1. La posta elettronica certificata:
obblighi ed opportunità
F. Di Crosta
Ingegnere elettronico, consulente di organizzazione e consulente tecnico del Tribunale di Bologna
per l’informatica
1. INTRODUZIONE
SOMMARIO
L’e-mail (acronimo di Electronic Mail, ovvero posta elet-
La posta elettronica rappresenta uno strumento di ampis-
tronica) è ormai lo strumento di comunicazione elet-
sima diffusione per le caratteristiche di semplicità, imme-
tronica più utilizzato per lo scambio di comunicazioni
diatezza ed efficacia ed è frequentemente utilizzata nelle
informali e spesso anche formali (offerte, contratti,
comunicazioni interpersonali e d’ufficio. La Posta Elet-
comunicazioni ufficiali inter-aziendali o intra-aziendali,
tronica Certificata è un sistema di posta elettronica in
ecc.). La posta elettronica è il mezzo di comunicazione
grado di superare le “debolezze” della posta elettronica
in forma scritta via Internet che permette di veicolare
e di poter essere utilizzata in qualsiasi contesto nel quale
ad uno o più destinatari – in tempi rapidissimi, dell’or-
sia necessario avere prova opponibile dell’invio e della
dine di qualche minuto – non solo testo scritto, ma
consegna di un determinato documento. La PEC si pre-
anche file allegati contenenti documenti di testo in for-
senta come un’innovazione capace di generare enormi
mato non modificabile, immagini/foto, video, suoni, o
risparmi sul piano economico nei settori pubblici e privati
qualsiasi tipo di file. L’unico limite è la dimensione del
e di semplificare i rapporti sia tra privati, sia con la Pub-
file allegato, che deve essere inferiore ad una determi- blica Amministrazione. L’acquisto e l’utilizzo sistematico
nata soglia, sia per il mittente che per il destinatario, della posta elettronica certificata non comporta oneri par-
stabilita dal gestore del servizio. ticolari per la piccola impresa ed il libero professionista, né
Il principale punto di debolezza della posta elettro- in termini di costi, né di tempo necessario per essere com-
nica tradizionale è l’incertezza della trasmissione del pletamente operativi.
messaggio e del contenuto. Infatti l’opzione “richie-
sta avviso di ricevimento”, disponibile in alcuni client SUMMARY
di posta elettronica non sempre è affidabile (se il
destinatario non ha accettato l’avviso di ricevimento Summary, summary summary summary summary sum-
non si ha la certezza dell’avvenuto recapito, talvolta mary summary summary summary summary summary
l’avviso di ricevimento è inviato automaticamente summary summary summary summary summary sum-
ma il destinatario non è consapevole del ricevimento mary summary summary summary summary summary
del messaggio,...) e non è compatibile con tutti i pro- summary summary summary summary summary sum-
grammi di posta. Inoltre il contenuto dell’e-mail (te- mary summary summary summary summary summary
sto ed allegati) potrebbe essere contraffatto dall’at- summary summary summary summary summary sum-
tacco di hacker o programmi dannosi ed anche vei- mary summary summary summary summary summary
colare virus. Tutto questo fa si che il messaggio di po- summary summary summary summary summary sum-
sta elettronica ordinaria non ha valore legale: né per mary summary summary summary summary summary
quanto riguarda il contenuto, né per quanto riguar- summary summary summary summary summary sum-
da la certezza del mittente. mary summary summary summary summary summary
Numerose cause legali sono state basate su messaggi di summary summary summary summary summary sum-
posta elettronica inviati da utenti che in realtà poteva- mary summary summary summary summary summary
summary summary summary summary summary sum-
no essere altri (la password della posta elettronica dei
mary summary summary summary summary summary
PC aziendali non viene sempre richiesta, spesso non
summary summary summary summary summary sum-
viene mantenuta segreta o non soddisfa i crismi della
mary summary summary summary summary
legge, sanciti dal D.Lgs 196/2003, il c.d. “Codice della
inarcos 159
2. privacy”) e dunque tali prove sono state considerate nistrazioni. Saranno i gestori del servizio (art. 14) a
inammissibili. fare da garanti dell’avvenuta consegna. Essi sono
Il valore legale all’e-mail può essere dato attraverso la iscritti in apposito elenco tenuto dal CNIPA (Centro
firma digitale, che permette di firmare un messaggio nazionale per l’Informatica nella Pubblica Ammi-
