PEC - Posta Elettronica Certificata...di posta certificata • Le caselle sono accessibili tramite i normali client di posta elettronica, nelle varie modalità (POP, IMAP, HTTPS) •

SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica CertificataSILVIO SALZA - Università di Roma “La Sapienza” – 1

CENTRO DI ECCELLENZA ITALIANO SULLA CONSERVAZIONE DIGITALE

PEC - Posta Elettronica Certificata

SILVIO SALZA

Università degli Studi di Roma “La Sapienza”

CINI- Consorzio Interuniversitario Nazionale per l’Informatica

[email protected]

Work supported by the European Community under the

Information Society Technologies (IST) program of the 7th FP for RTD

project APARSEN, ref. 269977

SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica CertificataSILVIO SALZA - Università di Roma “La Sapienza” – 2

LICENZA DI DIRITTO D’AUTORE

Questo materiale è rilasciato sotto licenza Creative Commons CC BY-NC-ND

Questa licenza implica che:

• È possibile copiare e distribuire liberamente questo materiale, a patto che non vengano apportate modifiche e che vengano mantenute le indicazioni di chi è l'autore dell'opera.

• Ciò è però consentito esclusivamente quando avvenga per scopi non commerciali.

• Non è consentito di distribuire opere derivate, cioè contenenti qualsivoglia modifica rispetto al materiale originale.

Per maggiori dettagli si rimanda direttamente alla licenza:

• Riassunto della licenza: http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it

• Licenza completa: http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode

http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it

http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode

SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata3

La Posta Elettronica Certificata (PEC)

• E’ un’infrastruttura, prevista dalla normativa italiana, per l’invio di messaggi di e-mail di cui sono garantite la consegna e l’integrità

• Per legge un messaggio di PEC ha la stessa validità di una raccomandata con ricevuta di ritorno

• L’infrastruttura si basa su un insieme di gestori certificati, soggetti a processi di autorizzazione e controllo gestiti dal CNIPA (ora DigitPA) e simili a quella dei cerificatori per la firma digitale: spesso i soggetti coincidono

• Possono scambiarsi messaggi di PEC solo due utenti che abbiano entrambi caselle di PEC presso gestori certificati

Tutte le Amministrazioni Centrali devono avere caselle di PEC, tramite le quali il cittadino ha diritto a comunicare con loro


Il quadro normativo della PEC

• DPR 11 febbraio 2005, n. 68, “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.” (G.U. 28 aprile 2005, n. 97)

• DL 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale” (G.U. 16 maggio 2005 n.112), integrato dal successivo DL 235/2010

• DM 2 novembre 2005, “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” (G.U. del 14 novembre 2005, n. 265) (Versione più recente delle regole tecniche)

• DL 4 aprile 2006 n. 159 “Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante Codice dell’amministrazione digitale”

• DL 30 dicembre 2010, n. 235, “Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69 (Nuovo CAD)


Gestori di Posta Certificata

• La PEC è basata su particolari Caselle di Posta Certificata• Le caselle appartengono a particolari domini DNS detti domini

di posta certificata • Le caselle sono accessibili tramite i normali client di posta

elettronica, nelle varie modalità (POP, IMAP, HTTPS)• Le caselle sono però gestite da Gestori Accreditati cioè da

soggetto che gestisce uno o più domini di posta elettronica certificata

• Ogni gestore è titolare di una chiave usata per la firma delle ricevute e delle buste

• Ciascun deve garantire l’interoperabilità con tutti gli altri gestori

• I gestori sono accreditati e monitorati da DigitPA


Come funziona la PEC: attori del processo

• Due utenti si possono scambiare messaggi se entrambi sonotitolari di una casella di PEC

• L’interazione tra PEC e posta ordinaria è possibile ma non ha la stessa validità

• Attori del processo sono:

─ Il mittente (titolare di una casella PEC)

─ Il gestore del mittente

─ Il gestore del destinatario

─ Il destinatario

Può esistere un’ulteriore attore, l’utilizzatore, se diverso dal titolare della casella


Come funziona la PEC: schema di consegna


Fasi del processo di consegna

• 1a – l’utente invia una e-mail al Punto di accesso (PdA)• 1b – il PdA restituisce al mittente una Ricevuta di Accettazione (RdA)• 2a – il PdA crea una Busta di Trasporto (BdT) e la inoltra al Punto di Ricezione

(PdR) del Gestore destinatario• 2b – il PdR verifica la BdT e crea una Ricevuta di Presa in Carico (RdPiC) che

viene inoltrata al PdR del Gestore mittente• 2c – il PdR verifica la validità della RdPiC e la inoltra al PdC• 2d – il PdC salva la RdPiC nello store delle ricevute del Gestore• 3 – il PdR inoltra la BdT al Punto di Consegna (PdC)• 4a – il PdC verifica il contenuto della BdT e la salva nello store (mailbox del

destinatario)• 4b – il PdC crea una Ricevuta di Avvenuta Consegna (RdAC) e la inoltra al PdR

del Gestore mittente• 4c – il PdR verifica la validità della RdAC e la inoltra al PdC• 4d – il PdC salva la RdAC nella mailbox del mittente• 5 – l’utente destinatario ha a disposizione la e-mail inviatai DigitPA.


