ID, opereranno pertanto da Identity
Provider, entità abilitate a creare, gestire e mantenere
informazioni sull’identità digitale di soggetti che operano
telematicamente, allo scopo di fornire supporto alla loro
identificazione informatica
Firma elettronica avanzata
¤
[Art. 1, c. 1, lett. q-bis)] – Per firma elettronica avanzata s’intende
l’insieme di dati in forma elettronica allegati oppure connessi a
un documento informatico che:
• consentono l'identificazione del firmatario del documento
• garantiscono la connessione univoca al firmatario
• sono creati con mezzi sui quali il firmatario può conservare
un controllo esclusivo
• sono collegati ai dati ai quali detta firma si riferisce in modo
da consentire di rilevare se i dati stessi siano stati
successivamente modificati
Firme elettronica avanzata
¤ [Art. 20, c. 3, CAD] – Le regole tecniche in materia di generazione,
apposizione e verifica di qualsiasi tipo di firma elettronica
avanzata, salvo quanto già disposto per la firma digitale, saranno
emanate entro il 25/1/2012
¤ Al momento, è disponibile una bozza delle nuove regole tecniche
in materia di “formazione, trasmissione, conservazione, copia,
duplicazione, riproduzione e validazione temporale dei documenti
informatici, elaborate da DigitPA”, che consente alle
organizzazioni interessate di realizzare soluzioni di firma
elettronica avanzata senza autorizzazione preventiva
Firma elettronica avanzata
¤ [Bozza delle nuove regole tecniche sulle firme elettroniche] –
Soluzioni di firma elettronica avanzata
• La Carta d’Identità Elettronica, la Carta Nazionale dei Servizi
e gli altri strumenti ad esse conformi, sono utilizzabili dalle
pubbliche amministrazioni per realizzare sistemi di firma
elettronica avanzata. Le applicazioni di verifica devono
accertare che il certificato di autenticazione sia afferente ad
una Carta d’Identità Elettronica o ad una Carta Nazionale dei
Servizi
Firma elettronica avanzata
¤ [Bozza delle nuove regole tecniche sulle firme elettroniche] –
Soluzioni di firma elettronica avanzata
• L’invio tramite PEC di cui all’art. 65, comma 1, lettera c-bis)
del CAD, effettuato richiedendo la ricevuta completa di cui
all’art. 1, comma 1, lettera i) del Decreto 2 novembre 2005,
costituisce, nei confronti della pubblica amministrazione, firma
elettronica avanzata del messaggio spedito ai sensi delle
presenti regole tecniche
Gestione delle PEC
¤ Integrazione con il sistema di gestione informatica dei documenti
¤ Gestione automatizzata delle ricevute di ritorno
¤ [DPCM 31 ottobre 2000]: Ad ogni messaggio di posta elettronica
ricevuto da una area organizzativa omogenea corrisponde una
unica operazione di registrazione di protocollo. Detta
registrazione si può riferire sia al corpo del messaggio sia ad uno
o più dei file ad esso allegati.
Gestione delle PEC
¤ [DPCM 31 ottobre 2000]: Ad ogni messaggio di posta elettronica
ricevuto da una area organizzativa omogenea corrisponde una
unica operazione di registrazione di protocollo. Detta
registrazione si può riferire sia al corpo del messaggio sia ad uno
o più dei file ad esso allegati
Gestione delle PEC
¤ [Bozza delle nuove regole tecniche sul protocollo informatico]: Ad
ogni messaggio ricevuto o spedito da una area organizzativa
omogenea corrisponde un’unica operazione di registrazione di
protocollo che si riferisce all’intero messaggio. Alla registrazione
di protocollo vengono associate le ricevute generate dal sistema
di protocollo informatico e, nel caso di registrazione di messaggi
di posta elettronica certificata spediti, anche le ricevute rilasciate
dal sistema di posta certificata correlate al messaggio oggetto di
registrazione
Notifiche telematiche
¤
[Art. 25, c. 3, L. n. 183/2011) – Dal 31 gennaio 2012 gli avvocati
possono effettuare notificazioni (in materia civile, amministrativa
e stragiudiziale) senza l’ausilio dell’ufficiale giudiziario non solo
per mezzo degli uffici postali, ma anche per mezzo della posta
elettronica certificata
¤
Il nuovo c. 3-bis della legge 53/1994 (quella sulle notifiche in
proprio degli avvocati), tuttavia, prevede che la notifica sia
effettuata a mezzo della PEC solo se l’indirizzo del destinatario
risulta da pubblici elenchi.