di posta elettronica garantendone il mittente e l’inva- nistrazione), organismo tenuto a verificare i requisiti
riabilità del contenuto, eventualmente anche la data e soggettivi ed oggettivi del gestore (inerenti ad esem-
l’ora di sottoscrizione del messaggio se viene aggiunta pio alla capacità ed esperienza tecnico-organizzativa,
una cosiddetta “marca temporale”. Un messaggio di alla dimestichezza con procedure e metodi per la
posta elettronica con firma digitale inviato da un indi- gestione della sicurezza, alla certificazione ISO 9001
rizzo di e-mail ordinario non può però avere il valore del processo);
della raccomandata, perché la sua trasmissione non è – per iscriversi nell’elenco dovranno possedere un capi-
garantita. tale sociale minimo non inferiore a un milione di euro
La Posta Elettronica Certificata (PEC) è invece un e presentare una polizza assicurativa contro i rischi
sistema di posta elettronica nel quale è fornita al mit- derivanti dall’attività di gestore;
tente documentazione elettronica, con valenza legale, – i messaggi verranno sottoscritti automaticamente da
attestante l’invio e la consegna di documenti informa- parte dei gestori con firme elettroniche. Tali firme
tici. “Certificare” l’invio e la ricezione - i due momenti sono apposte su tutte le tipologie di messaggi PEC ed
fondamentali nella trasmissione dei documenti infor- in particolare sulle buste di trasporto e sulle ricevute
matici - significa fornire al mittente, dal proprio gesto- per assicurare l’integrità e l’autenticità del messaggio;
re di posta, una ricevuta che costituisce prova legale – i tempi di conservazione: i gestori dovranno conser-
dell’avvenuta spedizione del messaggio e dell’eventua- vare traccia delle operazioni per 30 mesi;
le allegata documentazione. Allo stesso modo, quando – i gestori sono tenuti a verificare l’eventuale presenza
il messaggio perviene al destinatario, il gestore invia al di virus nelle e-mail ed informare in caso positivo il
mittente la ricevuta di avvenuta (o mancata) consegna mittente, bloccandone la trasmissione (art. 12);
con precisa indicazione temporale. Nel caso in cui il mit- – le imprese, nei rapporti intercorrenti, potranno
tente smarrisca le ricevute, la traccia informatica delle dichiarare l’esplicita volontà di accettare l’invio di PEC
operazioni svolte, conservata per legge per un periodo mediante indicazione nell’atto di iscrizione al registro
di 30 mesi, consente la riproduzione, con lo stesso valo- delle imprese.
Successivamente il Decreto 2 novembre 2005 ha sta-
re giuridico, delle ricevute stesse.
bilito le “Regole tecniche per la formazione, la trasmis-
sione e la validazione, anche temporale, della posta
elettronica certificata” e il D.Lgs 7 marzo 2005, n. 82,
2. I RIFERIMENTI LEGISLATIVI PER LA PEC
“Codice dell’amministrazione digitale” ha completato
il quadro di riferimento legislativo sancendo il pieno
Il DPR 11 febbraio 2005, n. 68 disciplina le modalità di
valore legale della Posta Elettronica Certificata come
utilizzo della Posta Elettronica Certificata (PEC) non
mezzo di comunicazione dei documenti informatici,
solo nei rapporti con la Pubblica Amministrazione, ma
anche come sostitutivo della notifica via posta.
anche tra privati cittadini. In sintesi il provvedimento
Anche se il sistema di funzionamento della PEC era già
stabilisce che:
stato stabilito da ben tre anni, sebbene presentasse
– nella catena di trasmissione potranno scambiarsi le e-
indubbi vantaggi nella semplificazione delle comunica-
mail certificate sia i privati, sia le Pubbliche Ammi-
160 inarcos
3. 1. Diagramma di funzionamento della PEC (tratto dal
sito www.aruba.it)
1
zioni – fra soggetti privati e pubblici, ma anche solo fra del messaggio2. Parallelamente, il gestore del servi-
soggetti privati - non è ancora decollato nel mondo zio di posta elettronica del destinatario invia al mit-
aziendale. Recentemente però è stato emesso il D.Lvo tente la ricevuta di avvenuta consegna. Riepilo-
n. 185 del 29/11/2008 (un provvedimento eterogeneo gando i gestori accreditati CNIPA certificano con le
di “misure urgenti per il sostegno a famiglie, lavoro, proprie “ricevute”:
occupazione e impresa e per ridisegnare in funzione a) che il messaggio è stato spedito;
anti-crisi il quadro strategico nazionale”), poi converti- b) che il messaggio è stato consegnato;
to nella Legge n. 2 del 28/01/2009, il quale prevede c) che il messaggio non è stato alterato.