Ricevute

• Un aspetto molto importante della PEC è costituito dalle ricevute che i due gestori coinvolti inviano al mittente

• In un invio andato buon fine abbiamo le seguenti ricevute:1. Ricevuta di accettazione: rilasciata dal gestore del

mittente quando accetta il messaggio2. Ricevuta di presa in carico: rilasciata dal gestore del

destinatario quando riceve la busta con il messaggio3. Ricevuta di avvenuta consegna: rilasciata dal gestore del

destinatario dopo la consegna al destinatario• Tutte le ricevute sono firmate dai gestori che rilasciano e

vengono da essi conservate• Le ricevute di accettazione e di avvenuta consegna vengono

inoltrate al mittente


Ricevuta di avvenuta consegna

• Il mittente può richiedere la ricevuta di avvenuta consegna in diversi formati:

1. Ricevuta completa: contiene, oltre all’attestazione della consegna anche una copia del messaggio completo

2. Ricevuta breve: contiene il messaggio originale ma solo degli hash per gli allegati

3. Ricevuta sintetica: contiene solo l’attestazione della avvenuta consegna

Nel caso di ricevuta completa o breve il mittente è in grado di dimostrare non solo la consegna, ma il contenuto del messaggio


Mancata accettazione e mancata consegna

• Il messaggio può non concludere il suo iter di consegna per diversi motivi:

─ La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente

─ La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente

─ La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione


Mancata accettazione e mancata consegna

• Il messaggio può non concludere il suo iter di consegna per diversi motivi:

─ La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente

─ La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente

─ La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione


Invio da casella ordinaria a casella PEC


Invio da casella PEC a casella ordinaria


Il log dei messaggi

• Durante tutto i processo di consegna il sistema mantiene traccia di tutte le operazioni svolte

• Tutte le attività sono memorizzate su un registro riportante i dati significativi dell’operazione:─ il codice univoco assegnato al messaggio originale (Message-ID)─ la data e l’ora dell’evento─ il mittente del messaggio originale─ i destinatari del messaggio originale─ l’oggetto del messaggio originale─ il tipo di evento (accettazione, ricezione, consegna, emissione

ricevute, errore, ecc.)─ il codice identificativo (Message-ID) dei messaggi correlati

generati (ricevute, errori, ecc.)─ il gestore mittente


Obblighi di conservazione

• L’utente è tenuto a conservare le ricevute relative all’invio dei messaggi

• Se le ricevute vengono smarrite è possibile richiedere ai gestori le informazioni contenute nei log, per ricostruire il processo di consegna

• I gestori sono tenuti a conservare i log per almeno 30 mesi

• I gestori sono anche tenuti a conservare anche i messaggi di cui non è stata possibile la consegna per 30 mesi

• I gestori sono tenuti a procedere al salvataggio del log dei messaggi con periodicità non superiore alle 24 ore

• Le copie salvate del log devono essere marcate temporalmente


La PEC come strumento di validazione

• Il nuovo CAD introduce norme più rigorose per l’identificazione dei titolari di caselle PEC

• Ciò consentirà di associare univocamente la casella al titolare, ed è importante ai fini della valutazione

• La PEC svolgerà una doppia funzione di valutazione:

─ Validazione temporale, perché è certo il tempo di invio

─ Validazione del contenuto, perché il fatto di inviarlo dalla propria casella equivale ad assumerne l responsabilità

• Questo sarà valido per gli invii verso la PA

• Negli altri casi è liberamente valutabile in giudizio


Ma è l’unico modo?

• L’uso della PEC è diventato abuso (anche maniacale)

• È un problema che condivide con la firma elettronica

• Qualcuno ha dovuto iscrivere i figli all’asilo tramite PEC!

• Uno si chiede: ma come fanno gli altri Paesi a sopravvivere senza PEC?

• In alcune circostanze la PEC può essere senza dubbio uno strumento utile, ma occorre evitare generalizzazioni

• Tuttavia è inadatta a gestire altre situazioni, per esempio molti servizi di e-government (soprattutto verso il cittadino)

Il difetto della PEC è di replicare un paradigma di comunicazione epistolare che nella moderna gestione delle transazioni e del

workflow sta diventando obsoleto


L’alternativa

• Per effettuare un bonifico bancario da 100.000 Euro faccio i seguenti passi:

a) Vado sul sito della mia banca con il browser

b) Mi autentico con userid e password

c) Effettuo l’operazione

d) Confermo tramite un dispositivo OTP

• E se invece dovessi mandare una e-mail certificata alla banca?

• È senz’altro possibile applicare questo paradigma anche a transazioni con la PA

Si noti, tra l’altro, che alcune transazioni tra cittadino ed Agenzia delle Entrate già si svolgono senza firma digitale, posta certificata

e altri orpelli ( e stiamo parlando di soldi!)


Servizi tramite portali

• L’alternativa è l’interazione tramite portali certificati

─ Autenticazione sicura dell’utente

─ Garanzia dell’integrità delle informazioni scambiate

─ Registrazione delle azioni (non ripudio)

• Interazione tramite form

─ Immissione diretta delle informazioni

─ Controlli preliminari dei dati

Paradigma ormai entrato nella quotidianità degli utenti e largamente utilizzato per altri servizi (anche

con esigenze critiche) : bancari, e-commerce, etc.


Transazioni su portali certificati

PORTALE WEB

01011010

11010100

11101101

00101011

10010011

Generazione

domanda

DBEstrazione

dati

WORKFLOW

01011010

11010100

11101101

00101011

10010011

Generazione

risposta

ARCHIVIOArchiviazione

Se necessario l’interazione può anche generare documenti

Documents

PEC - Posta Elettronica Certificata...di posta certificata • Le caselle sono accessibili tramite i normali client di posta elettronica, nelle varie modalità (POP, IMAP, HTTPS) •