Posta elettronica certificata e firma digitale

dott. Andrea Crobu per ANCE Verona, 06/04/2011

Due strumenti diversi che lavorano insieme

• La posta elettronica certificata (PEC) ha la stessa funzione della raccomandata con ricevuta di ritorno nell’attestare l’avvenuta consegna di un messaggio

• La firma digitale garantisce la paternità di un documento elettronico

Cos’è la Posta Elettronica Certificata (PEC)?

La PEC permette di sostituire la raccomandata e il fax nei rapporti ufficiali e si può usare anche per l'inoltro di comunicazioni che attestino l'invio ma non richiedano la certificazione della consegna, come le fatture

Un sistema di comunicazione che garantisce legalmente l’avvenuta ricezione del messaggio in tutte le sue parti, allegati compresi.

Come funziona?

Quattro sono i soggetti necessari

Mittente

Gestore del

mittente

Gestore del

destinatario

Destinatario

Come funziona?

Mittente

Messaggio

Gestore del

mittente

Busta di trasport

o

Avvenuta spedizion

e

Gestore del

destinatario

Verifica della busta

Destinatario

Avvenuta

ricezione

Come funziona?

Cosa c’è nella busta di trasporto?

• Il messaggio originale• Gli allegati• I certificati d’autenticità• Data e ora della spedizione

Come funziona?

Cosa c’è nella ricevuta di spedizione?

• Attestazione dell’avvenuta spedizione• Elenco dei destinatari• Distinzione tra destinatari PEC e non PEC

Come funziona?

Cosa c’è nella ricevuta di ricezione?

• Attestazione dell’avvenuta ricezione per ogni destinatario PEC

• Messaggio completo• Allegati originalmente inclusi

Come funziona?

Cosa certifica la ricevuta di ricezione?

• la consegna • la data e l’ora di consegna • il contenuto consegnato

Come funziona?

Aspetto molto importante

la posta certificata fornisce al mittente una prova, firmata dal gestore scelto dal destinatario, dell’avvenuta ricezione di tutto il contenuto che è stato recapitato (con data e ora di recapito). Questa è una delle caratteristiche più significative che distingue la posta certificata dai normali mezzi per l'invio di documenti ufficiali in formato cartaceo.

Il quadro normativo

• Decreto del Presidente della Repubblica 11 febbraio 2005 n. 68, e nei collegati documenti tecnici

• Decreto Ministeriale 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata

• Circolare CNIPA del 24 novembre 2005 n.49

• Il Codice dell'Amministrazione Digitale (Decreto Legislativo 82/2005 modificato ed integrato dal Decreto Legislativo 235/2010)

• Il Decreto Legislativo 185/2008 convertito con Legge 2/2009

PEC ≠ PostaCertificat@

Il 26 Aprile 2010 il Ministro per la pubblica amministrazione e l'innovazione ha presentato il servizio PostaCertificat@.

PostaCertificat@ fornisce gratuitamente, a ogni cittadino maggiorenne che ne fa richiesta, una casella di posta elettronica certificata da usarsi esclusivamente per le comunicazioni con la Pubblica Amministrazione.

Tale servizio ha le seguenti caratteristiche:

• 250 MB di spazio a disposizione• Max 10 invii giornalieri• Max 50 destinatari per messaggio• Max 30 MB dimensioni messaggio• Solo verso P.A.

PEC ≠ PostaCertificat@

Attualmente le caselle attive di PostaCertificat@ sono prossime al milione

PostaCertificat@ è un servizio che soddisfa l’obbligo di legge per quanto concerne i rapporti con la P.A.

PostaCertificat@ non è uno strumento per la comunicazione tra aziende e/o professionisti e/o privati

PostaCertificat@ è la denominazione del servizio CEC-PAC (Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino)

Vantaggi della PEC 1

• Ogni formato di documento digitale può essere inviato tramite posta elettronica certificata

• I messaggi possono essere consultati da ogni computer connesso a internet

• Certificazione degli allegati al messaggio• L'avvenuta consegna della mail viene garantita,

nel caso non sia possibile consegnare il messaggio l'utente viene informato

Vantaggi della PEC 2

• Le ricevute di consegna hanno validità legale;• non ripudio della sorgente: prova chi è il mittente dei dati in

una transazione• non ripudio della destinazione: prova che i dati sono arrivati

ad uno specifico destinatario• Tracciabilità della casella mittente e conseguentemente del

suo titolare (se il titolare è stato identificato con certezza);• Vi è certezza sulla destinazione dei messaggi;• L'invio dei messaggi può avere costi inferiori a quello delle

raccomandate.

Vantaggi della PEC 3

• Per una giusta valutazione deve essere preso in considerazione il costo di invio di una raccomandata cartacea tradizionale, che cresce in funzione del numero di pagine e del peso del plico, e il numero di comunicazioni inviate annualmente. Queste informazioni devono poi essere comparate con le tariffe del gestore PEC, che solitamente rende disponibile una casella PEC con un costo calcolato su base annuale. Solitamente una volta pagato il canone annuale l'utente può inviare un numero illimitato di messaggi PEC. Va anche calcolato il total cost of ownership del servizio legato alle necessità di storage locale, backup, indicizzazione e retrieval delle ricevute, specie in grandi organizzazioni che generano rilevanti

quantità di corrispondenza;

Vantaggi della PEC 4

• Elevati requisiti di qualità e continuità del servizio. I Service Level Agreement (SLA) di legge prevedono una disponibilità (Uptime) del servizio del 99,8% su base quadrimestrale. Gli SLA della disponibilità del servizio PEC non valgono per la connettività. In altri termini, i server del gestore PEC possono essere disponibili nel 99,8% dell'anno, ma la connettività per raggiungerli (offerta da una terza parte) potrebbe avere SLA differenti;

• Obbligo da parte del gestore di archiviare tutti gli eventi associati ad invii e ricezioni di messaggi PEC, per un periodo di trenta mesi;

• Obbligo da parte del gestore di applicare le procedure atte a garantire il rispetto delle misure di sicurezza previste dal Codice dei dati personali e la sicurezza della comunicazione.