(cfr. art. 16 comma 6 e segg.) che i Liberi professionisti I gestori inviano ovviamente avvisi anche in caso di
e le Aziende debbano dotarsi di una casella di posta errore in una qualsiasi delle fasi del processo (accet-
elettronica certificata rispettivamente entro uno e tre tazione, invio, consegna) in modo che non ci siano
anni ed analogamente dovrà avvenire per le Pubbliche mai dubbi sullo stato della spedizione di un messag-
Amministrazioni (a cui era stato imposto di istituire un gio; inoltre se il mittente dovesse smarrire le ricevu-
indirizzo di PEC già nel Codice dell’Amministrazione te, la traccia informatica delle operazioni svolte, con-
Digitale del 2005). servata dal gestore per 30 mesi, consente la riprodu-
Dunque se prima la PEC era un’opportunità, ora diven- zione, con lo stesso valore giuridico, delle ricevute
ta un obbligo!. stesse.
Operativamente i messaggi di posta certificata vengo-
no spediti tra 2 caselle, e quindi Domini, certificati:
3. COME FUNZIONA LA PEC quando il mittente possessore di una casella di PEC invia
un messaggio ad un altro utente certificato, il messag-
La posta elettronica certificata è, dunque, il nuovo (si fa gio viene raccolto dal gestore del dominio certificato
per dire, ha ormai quattro anni) sistema attraverso il (punto di accesso) che lo racchiude in una busta di tra-
quale è possibile inviare e-mail con valore legale1 equi- sporto e vi applica una firma elettronica in modo da
parato ad una raccomandata con ricevuta di ritorno garantirne inalterabilità e provenienza. Fatto questo,
(con attestazione dell’orario esatto di spedizione). Pur indirizza il messaggio al gestore di PEC destinatario che
presentando delle forti similitudini con il servizio di verifica la firma e lo consegna al destinatario (punto di
posta elettronica “tradizionale”, la PEC dispone di alcu- consegna). Una volta consegnato il messaggio, il gesto-
ne caratteristiche aggiuntive tali da fornire agli utenti re PEC destinatario invia una ricevuta di avvenuta con-
la certezza, a valore legale, dell’invio e della consegna segna all’utente mittente che può essere quindi certo
(o meno) dei messaggi e-mail al destinatario. Inoltre che il suo messaggio è giunto a destinazione. Durante
con il sistema di Posta Certificata è garantita la certez- la trasmissione di un messaggio attraverso due caselle
za del contenuto: i protocolli di sicurezza utilizzati di PEC vengono emesse altre ricevute che hanno lo
fanno si che non siano possibili modifiche al contenuto scopo di garantire e verificare il corretto funzionamen-
del messaggio ed agli eventuali allegati, in qualunque
forma essi siano. 1
Il termine “certificata” si riferisce al fatto che il La Posta Elettronica Certificata, garantisce, in caso di contenzio-
so, l’opponibilità a terzi del messaggio.
gestore del servizio rilascia al mittente una ricevuta 2
In ogni avviso inviato dai gestori è apposto anche un riferimen-
(nella pratica un messaggio di posta elettronica) che to temporale che certifica data ed ora di ognuna delle operazio-
costituisce prova legale dell’avvenuta spedizione ni descritte.
inarcos 161
4. to del sistema e di mantenere sempre la transazione in per l’utente è assolutamente analogo all’invio di una e-
uno stato consistente. mail tradizionale, l’unica differenza è costituita dal
In particolare: fatto di scegliere l’indirizzo di posta elettronica apposi-
• Il punto di accesso, dopo aver raccolto il messaggio to, attivato mediante procedura del tutto simile a quel-
originale, genera una ricevuta di accettazione che la per l’attivazione di un normale indirizzo di e-mail.
viene inviata al mittente; in questo modo chi invia una Dopo l’invio occorre chiaramente monitorare la notifi-
mail certificata sa che il proprio messaggio ha iniziato ca di ricevimento, ovvero conservare la ricevuta digita-
il suo percorso. le (un messaggio di posta elettronica) dell’avvenuta
• Il punto di ricezione, dopo aver raccolto il messaggio spedizione e ricevimento (o meno) da parte del desti-
di trasporto, genera una ricevuta di presa in carico che natario.
viene inviata al gestore mittente; in questo modo il Operativamente un’impresa o un libero professionista
gestore mittente viene a conoscenza che il messaggio deve:
è stato preso in custodia da un altro gestore. 1. Rivolgersi ad un gestore di PEC accreditato (l’elenco
Questo e’ possibile in quanto la posta certificata ha le aggiornato è disponibile su http://www.cnipa.gov.
