Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica CertificataSILVIO SALZA - Università di Roma “La Sapienza” – 1
CENTRO DI ECCELLENZA ITALIANO SULLA CONSERVAZIONE DIGITALE
PEC - Posta Elettronica Certificata
SILVIO SALZA
Università degli Studi di Roma “La Sapienza”
CINI- Consorzio Interuniversitario Nazionale per l’Informatica
Work supported by the European Community under the
Information Society Technologies (IST) program of the 7th FP for RTD
project APARSEN, ref. 269977
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica CertificataSILVIO SALZA - Università di Roma “La Sapienza” – 2
LICENZA DI DIRITTO D’AUTORE
Questo materiale è rilasciato sotto licenza Creative Commons CC BY-NC-ND
Questa licenza implica che:
• È possibile copiare e distribuire liberamente questo materiale, a patto che non vengano apportate modifiche e che vengano mantenute le indicazioni di chi è l'autore dell'opera.
• Ciò è però consentito esclusivamente quando avvenga per scopi non commerciali.
• Non è consentito di distribuire opere derivate, cioè contenenti qualsivoglia modifica rispetto al materiale originale.
Per maggiori dettagli si rimanda direttamente alla licenza:
• Riassunto della licenza: http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it
• Licenza completa: http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata3
La Posta Elettronica Certificata (PEC)
• E’ un’infrastruttura, prevista dalla normativa italiana, per l’invio di messaggi di e-mail di cui sono garantite la consegna e l’integrità
• Per legge un messaggio di PEC ha la stessa validità di una raccomandata con ricevuta di ritorno
• L’infrastruttura si basa su un insieme di gestori certificati, soggetti a processi di autorizzazione e controllo gestiti dal CNIPA (ora DigitPA) e simili a quella dei cerificatori per la firma digitale: spesso i soggetti coincidono
• Possono scambiarsi messaggi di PEC solo due utenti che abbiano entrambi caselle di PEC presso gestori certificati
Tutte le Amministrazioni Centrali devono avere caselle di PEC, tramite le quali il cittadino ha diritto a comunicare con loro
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata4
Il quadro normativo della PEC
• DPR 11 febbraio 2005, n. 68, “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.” (G.U. 28 aprile 2005, n. 97)
• DL 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale” (G.U. 16 maggio 2005 n.112), integrato dal successivo DL 235/2010
• DM 2 novembre 2005, “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” (G.U. del 14 novembre 2005, n. 265) (Versione più recente delle regole tecniche)
• DL 4 aprile 2006 n. 159 “Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante Codice dell’amministrazione digitale”
• DL 30 dicembre 2010, n. 235, “Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69 (Nuovo CAD)
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata5
Gestori di Posta Certificata
• La PEC è basata su particolari Caselle di Posta Certificata• Le caselle appartengono a particolari domini DNS detti domini
di posta certificata • Le caselle sono accessibili tramite i normali client di posta
elettronica, nelle varie modalità (POP, IMAP, HTTPS)• Le caselle sono però gestite da Gestori Accreditati cioè da
soggetto che gestisce uno o più domini di posta elettronica certificata
• Ogni gestore è titolare di una chiave usata per la firma delle ricevute e delle buste
• Ciascun deve garantire l’interoperabilità con tutti gli altri gestori
• I gestori sono accreditati e monitorati da DigitPA
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata6
Come funziona la PEC: attori del processo
• Due utenti si possono scambiare messaggi se entrambi sonotitolari di una casella di PEC
• L’interazione tra PEC e posta ordinaria è possibile ma non ha la stessa validità
• Attori del processo sono:
─ Il mittente (titolare di una casella PEC)
─ Il gestore del mittente
─ Il gestore del destinatario
─ Il destinatario
Può esistere un’ulteriore attore, l’utilizzatore, se diverso dal titolare della casella
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata7
Come funziona la PEC: schema di consegna
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata8
Fasi del processo di consegna
• 1a – l’utente invia una e-mail al Punto di accesso (PdA)• 1b – il PdA restituisce al mittente una Ricevuta di Accettazione (RdA)• 2a – il PdA crea una Busta di Trasporto (BdT) e la inoltra al Punto di Ricezione
(PdR) del Gestore destinatario• 2b – il PdR verifica la BdT e crea una Ricevuta di Presa in Carico (RdPiC) che
viene inoltrata al PdR del Gestore mittente• 2c – il PdR verifica la validità della RdPiC e la inoltra al PdC• 2d – il PdC salva la RdPiC nello store delle ricevute del Gestore• 3 – il PdR inoltra la BdT al Punto di Consegna (PdC)• 4a – il PdC verifica il contenuto della BdT e la salva nello store (mailbox del
destinatario)• 4b – il PdC crea una Ricevuta di Avvenuta Consegna (RdAC) e la inoltra al PdR
del Gestore mittente• 4c – il PdR verifica la validità della RdAC e la inoltra al PdC• 4d – il PdC salva la RdAC nella mailbox del mittente• 5 – l’utente destinatario ha a disposizione la e-mail inviatai DigitPA.
