di Andrea Monti – PC Professionale n. 168 marzo 2005
Dubbi e polemiche accompagnano l’introduzione di uno strumento che potrebbe rivoluzionare il modo di lavorare di milioni di persone.
Lo scorso 28 gennaio 2005, il Consiglio dei ministri ha approvato in via definitiva il testo di un provvedimento (www.cnipa.gov.it) da sottoporre al presidente della Repubblica e che, dopo la firma, diventerà lo strumento normativo che regolerà le modalità di utilizzo della posta elettronica certificata (PEC) da parte di cittadini, imprese e pubbliche amministrazioni.
In sintesi, la PEC è un insieme di regole – tecniche e giuridiche – applicando le quali si attribuisce valore legale all’invio e alla ricezione di messaggi di posta elettronica. In altri termini, i messaggi inviati tramite PEC avranno lo stesso valore giuridico della tradizionale raccomandata con ricevuta di ritorno. Il sistema richiede che l’utente finale “dichiari” un indirizzo di posta elettronica che vuole utilizzare per i servizi PEC offerti da gestori accreditati che fungono da “uffici postali”. Coerentemente a quanto accade con la posta tradizionale, quindi, il messaggio si intende spedito con la consegna all’”ufficio postale PEC” e ricevuto quando esso viene “consegnato” nella casella di posta del destinatario.
Inoltre, è prevista una notifica dell’avvenuta o mancata consegna del messaggio entro le 24 ore successive all’invio in modo da non generare incertezza sulla sorte della comunicazione. Questa apparente “semplicità” del sistema tuttavia nasconde insidie, errori e scelte “di parrocchia” che ne mettono in serio pericolo l’effettiva utilizzabilità . Cominciamo dalla figura del gestore PEC: oltre a dover soddisfare una serie di requisiti tecnici e doversi dotare di certificazione ISO 9000 (chissà perché non di quella BS7799 che è lo standard in materia di sicurezza) chi vuole svolgere questa attività deve essere una persona giuridica e avere un capitale interamente versato di un milione di euro. Vale a dire che si stabilisce una limitazione alla possibilità di fornire servizi PEC non solo e non tanto (come sarebbe giusto) sulla capacità di garantire sicurezza e affidabilità dei sistemi, ma sulla dimensione del portafogli.
Altro aspetto problematico è quello del dominio di posta utilizzabile per l’invio di messaggi PEC. Stando alla lettera della legge, infatti, non sarà possibile utilizzare i propri domini istituzionali, aziendali o personali ma si dovrà necessariamente disporre di una mailbox presso un gestore PEC. In altri termini, se PC Professionale volesse inviare posta certificata non potrebbe utilizzare i propri indirizzi “@mondadori.it” a meno che il dominio (e le relative mailbox) non vengano gestiti da un provider PEC, rinunciando così alla gestione autonoma dell’e-mail. Suscita più di una perplessità anche l’art.9 del DPR che si occupa della “busta di trasporto” (cioè del file che contiene il messaggio). Il comma 2 di questo articolo dice che“ La busta di trasporto è sottoscritta con una firma elettronica di cui al comma 1 che garantisce la provenienza, l’integrità e l’autenticità del messaggio di posta elettronica certificata secondo le modalità previste dalle regole tecniche di cui all’articolo 17.”
In realtà la sottoscrizione della “busta di trasporto” non “autentica” alcunché, perché in Italia solo i notai (e, in alcuni casi, la PA) possono “autenticare” qualche cosa. Inoltre, la norma non chiarisce che se il messaggio non è, a sua volta, firmato digitalmente, non acquisisce il valore di documento valido e rilevante ad ogni effetto di legge per il solo fatto di essere stato spedito tramite PEC.
L’esempio che segue chiarisce il concetto: se scrivo una lettera e la firmo, questa lettera “mi appartiene”. Se prendo questa lettera, la imbusto e la spedisco, chi la riceve è certo della data di ricevimento (perché c’è il timbro postale) ed è (ragionevolmente) certo dell’identità dell’autore del messaggio per via della firma. Se invece di firmare la lettera, stampo su carta un file e lo spedisco, chi lo riceve è certo della data ma non dell’identità del mittente né dell’autore del foglio (perché manca la firma).
Tornando alla PEC, allora, se la mail non è firmata digitalmente prima di essere spedita (acquisendo così un valore legale), l’uso del “sistema di posta certificata” non cambia il valore legale del documento spedito. Infine i gestori PEC sono obbligati a conservare i log adottando sistemi che ne garantiscano data certa e inalterabilità. Si tratta di un obbligo normativo che avrà impatto su tutti quei processi in cui la responsabilità civile o penale dipende da un log trasmesso via fax o ricevuto via mail. Se infatti il log non ha quelle precise caratteristiche non potrà essere, da solo, considerato “prova” in un processo.
Possibly Related Posts:
- Le cinque sfide della sicurezza nazionale
- Dopo 70 anni, il Centro nazionale di supercalcolo realizza il sogno di Bruno de Finetti
- Big Tech e geopolitica. Il caso Starlink
- Ue e G7, i cavi sottomarini come asset strategico per la sicurezza delle reti
- Dopo SPID è ora di cancellare anche la firma digitale