seguenti caratteristiche: it/site/it-IT/Attivit%c3%a0/Posta_Elettronica_Certi-
• il messaggio proviene da un gestore di posta certifi- ficata__(PEC)/Elenco_pubblico_dei_gestori/ o più
cato e da uno specifico indirizzo e-mail certificato; semplicemente andare in www.cnipa.gov.it e cercare
• il messaggio non può essere alterato durante la tra- nel menù di sinistra la voce “posta elettronica certifi-
smissione; cata”) per richiedere uno o più indirizzi di PEC.
• consente la privacy totale della comunicazione, avve- 2. Acquistare l’indirizzo di posta elettronica con il nome
nendo lo scambio dati in ambiente sicuro; prescelto (a seconda del gestore e se si possiede già
• assicura al mittente la certezza dell’avvenuto recapito un dominio internet è possibile avere un indirizzo del
delle e-mail alla casella di posta certificata destinata- tipo nome.cognome@pec.nomedominio.it o simila-
ria, con la spedizione di una ricevuta di consegna, in re) secondo la procedura stabilita (il gestore deve
modo analogo alla tradizionale raccomandata A/R; accertarsi dell’identità del richiedente, dunque se
• garantisce il destinatario da eventuali contestazioni in esso già dispone di un dominio registrato la proce-
merito ad eventuali messaggi non ricevuti e dei quali dura è più semplice perché parte degli adempimenti
il mittente sostiene l’avvenuto l’invio; burocratici sono già stati espletati in fase di registra-
• assicura in modo inequivocabile l’attestazione della zione del dominio).
data di consegna e di ricezione del messaggio e con- 3. Installare il nuovo account nel proprio client di posta
serva la traccia della comunicazione avvenuta fra mit- elettronica (Outlook express, Windows Mail, Mi-
tente e destinatario. crosoft Outlook, Thunderbird,...) o Web Mail secon-
Dal punto di vista dell’utente, una casella di posta elet- do la procedura indicata dal gestore (del tutto simile
tronica certificata non si differenzia da una casella di a quella per l’attivazione di un indirizzo di e-mail tra-
posta normale; cambia solo per quello che riguarda il dizionale).
meccanismo di comunicazione sul quale si basa la PEC e 4. Utilizzare l’indirizzo di PEC per l’invio di messaggi di
sulla presenza di alcune ricevute inviate dai gestori PEC posta con eventuali allegati sia ad indirizzi di posta
mittente e destinatario, dunque non è assolutamente elettronica tradizionale, sia ad indirizzi di posta elet-
uno strumento difficile da usare: inviare un documento tronica certificata (distinguibili dal suffisso “pec”):
informatico attraverso un indirizzo di posta certificato l’unica differenza è che l’invio di una e-mail ad un
162 inarcos
5. indirizzo di posta normale ha valore di raccomanda- essere ripudiato dal sottoscrittore (la firma autogra-
ta, mentre l’invio ad un indirizzo di PEC ha valore di fa può essere disconosciuta dal presunto sottoscrit-
raccomandata A/R (ovviamente se si riceve l’avviso di tore dimostrando che si tratta di un falso.).
ricevimento). Per generare una firma digitale è necessario utilizzare
5. Controllare ed archiviare le ricevute digitali di tra- una coppia di chiavi digitali asimmetriche, attribuite in
smissione e di ricevimento in formato elettronico maniera univoca ad un soggetto detto Titolare della
oppure cartaceo, stampandole. Tale archiviazione coppia di chiavi. La prima, chiave privata destinata ad
può essere resa automatica utilizzando appositi essere conosciuta solo dal Titolare, è utilizzata per la
automatismi resi disponibili dal client di posta (ad generazione della firma digitale da apporre al docu-
esempio creando una regola in Outlook o Outlook mento, la seconda, chiave da rendere pubblica, viene
Express che archivia le ricevute digitali in una apposi- utilizzata per verificare l’autenticità della firma.
ta cartella opportunamente identificata). Caratteristica di tale metodo, detto crittografia a dop-
6. Ricordarsi di fare il backup della posta elettronica pia chiave, è che, firmato il documento con la chiave
(attenzione all’ubicazione fisica dove il programma privata, la firma può essere verificata con successo
di posta archivia i file dei dati!). esclusivamente con la corrispondente chiave pubblica.