Svantaggi della PEC 1

• Viene certificato il deposito del messaggio nella casella del destinatario, non che il destinatario l’abbia letto.

• La raccomandata non ritirata dal deposito viene rispedita al mittente, che quindi è al corrente della mancata ricezione, con la PEC questo non succede.

• È una come una normale email, quindi può essere cancellata per errore

• La conservazione dei messaggi da parte dei gestori per 30 mesi può costituire problemi di privacy

• Introduce complessità invece di eliminarne• Usarla solo per i rapporti con la PA è come tornare alla vecchia domanda in carta bollata.

Svantaggi della PEC 2

• Il quadro normativo è in continua evoluzione• L’adozione della PEC da parte delle imprese e delle

amministrazioni pubbliche non è ancora capillare.• È uno standard solo ed esclusivamente italiano: all’estero

non viene utilizzato.• È stata fatta denuncia allo Stato italiano in sede europea

per l’adozione della PEC come standard indipendente, ponendo quindi l’Italia in una posizione chiusa, al di fuori degli standard internazionali.

Domande e discussione

La firma digitale

• La firma digitale è basata sulla tecnologia della crittografia a chiave pubblica (o PKI). Dal punto di vista informatico essa rappresenta un sistema di autenticazione di documenti digitali tale da garantire il non ripudio.

• La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua quel tipo di firma che può essere apposta ai documenti informatici alla stessa stregua di come la firma autografa viene apposta ai documenti tradizionali.

La firma digitale

Cos’è la firma digitale?

Una tecnologia che permette di attribuire una paternità certa a un documento elettronico.

In termini pratici è l’equivalente informatico della firma autografa.

La firma digitale

La firma digitale di un documento informatico si propone di soddisfare tre esigenze

1. che il destinatario possa verificare l'identità del mittente (autenticità)

2. che il mittente non possa disconoscere un documento da lui firmato (non ripudio)

3. che il destinatario non possa modificare un documento firmato da qualcun altro (integrità)

La firma digitale

Come funziona?

Si deve comprare un dispositivo di firma, generalmente sotto forma di chiave USB o lettore di smart-card, dotato di un software di crittografia apposito.

Si crea il documento, lo si critta e lo si spedisce e/o archivia.

Il documento viene convertito in un formato sicuro, apribile solo da un altro software di crittografia e non modificabile da nessuno.

Differenze tra firma digitale e firma convenzionale

  Firma autografa Firma digitale

Creazione manuale mediante algoritmo di creazioneApposizione sul documento: la

firma è parte integrante del documento

come allegato: il documento firmato è costituito dalla coppia (documento, firma)

Verifica confronto con una firma autenticata: metodo insicuro

mediante algoritmo di verifica pubblicamente noto: metodo sicuro

Documento copia

distinguibile indistinguibile

Validità temporale

illimitata limitata

Automazione dei processi

non possibile possibile

Il quadro normativo

Le norme che regolano la vita della firma digitale in Italia sono soggette a una costante evoluzione, frutto del recepimento delle direttive UE.

• D.P.R. 10 novembre 1997 n. 513 emanato in attuazione dell'articolo 15 della legge 15 marzo 1997, n. 59.

• D.P.R. 28 dicembre 2000 n. 445

• Codice dell'amministrazione digitale" (Decreto Legislativo 7 marzo 2005, n. 82, così come modificato dal D.Lgs. 4 aprile 2006, n. 159)

La valenza giuridica

Per la legge italiana si definisce «firma digitale» un tipo di firma elettronica qualificata alla quale si attribuisce piena efficacia probatoria, paria quella della firma autografa.

Il termine «firma elettronica qualificata» è stato creato per evitare le ambiguità derivanti dall’uso di «firma digitale» nell’informatica come indicazione di tecniche di autenticazione e di ottenimento del non ripudio dei documenti.

La valenza giuridica

L’ordinamento italiano distingue tra

1. Firma elettronica: insieme dei dati usati per l’identificazione informatica

2. Firma elettronica qualificata: insieme dei dati necessari per l’identificazione univoca del creatore di un documento elettronico attraverso mezzi di cui il firmatario deve essere detentore esclusivo.

3. Firma digitale: firma elettronica qualificata basata su crittografia a chiavi asimmetriche

La valenza giuridica

All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova, fino a querela di falso, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta, equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata).

La valenza giuridica

Secondo un orientamento si ha l’inversione dell’onere della prova:l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria.

Secondo un altro orientamento si ha l’obbligo di verificazione dell’eventuale avvenuto utilizzo del dispositivo di firma

Vantaggi della firma digitale

• Garantisce la paternità dei documenti digitali

• Costi ridotti nell’acquisto e nell’utilizzo della tecnologia

• Garantisce il non ripudio• Costituisce uno standard internazionale • Dopo l’apposizione, impedisce modifiche

al documento• La firma varia a seconda del numero di bit

del documento firmato, rendendola irriproducibile

Svantaggi della firma digitale

• Essendo uno standard diffuso è soggetta a frequenti tentativi di hackeraggio, purtuttavia costantemente contrastati dallo studio delle vulnerabilità.

• Rispetto alla firma reale, essa non è direttamente riconducibile al firmatario, ma abbisogna di un organismo certificante

Domande