PEC Gianluca Venturi rev.1.1
Cos'è la PEC PEC è l acronimo di. E un sistema di "trasporto" di documenti informatici che presenta delle forti similitudini con il servizio di posta elettronica "tradizionale", cui però sono state aggiunte delle caratteristiche tali da fornire agli utenti la certezza, a valore legale, dell invio e della consegna (o meno) dei messaggi.
Cos'è la PEC Sia l'invio che la consegna dei messaggi con relativi data e orario vengono attestati mediante particolari ricevute (che sono sostanzialmente altri messaggi di posta elettornica) che conferiscono alla mail lo stesso valore di una raccomandata con ricevuta di ritorno e l opponibilità a terzi (decreto DPR 11 Febbraio 2005) Inoltre con la PEC è garantita certezza del contenuto B nel senso che il contenuto inviato non può essere alterato, questo però non vuol dire che il contenuto di una PEC è legalmente opponibile a terzi... il significato di questa affermazione sarà chiaro più in là. Infatti i protocolli di sicurezza utilizzati fanno sì che non siano possibili modifiche al contenuto del messaggio e agli eventuali allegati. La legge impone ai fornitori di PEC di rispettare requisiti minimi di qualità del servizio e di sicurezza. 3
RIFERIMENTI NORMATIVI Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3. (G.U. 28 aprile 2005, n. 97 Decreto Ministeriale 2 novembre 2005, Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata (G.U. del 15 novembre 2005, n. 266) Circolare CNIPA CR/49 24 novembre 2005, Modalità per la presentazione delle domande di iscrizione all elenco pubblico dei gestori di posta elettronica certificata (G.U. 5 dicembre 2005, n. 283) Circolare 7 dicembre 2006, n. 51, Espletamento della vigilanza e del controllo sulle attività esercitate dagli iscritti nell'elenco dei gestori di posta elettronica certificata (PEC), di cui all'articolo 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3». Legge 28 Gennaio 2009, n. 2 (G.U. 28 Gennaio 2009, n. 22, supplemento ordinario 14/L) Decreto del Presidente del Consiglio dei ministri del 6 maggio 2009.
NORMATIVA PA Le amministrazioni pubbliche di cui all art. 1, comma 2, del D.Lgs 165 del 30 marzo 2001, e s.m., qualora non abbiano provveduto ai sensi dell art. 47, comma 3, lettera a), del CAD (D.Lgs.82 del 7 marzo 2005) devono istituire una casella di posta certificata per ciascun registro di protocollo.
NORMATIVA PA Gli indirizzi PEC istituiti dovranno essere inseriti all'interno dell'indica delle PA http://www.indicepa.gov.it/ IndicePA o ipa, è stato istituito con il Decreto del Presidente del Consiglio dei Ministri del 31 ottobre 2000. Nell'IndicePA deve essere descritta la struttura organizzativa di ciascuna amministrazione accreditata, con l'articolazione gerarchica delle varie unità o uffici e costituisce un punto di riferimento per l'individuazione e l'accesso alle strutture organizzative e ai servizi telematici offerti dalla Pubblica Amministrazione centrale e locale. Ecco come inserire il Comune nell'indice PA http://www.indicepa.gov.it/pla-comepubblicare.php
NORMATIVA PER IMPRESE Le imprese devono comunicare alla camera di commercio di competenza il proprio indirizzo di posta elettronica certificata Il decreto legge n. 185 del 29 novembre 2008, convertito nella legge n. 2/2009, prevede che le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo PEC nella domanda di iscrizione al registro delle imprese. Le imprese già costituite in forma societaria alla medesima data di entrata in vigore del succitato decreto, hanno l obbligo di comunicare al registro delle imprese l indirizzo di posta elettronica certificata entro tre anni (29/11/2011) dalla data di entrata in vigore del succitato decreto.
NORMATIVA PROFESSIONISTI I professionisti devono comunicare ai rispettivi ordini di appartenenza il proprio indirizzo di posta elettronica certificata Il decreto legge n. 185 del 29 novembre 2008, convertito nella legge n. 2/2009 prevede che i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno (29/11/2009) dalla data di entrata in vigore del succitato decreto. E gli ordini e collegi devono pubblicare in un elenco riservato, consultabile in via telematica esclusivamente dalle pubbliche amministrazioni, i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.
NORMATIVA PA Per completezza, e per chiudere con gli interventi normativi predisposti dal legislatore, la legge Finanziaria 2008 richiama la PEC, all articolo 2 comma 589, prevedendo che il CNIPA effettui azioni di monitoraggio e verifica, presso le pubbliche amministrazioni, delle disposizioni in materia di posta elettronica certificata. Il mancato adeguamento alle predette disposizioni in misura superiore al 50 per cento del totale della corrispondenza inviata comporta la riduzione, nell esercizio finanziario successivo, del 30 per cento delle risorse stanziate nell anno in corso per spese di invio della corrispondenza cartacea.
COMUNICAZIONE TRA SOGGETTI Ulteriori direttive riguardano le comunicazioni tra i soggetti poc'anzi descritti. In particolare si legge che queste ultime «possono essere inviate attraverso la posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6, senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l'utilizzo».