La sicurezza è garantita dalla impossibilità di ricostrui-
re la chiave privata (segreta) a partire da quella pub-
4. DIFFERENZE FRA PEC E FIRMA DIGITALE blica, anche se le due chiavi sono univocamente colle-
gate.
La Firma Digitale è il risultato di una procedura infor- La chiave privata utilizzata per la firma dei documen-
matica che garantisce l’autenticità e l’integrità di mes- ti informatici deve essere conservata in maniera sicura
saggi e documenti scambiati e archiviati con mezzi e segreta dal Titolare, che ne è responsabile; per tale
informatici, al pari di quanto svolto dalla firma auto- ragione le smartcard crittografiche, opportunamente
grafa per i documenti tradizionali. La differenza tra protette da PIN di accesso, sono state inizialmente
firma autografa e firma digitale è che la prima è lega- individuate come un valido supporto, in quanto oltre
ta alla caratteristica fisica della persona che appone la a permettere la generazione delle chiavi al loro inter-
firma, vale a dire la grafia, mentre la seconda al pos- no e l’applicazione della firma digitale, dispongono di
sesso di uno strumento informatico e di un PIN di abi- sistemi di sicurezza che impediscono l’esportazione e
litazione, da parte del firmatario. la copia della chiave privata fuori dalla smartcard in
La firma digitale è ottenuta attraverso una procedura cui è stata generata. La smartcard è simile, per forma
di validazione che consente al sottoscrittore di rende- e dimensioni, ad una tradizionale carta di credito, ma
re manifesta l’autenticità del documento informatico incorpora un processore in grado di memorizzare dati
ed al destinatario di verificarne la provenienza e l’in- ed informazioni, a cui è possibile accedere tramite un
tegrità. In sostanza i requisiti assolti sono: codice di sicurezza riservato e personale (PIN).
• Autenticità: con un documento firmato digitalmen- Attualmente alle smartcard – che necessitano di appo-
te si può essere certi dell’identità del sottoscrittore; sito lettore – si stanno affiancando dispositivi USB
• Integrità: sicurezza che il documento informatico (eToken), più versatili nell’utilizzo, in quanto utilizza-
non è stato modificato dopo la sua sottoscrizione; bili semplicemente collegandoli ad una porta USB del
• Non ripudio: il documento informatico sottoscritto computer.
con firma digitale, ha piena validità legale e non può La diffusione della chiave pubblica, invece, consente a
inarcos 163
6. tutti i possibili destinatari dei documenti informatici di Per la normativa italiana il certificato digitale deve
disporre della chiave necessaria per la verifica dei contenere almeno le seguenti informazioni:
documenti. Per individuare in maniera sicura il sotto- • numero di serie del certificato;
scrittore del documento, la chiave pubblica deve esse- • ragione e denominazione sociale del certificatore;
re legata in maniera certa al titolare della corrispon- • codice identificativo del titolare presso il certifica-
dente chiave privata. tore;
Rispetto all’utilizzo di un certificato digitale (conte- • nome, cognome e data di nascita ovvero ragione o
nente le medesime informazioni presenti nella smart- denominazione sociale del titolare;
card o token USB) memorizzato semplicemente su PC e • valore della chiave pubblica;
trasmesso via internet, a fronte dei vantaggi dal punto • algoritmi di generazione e verifica utilizzabili;
di vista della sicurezza che presentano suddetti dispo- • inizio e fine del periodo di validità delle chiavi;
sitivi, ci sono degli indubbi svantaggi, dovuti al fatto di • algoritmo di sottoscrizione del certificato.
dover avere sempre disponibile il dispositivo per poter Il certificato in formato X.509, contiene in uno stan-
firmare digitalmente un documento. Inoltre la “tra- dard riconosciuto, una serie di campi per dati obbliga-
sportabilità” della firma è talvolta limitata dalla neces- tori ai quali possono essere aggiunte ulteriori esten-
sità di dover comunque installare appositi driver e spe- sioni per riportare informazioni aggiuntive.