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata9
Ricevute
• Un aspetto molto importante della PEC è costituito dalle ricevute che i due gestori coinvolti inviano al mittente
• In un invio andato buon fine abbiamo le seguenti ricevute:1. Ricevuta di accettazione: rilasciata dal gestore del
mittente quando accetta il messaggio2. Ricevuta di presa in carico: rilasciata dal gestore del
destinatario quando riceve la busta con il messaggio3. Ricevuta di avvenuta consegna: rilasciata dal gestore del
destinatario dopo la consegna al destinatario• Tutte le ricevute sono firmate dai gestori che rilasciano e
vengono da essi conservate• Le ricevute di accettazione e di avvenuta consegna vengono
inoltrate al mittente
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata10
Ricevuta di avvenuta consegna
• Il mittente può richiedere la ricevuta di avvenuta consegna in diversi formati:
1. Ricevuta completa: contiene, oltre all’attestazione della consegna anche una copia del messaggio completo
2. Ricevuta breve: contiene il messaggio originale ma solo degli hash per gli allegati
3. Ricevuta sintetica: contiene solo l’attestazione della avvenuta consegna
Nel caso di ricevuta completa o breve il mittente è in grado di dimostrare non solo la consegna, ma il contenuto del messaggio
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata11
Mancata accettazione e mancata consegna
• Il messaggio può non concludere il suo iter di consegna per diversi motivi:
─ La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente
─ La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente
─ La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata12
Mancata accettazione e mancata consegna
• Il messaggio può non concludere il suo iter di consegna per diversi motivi:
─ La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente
─ La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente
─ La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata13
Invio da casella ordinaria a casella PEC
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata14
Invio da casella PEC a casella ordinaria
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata15
Il log dei messaggi
• Durante tutto i processo di consegna il sistema mantiene traccia di tutte le operazioni svolte
• Tutte le attività sono memorizzate su un registro riportante i dati significativi dell’operazione:─ il codice univoco assegnato al messaggio originale (Message-ID)─ la data e l’ora dell’evento─ il mittente del messaggio originale─ i destinatari del messaggio originale─ l’oggetto del messaggio originale─ il tipo di evento (accettazione, ricezione, consegna, emissione
ricevute, errore, ecc.)─ il codice identificativo (Message-ID) dei messaggi correlati
generati (ricevute, errori, ecc.)─ il gestore mittente
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata16
Obblighi di conservazione
• L’utente è tenuto a conservare le ricevute relative all’invio dei messaggi
• Se le ricevute vengono smarrite è possibile richiedere ai gestori le informazioni contenute nei log, per ricostruire il processo di consegna
• I gestori sono tenuti a conservare i log per almeno 30 mesi
• I gestori sono anche tenuti a conservare anche i messaggi di cui non è stata possibile la consegna per 30 mesi
• I gestori sono tenuti a procedere al salvataggio del log dei messaggi con periodicità non superiore alle 24 ore
• Le copie salvate del log devono essere marcate temporalmente
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata17
La PEC come strumento di validazione
• Il nuovo CAD introduce norme più rigorose per l’identificazione dei titolari di caselle PEC
• Ciò consentirà di associare univocamente la casella al titolare, ed è importante ai fini della valutazione
• La PEC svolgerà una doppia funzione di valutazione:
─ Validazione temporale, perché è certo il tempo di invio
─ Validazione del contenuto, perché il fatto di inviarlo dalla propria casella equivale ad assumerne l responsabilità
• Questo sarà valido per gli invii verso la PA
• Negli altri casi è liberamente valutabile in giudizio
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata18
Ma è l’unico modo?
• L’uso della PEC è diventato abuso (anche maniacale)
• È un problema che condivide con la firma elettronica
• Qualcuno ha dovuto iscrivere i figli all’asilo tramite PEC!
• Uno si chiede: ma come fanno gli altri Paesi a sopravvivere senza PEC?
• In alcune circostanze la PEC può essere senza dubbio uno strumento utile, ma occorre evitare generalizzazioni
• Tuttavia è inadatta a gestire altre situazioni, per esempio molti servizi di e-government (soprattutto verso il cittadino)
Il difetto della PEC è di replicare un paradigma di comunicazione epistolare che nella moderna gestione delle transazioni e del
workflow sta diventando obsoleto
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata19
L’alternativa
• Per effettuare un bonifico bancario da 100.000 Euro faccio i seguenti passi:
a) Vado sul sito della mia banca con il browser
b) Mi autentico con userid e password
c) Effettuo l’operazione
d) Confermo tramite un dispositivo OTP
• E se invece dovessi mandare una e-mail certificata alla banca?
• È senz’altro possibile applicare questo paradigma anche a transazioni con la PA
Si noti, tra l’altro, che alcune transazioni tra cittadino ed Agenzia delle Entrate già si svolgono senza firma digitale, posta certificata
e altri orpelli ( e stiamo parlando di soldi!)
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata20
Servizi tramite portali
• L’alternativa è l’interazione tramite portali certificati
─ Autenticazione sicura dell’utente
─ Garanzia dell’integrità delle informazioni scambiate
─ Registrazione delle azioni (non ripudio)
• Interazione tramite form
─ Immissione diretta delle informazioni
─ Controlli preliminari dei dati
Paradigma ormai entrato nella quotidianità degli utenti e largamente utilizzato per altri servizi (anche
con esigenze critiche) : bancari, e-commerce, etc.
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata21
Transazioni su portali certificati
PORTALE WEB
01011010
11010100
11101101
00101011
10010011
Generazione
domanda
DBEstrazione
dati
WORKFLOW
01011010
11010100
11101101
00101011
10010011
Generazione
risposta
ARCHIVIOArchiviazione
Se necessario l’interazione può anche generare documenti