PEC (Posta Elettronica Certificata) e alternative poco concrete
Lascio qui qualche appunto riguardo un problema sollevato recentemente in una mailing list che frequento: l'obbligo di avere un indirizzo PEC per i professionisti iscritti in albi ed ordini. Obbligo che dovrebbe essere assolto entro qualche giorno...
il Decreto legge del 29 novembre 2008, n. 185 dice: “I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore della presente legge. Gli ordini e i collegi pubblicano in un elenco consultabile in via telematica i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.”
La PEC rende in forma elettronica più o meno ciò che dà la posta raccomandata con ricevuta di ritorno: vengono certificate la spedizione, presa in carico, integrità del messaggio, ed eventuale ricezione del messaggio. Il tutto a partire da e verso una casella "fatta apposta", il che significa che non sono servizi applicabili alle caselle che già usiamo, ma abbiamo bisogno di una casella nuova. E, come è ovvio, non garantisce la lettura dei messaggi: semplicemente, nel migliore dei casi, la consegna al programma di posta elettronica del destinatario, se si connette.
La PEC non è uno standard internazionale, ma solamente italiano, anche se è stato di recente sottoposto a valutazione per farlo diventare standard. Investigando un po' su Internet, salta fuori che nella conversione a legge il legislatore ha oculatamente anche se genericamente previsto un'alternativa: "o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali" che rende non obbligatoria la PEC se si usano altre tecnologie standard con analoghe prestazioni. Nella legge non si dice come, ma da anni esiste il modo standard di fare posta sicura (S/MIME), avendo un proprio certificato digitale, a partire da qualsiasi casella di posta. Su questo ho cercato di soffermarmi, anche perché buona parte dei tanti commenti negativi che si trovano sul Web a proposito della PEC si concentrano proprio su questa possibilità (per esempio Michele Nasi, e varie estrapolazioni da commenti di Massimo Penco, presidente di Globaltrust).
In S/MIME manca però la certificazione della ricezione, anche se buona parte dei pareri online non si soffermano su questo tutt'altro che insignificante dettaglio, tranne ciò che si trova nei commenti di Andrea Caccia a questo post, e mi pare strano che sia l'unico.
S/MIME esiste da anni, i programmi di posta elettronica lo implementano, ma serve per 1) firmare digitalmente se abbiamo un certificato digitale, e contestualmente garantire l'integrità del messaggio, nonché certificare la data ed ora di produzione del messaggio stesso e 2) mandare messaggi cifrati se il destinatario ha un suo certificato digitale. Non implementa un meccanismo di certificazione dell'invio e della ricezione, e né potrebbe, perché non possono essere mittente o destinatario a farsene carico, visto che nell'invio e ricezione si attraversa sempre un'infrastruttura di reti e server SMTP/POP di cui mittente e destinatario non sono responsabili.
Quindi la PEC ha i suoi difetti soprattutto perché non è uno standard internazionale, ma mi pare di avere compreso che non esiste ancora uno standard internazionale che assolva quello scopo particolare (candidati: REM, e solo in parte ECPM). S/MIME fa anche altro, visto che con la PEC non spediamo documenti informatici in senso stretto (cioè con firma digitale: se ci interessa, dobbiamo firmarli secondo legge), ma non fa ricevuta di ritorno, per dirla in poche parole.
Per i privati cittadini, INPS e ACI (!) forniscono una casella gratuita; gli ordini e gli albi si stanno attrezzando per i professionisti. Gli altri la devono comprare, e costa poco; poi però bisogna ricordarsi di controllarla, perché diventa uno strumento per l'invio di documenti ufficiali (anche se mi pare che non si preveda niente riguardo la possibilità che uno abbia la casella ma non la controlli, né si prevede niente nel caso la casella si intasi).
otto commenti
Non è corretto confrontare S/MIME con PEC. La PEC mira ad implementare il servizio di non ripudio del destinatario. S/MIME implementa non ripudio del mittente (firma digitale), integrità dei messaggi e confidenzialità. È giusto che questi servizi vengano implementati con meccanismi diversi, in modo da poterli adottare separatamente, se e quando sono necessari. In fondo, anche con la posta raccomandata A/R, si possono inviare documenti non firmati, o perfino buste aperte.
Concordo con Marino. La PEC avrà tutti i difetti del mondo, compreso il fatto che magari nella forma attuale non diventerà uno standard mondiale, ma non è semplicemente sostituibile con S/MIME.
E, gentile signor Penco, se non le spiace continuo a leggerla più come presidente di GLobalTrust che come Cittadini di Internet.
Mi legga come crede, ma e chi ha mai detto che la PEC potrà essere sostituita dal S-mime ci viaggia solo sopra, mi spiego meglio senza il protocollo S-mime semplicemente non esisterebbe ed noi non staremmo a dibattere.
Sul non ripudio del destinatario forse è bene vi leggiate quanto dicono giuristi e non io anche se a Vincenzo non piace su http://www.cittadininternet.org c‘è una fitta raccolta di seri parei in merito, magari lui non li legge ma altri si e poi c‘è anche chi li scrive.
Che lo vogliate o no PEC è relegata in Italia in un mondo dove la comunicazione è indispensabile è un bel primato.
Nel resto del mondo non ci pensano minimamente a cose come questa.
Forse non le è chiaro il senso del post, per cui lo ricapitolo:
1) qualcuno ha l’obbligo di avere un indirizzo PEC;
2) il legislatore ha previsto che sia possibile usare “qualcos’altro” di internazionalmente accettabile (se esiste);
3) ho cercato in giro, e dai suoi e non solo suoi commenti si evince che c‘è già S/MIME quindi non serve la PEC, checché ne dica ora (una sua citazione da uno dei due articoli che ho linkato: “Tutti i sistemi comunicano al mondo attraverso uno standard definito “S-mime” che di per se stesso offre garanzie sufficienti a quanto chiesto dalla legge.”)