cifici software di gestione della firma per poter utiliz- Nella pratica l’utilizzo della firma digitale è semplice
zare il dispositivo, oltre alla non completa compatibili- quanto utilizzare un bancomat: basta aprire il softwa-
tà con i più diffusi ambienti operativi sul mercato. re di firma (anche le nuove versioni di Microsoft Word
Se si vuole firmare digitalmente un messaggio di posta implementano la possibilità di firmare digitalmente i
elettronica occorre preliminarmente aver installato il documenti) dopo aver inserito la chiave USB (oppure
certificato nei programmi di posta utilizzati e nel la smartcard nel lettore), selezionare il documento
sistema operativo; diversamente la semplice firma informatico da firmare, cliccare sull’apposita icona di
digitale di un documento informatico (in formato PDF, firma e digitare il PIN segreto. I software generici di
Word o altri formati stabiliti ufficialmente) è resa più firma normalmente generano un file in formato spe-
semplice da dispositivi di firma portatili avanzati (quali ciale (estensione .p7m), mentre alcuni programmi già
ad esempio la Business Key USB di Infocert) che incor- predisposti (ad es. Micorsoft Office Word, Adobe
porano anche il software di firma e, pertanto, posso- Acrobat nelle versioni più recenti) possono gestire
no essere utilizzati su qualsiasi PC senza la necessità di nativamente la firma digitale che è inserita all’interno
dover installare software aggiuntivo. del documento informatico che dunque non cambia
Il certificato digitale – contenuto nel dispositivo di estensione.
firma – è il mezzo di cui dispone il destinatario per Opzionalmente si può aggiungere una marca tempo-
avere la garanzia sull’identità del suo interlocutore e rale al documento per garantire la data e l’ora di firma
per venire in possesso della chiave pubblica di que- (apposizione di “data certa” ai fini di legge). Le mar-
st’ultimo. Per tale ragione il certificato – essenzial- che temporali sono acquistabili a parte in lotti (dun-
mente un file – contiene, oltre la chiave pubblica per que ogni marcatura ha un costo), mentre la firma digi-
la verifica della firma, anche i dati del titolare; è garan- tale ha validità generalmente triennale, rinnovabile
tito e firmato da una “terza parte fidata”: il certifica- alla scadenza.
tore (accreditato da CNIPA secondo regole prestabili- Per il rilascio della firma digitale le Certification
te dalla legge). Authority (elenco aggiornato reperibile al sito
164 inarcos
7. http://www.cnipa.gov.it/site/it-IT/Attivit%c3%a0/ to mediante posta elettronica con firma digitale si ha
Firma_digitale/Certificatori_accreditati/Elenco_certifi- la possibilità di effettuare la trasmissione in modo sicu-
catori_di_firma_digitale/ o più semplicemente andare ro e se il destinatario riceve il messaggio ed il relativo
in www.cnipa.gov.it e cercare nel menù di sinistra la documento informatico allegato, si elimina completa-
voce “Firma digitale”), che soddisfano requisiti del mente la necessità di trasmettere il documento via fax
tutto simili a quelli dei gestori di posta certificata, o posta ordinaria. L’invio per posta elettronica ordina-
devono riconoscere l’individuo che acquista la firma ria, anche con firma digitale, non ha però il valore
digitale, quindi lo devono incontrare (o presso spor- della raccomandata (semplice o con avviso di ricevi-
telli appositamente predisposti o in altro luogo) e que- mento). Questo si può ottenere mediante l’invio del
sto fa lievitare leggermente i costi. messaggio attraverso una casella di posta elettronica
Con la firma digitale, dunque, è possibile firmare con certificata: in tal caso se l’indirizzo del destinatario è
valore legale un documento informatico e trasmet- un indirizzo PEC la corrispondenza ha valore di racco-
terlo ad altri che avranno la garanzia che il docu- mandata con ricevuta di ritorno, viceversa – se è un
mento è stato sottoscritto dal mittente, attraverso il indirizzo di e-mail ordinario – ha solo valore di racco-
collegamento internet alla Certification Authority mandata semplice.
(CA) la quale verifica la firma apposta sul documento Se invece si desidera inviare un messaggio di posta
informatico (questa procedura è però automatica e elettronica con eventuali documenti allegati, senza la
del tutto trasparente per l’utente che non deve fare necessità che essi siano firmati con valore legale, è pos-
operazioni particolari). La firma digitale può essere sibile utilizzare la posta elettronica certificata e –
apposta anche ad un messaggio di posta elettronica come precedentemente esposto, se il destinatario ha
(occorre abilitare un indirizzo di posta elettronica un indirizzo PEC, allora la raccomandata è A/R, altri-
all’utilizzo della firma digitale), direttamente trami- menti semplice.
te il client di posta utilizzato: in questo modo chi rice- Vorrei però far notare un aspetto che differisce fra i
ve il messaggio ha la garanzia che il messaggio di due sistemi facendo un confronto con la posta car-
posta ed i relativi allegati sono stati inviati proprio tacea.
dalla persona che ha firmato il messaggio, in quanto Se invio una raccomandata (A/R o meno) in posta al
è garantita anche la non modificabilità del contenu- soggetto X e non firmo la lettera o i documenti nella
to del messaggio di posta elettronica con firma digi- busta, il ricevente non ha nessuna garanzia del mit-
tale (diversamente la modifica del messaggio causa- tente: potrei aver inviato una raccomandata a nome
ta da virus, hacker o altro viene segnalata). Detto che di un’altra persona, con l’unica particolarità che devo
la firma digitale è personale (abbinata sempre ad una indicare un indirizzo postale (non casella postale) per
persona fisica e ad un indirizzo di posta elettronica l’avviso di ricevimento, dunque l’altra persona viene
da essa indicato), mentre la posta elettronica certifi- a sapere di aver inviato una raccomandata A/R al sog-
cata può essere assegnata ad una persona fisica o getto X.
giuridica, passiamo ad analizzare le altre differenze Viceversa se firmo i documenti contenuti in una lette-
fra i due sistemi. ra normale inviata per posta ordinaria il ricevente ha
Come detto con la firma digitale si può firmare un la garanzia di avere documenti approvati da me stes-
documento informatico (ad esempio un contratto, un so (salvo che la firma sia falsa, ma entriamo in altro
incarico, un’offerta) con validità legale addirittura campo), ma io non ho la garanzia che il destinatario li
superiore alla firma autografa. Se si invia il documen- abbia ricevuti, salvo contattarlo con altri mezzi, sem-
inarcos 165
8. pre che non abbia bisogno di cautelarmi ed avere la chiavi della cassetta della posta cartacea ordinaria),
certezza legale documentata del ricevimento. mentre nel caso della firma digitale, oltre a mante-
Questi due esempi mostrano le similitudini di due ope- nere la segretezza del PIN è necessario custodire con
razioni che possono essere sostituite dalla trasmissio- cura il dispositivo di firma (smartcard o token). Del
ne telematica: nel primo caso dalla posta elettronica resto dobbiamo avere la stessa attenzione auspicabi-
certificata, nel secondo dalla firma digitale. Si noti che le nella gestione del bancomat, della carta di credito,
in entrambe le situazioni lo strumento informatico dei relativi PIN, dei codici di accesso all’Home
fornisce maggiori garanzie: Banking, del token che genera le password per l’ho-
1. La posta elettronica certificata viene inviata da un me banking, ecc..
indirizzo di e-mail che generalmente riporta il riferi-
mento ad un nome di dominio (ad es. fabrizio@pec.
dicrosta.it può far riferimento solo al dominio 5. VANTAGGI NELL’UTILIZZO DEI DOCUMENTI
www.dicrosta.it) che comunque può essere registra- INFORMATICI
to solo previa trasmissione di documenti che accerta-
no l’identità del soggetto (persona fisica o giuridica) Visto che i documenti informatici possono essere
e la proprietà del soggetto sul nome registrato (in approvati, conservati e trasmessi telematicamente in
Italia non si può registrare un dominio www.fiat.it se modo sicuro e valido a tutti gli effetti legali, a condi-
non si è proprietari del marchio FIAT). Ricordo che la zione di adottare tutte le misure di sicurezza necessa-
proprietà di un dominio è comunque pubblica (per i rie per i sistemi informatici (antimalware, firewall,
domini “.it” è sufficiente ricercare dei siti che offro- backup, ...), peraltro già rese obbligatorie dall’Alle-
no la funzionalità “whois”, come ad esempio gato B del D.Lgs 196/2003 (Codice della Privacy), per-
http://www.tuonome.it ed individuare la voce di ché non procedere alla progressiva smaterializzazione
menù “Whois”). dei documenti e della corrispondenza? È sufficiente
2. La firma digitale ha un valore legale riconosciuto investire un po’ di tempo per conoscere questi nuovi
superiore alla firma autografa che può essere disco- strumenti, scegliere il fornitore più adatto, formare il
nosciuta dal presunto sottoscrittore dimostrando personale nel loro utilizzo e dotarsi di uno scanner per
che si tratta di un falso, mentre ciò non è possibile l’acquisizione di documenti disponibili solo in formato
nel caso della firma digitale. cartaceo; dopodiché i vantaggi sono considerevoli:
Ne consegue che l’impiego combinato di posta elet-
tronica certificata e firma digitale può permetterci di • per inviare raccomandate (con A/R verso soggetti già
gestire in modo completo la sottoscrizione e la tra- predisposti) non è più necessario recarsi in posta,
smissione di documenti informatici, l’unico limite è compilare bollettini postali, fare file e pagare il costo
dato dagli interlocutori – comprese le Pubbliche di ogni singola raccomandata. Se il corrispondente
Amministrazioni - che potrebbero non essere ancora necessita comunque della copia cartacea del docu-
attrezzati con indirizzi PEC e firme digitali, ma i prov- mento è possibile inviargliela, in ogni caso, via posta
vedimenti legislativi precedentemente citati dovreb- ordinaria.