4) visto che so cos‘è S/MIME, so che non fa la stessa cosa della PEC.
5) Stop. Ho cercato una soluzione allo stato attuale delle cose, ma non c‘è (nonostante la profusione di post in giro) e tocca usare, per il momento, la PEC.
Se nella fitta raccolta di seri pareri riesce a selezionarmi un link ad un articolo che riguardi il non ripudio del destinatario, lo metta qua che sono lieto di leggerlo.
Un o più commenti sono in attesa di moderazione.
La ringrazio di avermi dato modo di andare a vedere l’altro blog a cui fa riferimento più che come GlobalTrust le rispondo in qualità di Presidente di Cittadini di Internet dove ci sono ampi riferimenti a quanto si sta facendo sulla PEC non solo miei e di Nasi ma di decine di altri esperti e studiosi della materia che rispondono a tutti i quesiti da lei posti:
https://www.cittadininternet.org/home.asp?id=68 per completezza riporto quanto detto nel Blog citatato:
L’ETSI è un organizzazione No profit che ha un carattere consultivo basta andare nel sito per capire cosa fanno è chi sono http://www.etsi.org/WebSite/AboutETSI/Ab..
La comunicazione non è un esclusiva Europea ne tanto meno Italiana, tutto il mondo comunica non ETSI quella che detta gli Standard ne in Europa ne tanto meno nel Mondo nessuno nega che li studi da li a divenire Standard c‘è ne vuole è un problema di cultura, nel mondo libero di Internet fortunatamente non ci sono le regole di cui si parla è l’ETSI con tutto il rispetto può proporre qualsiasi suggerimento definito come RFC all’ IETF che qualsiasi individuo può fare,lo stesso CNIPA ed il CNR lo hanno fatto nel 2008 per ora nulla di nuovo.
Nel messaggio PEC si usa s-mime per firmare La cosi detta “Busta di Trasporto” e non il contenuto del messaggio che viaggia in chiaro a meno che non ci si fornisce di ulteriore certificato S-mime per firmarlo , questa è la grande differenza, che rappresenta un uso anonimo dello strumento “Firma digitale” che è basata su un sistema anch’esso riconosciuto universalmente denominato “Infrastruttura a chiavi Pubbliche” PKI. L’anomalia consiste nel fatto che:
1) Si usi la firma digitale per firmare una busta e non un documento ( Messaggio, allegati ed Header (Intestazione del Messaggio)
2) Le chiave privata e pubblica di cui al Sistema “Infrastruttura a chiavi pubbliche “sono in possesso dei gestori PEC E NON del proprietari Mittente e destinatario di un messaggio, lo scambio avviene tra i gestori e non tra i titolari del messaggio.
3) Con un solo “Certificato digitale di Firma” si possono firmare un numero indefinito (Milioni) di Buste.
4) La corrispondenza che a norma universalmente riconosciuta oltre che sancita dall’art. 15 della nostra Costituzione che recita “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili.
La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria [cfr. art. 111 c. 1] con le garanzie stabilite dalla legge. Non è improbabile in quanto già ventilato una probabile intervento in sede costituzionale. Infatti ecco cosa avviene in pratica brevemente sperando di essere chiaro una volta per tutte, ometto per brevità tutto lo scambio di ricevute essendo queste ininfluenti ai fini dello scambio delle chiavi:
Prima di ogni operazione I gestori di PEC avranno istallato le chiavi pubbliche degli altri Gestori nei propri server operazione piuttosto banale.
Aldo prepara il suo messaggio PEC con tutti gli allegati da inviare a Bruno , sia che usi web mail che un client, lo inserisce in posta in partenza PEC nella propria Casella PEC sita nel server del gestore PEC di Aldo, Il gestore Pec A imbusta il Messaggio di Aldo, firma la busta di Aldo con la chiave privata del gestore PEC di Aldo, ed inserisce copia del Messaggio in chiaro in posta inviata di Aldo, manda la busta di trasporto contenente il messaggio di Aldo firmata digitalmente dal Gestore di Aldo con la propria chiave privata, Il Gestore di Bruno, apre la busta con la propria chiave privata e la chiave pubblica del Gestore di Aldo inserisce il contenuto della stessa nel Server dove è sita la Casella PEC di Bruno.
A mio avviso è come inviare una raccomandata lasciandone una copia del contenuto nell’ufficio postale di partenza e di arrivo.
In quanto alla possibilità di manipolare gli Header di un messaggio di posta inviato con S-mime firmati con X-509 , mi trattengo dal commentare dico che è ad oggi IMPOSSIBILE specialmodo con una chiave a 2048 bit, basta vedere come viene generato l’Header ( Intestazione completa di un messaggio), come non commento il resto.
Attendiamo con impazienza che la nostra PEC divenga lo Standard Internazionale se non altro per orgoglio nazionale che condivido solo l’orgoglio però, mi pare che le premesse non ci sono ed a noi serve oggi, anzi ci viene posto un obbligo oggi non in futuro, Mettere il carro davanti ai buoi con le tecnologie usando leggi coercitive è molto peggio della “Torre di Babele” intanto il resto del mondo comunica senza PEC perché non aspettiamo ? sono 5 anni Codice dell’Amministrazione digitale (CAD) che la PEC deve essere usata da tutti è dodici da quella che doveva essere la rivoluzione digitale, magari riusciamo a far passare una legge a valenza mondiale all’ONU.
Massimo Penco