bero aiutarci in questo. • per sottoscrivere contratti non è più necessario
Ovviamente nel caso dell’indirizzo di PEC occorre incontrare personalmente il cliente o il fornitore, né
avere la massima cura nel custodire i codici di acces- trasmettere per posta il documento.
so all’indirizzo di posta (come non bisogna perdere le • per gestire internamente l’approvazione dei docu-
166 inarcos
9. menti e la loro conservazione è possibile dotarsi di cienza per il fatto di poter comunicare con un inter-
applicativi software appositi che gestiscano la firma locutore dotato di posta elettronica certificata ed
digitale qualificata, oppure predisporre un sistema eventualmente di firma digitale. Naturalmente in
di firma elettronica interno se non si necessita del realtà più articolate non è sufficiente acquistare i
valore legale dell’approvazione interna del docu- prodotti/servizi descritti, ma bisogna riorganizzare
mento. alcuni processi interni per recepire le modifiche
organizzative che inevitabilmente porta ogni inno-
Da un lato i costi diminuiscono sensibilmente perché si vazione tecnologica.
riducono le spese postali ed i tempi del personale per
gestire la corrispondenza in uscita ed in ingresso, oltre
7. BIBLIOGRAFIA – RISORSE WEB
ai costi vivi della carta e dei toner delle stampanti,
riducendo anche l’impatto ambientale (considerate [1] http://www.cnipa.gov.it – sito del CNIPA da cui è
anche che una lettera viaggia su mezzi di trasporto possibile scaricare i testi integrali dei provvedimen-
inquinanti). Dall’altro occorre un piccolo investimento ti legislativi inerenti la posta elettronica certificata
nelle risorse umane (formazione) e tecnologiche. I e la firma digitale
costi dei servizi di firma digitale e posta elettronica [2] www.pec.it – sito Aruba per la posta elettronica
certificata sono certamente modesti anche per una certificata
piccola impresa e per un professionista: [3] http://www.legalmail.it/posta_elettronica_certifi-
cata.htm - sito Legalmail Infocert per la posta elet-
• Un indirizzo di posta elettronica certificata legato ad tronica certificata
un dominio già registrato per l’utente può costare [4] http://www.microsoft.com/italy/pmi/gestioneim-
anche solo € 5 all’anno; nessun costo aggiuntivo per presa/speciali/postaelettronicacertificata/ipsoa/def
ogni e-mail inviata o ricevuta; ault.mspx - sito Microsoft per la posta elettronica
• Un kit di firma digitale, comprensivo di certificato e certificata
dispositivo di firma, costa circa € 60-80 per 3 anni (il [5] http://www.openpec.org/index.shtml - sito del pro-
rinnovo € 15-20), il costo non varia in base all’utiliz- getto posta elettronica certificata Opensource.
zo, ma può essere aggiunto il servizio di marca tem- [6] Legge n. 2 del 28/01/2009 - “Misure urgenti per il
porale a partire da circa € 30 per 100 marche tem- sostegno a famiglie, lavoro, occupazione e impresa
porali (ovviamente il costo unitario si abbassa al cre- e per ridisegnare in funzione anti-crisi il quadro
scere del numero di marche). strategico nazionale”
Tutti i costi indicati sono IVA esclusa. [7] D.Lgs n. 82 del 07/03/2005 - “Codice dell’ammini-
strazione digitale”
[8] Decreto 02/11/2005 - “Regole tecniche per la for-
6. CONCLUSIONI mazione, la trasmissione e la validazione, anche
temporale, della posta elettronica certificata”
È dunque necessario adeguarsi alle prescrizioni di [9] DPR 11 febbraio 2005, n. 68 - “Regolamento recan-
legge anche per usufruire degli enormi vantaggi che te disposizioni per l’utilizzo della posta elettronica
gli strumenti presentati possono fornire e per con- certificata, a norma dell’articolo 27 della legge 16
sentire anche ai soggetti con i quali ci si interfaccia gennaio 2003, n. 3.”
(clienti, fornitori, terzi, P.A.) di migliorare la loro effi- ■
inarcos 167