VANTAGGI DELLA PEC Ha lo stesso valore legale della tradizionale raccomandata con avviso di ricevimento (garantendo, quindi, l opponibilità a terzi dell avvenuta consegna) Il servizio di PEC consente di effettuare l invio di documenti informatici avendo la garanzia di "certificazione" dell invio e dell avvenuta (o mancata) consegna. Il servizio ha, pertanto, tutti i requisiti della raccomandata con A/R cui si aggiungono notevoli vantaggi sia in termini di tempo che di costi. In particolare, nella PEC si riscontra: semplicità ed economicità di trasmissione, inoltro e riproduzione, archiviazione e ricerca; facilità di invio multiplo, cioè a più destinatari contemporaneamente; possibilità di consultazione ed uso anche da postazioni diverse da quella del proprio ufficio o abitazione (basta un qualsiasi PC connesso ad Internet e un normale browser web), ed in qualunque momento grazie alla persistenza del messaggio nella casella di posta elettronica;
Caratteristiche PEC 12
Cosa si può fare con la PEC Invio fatture, ordini, contratti Convocazione assemblee, giunte e consigli Invio circolari e direttive Gestione ed assegnazione gare d'appalto Integrazione con prodotti gestionali, documentali, etc Comunicazioni con aziende fornitrici e clienti Scambio informazioni tra i distributori ed i venditori di gas naturale (deliberazione n.294/06 dell'autorità per l'energia elettrica e il gas) Comunicazioni tra gli operatori finanziari e l'agenzia delle Entrate in ambito indagini finanziarie (provvedimento N. 188870 e successive modifiche ed integrazioni) Banche per risolvere il problema del phishing ha deciso di dotare ciascun correntista di una casella PEC [...] 13
ASPETTI NEGATIVI Privacy: messa in pericolo dal fatto che si verrà a creare una sorta di "anagrafe dei domicili informatici" dei cittadini italiani e che se ne affiderà la tenuta a soggetti privati. Autenticità: la certificazione del contenuto deve essere accompagnata da una firma digitale. Interoperabilità: Non è utilizzabile e quindi non ha valore legale anche all'estero (rappresenta un set di norme italiane) Standardizzazione: Esistono già da anni vari sistemi di tracciamento e di firma digitale disponibili 14
IN EUROPA E NEL MONDO Il servizio di posta elettronica certificata erogato da un gestore PEC è basato su standard internazionali (come indicato nel DM 2 nov. 2005) come gli li standard S/MIME, SMTP, MIME, LDAP. Il modello proposto dalla PEC italiana è stato sottoposto alle organizzazioni internazionali che si occupano di standard. In seno all ETSI (Istituto Europeo senza scopo di lucro per gli Standard nelle Telecomunicazioni) è in fase di completamento il documento Registered Electronic Message" REM che ispirato anche dall esperienza della PEC italiana propone a livello europeo un meccanismo standard per la trasmissione sicura di comunicazioni e documenti. 15
FUNZIONAMENTO 16
PREREQUISITO Affinché ciò avvenga è necessario che sia il mittente che il destinatario utilizzano indirizzi di posta certificata e che i messaggi vengano inviati mediate i server di un gestore certificato. 17
Le componenti da considerare: l utente mittente, cioè colui il quale ha l esigenza di inviare un documento informatico; l utente destinatario, il soggetto al quale sarà destinato l oggetto dell invio; il gestore del mittente, il soggetto con il quale il mittente mantiene un rapporto finalizzato alla disponibilità del servizio di PEC; il gestore del destinatario, il soggetto con il quale il destinatario mantiene un rapporto finalizzato alla disponibilità del servizio di PEC; la rete di comunicazione, che tipicamente può essere considerata internet; il documento ( vedi pag. succ ) informatico, realizzato dal mittente ed oggetto dell invio verso il destinatario. 18
DOCUMENTO O ALLEGATO con la PEC si può inviare qualsiasi tipo di allegato: un documento informatico, un semplice testo, un immagine, un programma e così via. 19
COME FUNZIONA 20
COME FUNZIONA 1. Il Mittente (titolare di una casella PEC) invia un messaggio al Destinatario (titolare di una casella PEC) 2. Il Gestore del Mittente invia al Mittente una Ricevuta di Accettazione (la Ricevuta di Accettazione certifica data e ora dell invio del messaggio). 21
COME FUNZIONA 22
COME FUNZIONA 1. Il Mittente (titolare di una casella PEC) invia un messaggio al Destinatario (titolare di una casella PEC) 2. Il Gestore del Mittente invia al Mittente una Ricevuta di Accettazione (la Ricevuta di Accettazione certifica data e ora dell invio del messaggio). 3. Il Gestore del Mittente inserisce il messaggio in una busta di trasporto e vi applica una Firma Digitale in modo da garantirne l integrità. Successivamente invia il messaggio al Gestore del Destinatario. 23
COME FUNZIONA 24
COME FUNZIONA 1. Il Mittente (titolare di una casella PEC) invia un messaggio al Destinatario (titolare di una casella PEC) 2. Il Gestore del Mittente invia al Mittente una Ricevuta di Accettazione (la Ricevuta di Accettazione certifica data e ora dell invio del messaggio). 3. Il Gestore del Mittente inserisce il messaggio in una busta di trasporto e vi applica una Firma Digitale in modo da garantirne l integrità. Successivamente invia il messaggio al Gestore del Destinatario. 4. Il Gestore del Destinatario verifica l integrità del messaggio e lo consegna al Destinatario. 5. Una volta consegnato il messaggio al Destinatario il Gestore del Destinatario invia una Ricevuta di Consegna al Mittente. La Ricevuta di Consegna certifica data e ora della consegna al Destinatario. 25
COME FUNZIONA 26
Garantire il mittente In fase di attivazione ed intestazione della PEC il titolare deve fornire il proprio documento di identità Se si tratta di ente o società è necessaria anche la certificazione o la dichiarazione sostitutiva ai sensi del D.P.R. 28 Dicembre 2000, n. 445 - Dichiarazioni sostitutive di certificazioni Art. 46 lettera u) qualità di legale rappresentante di persone fisiche o giuridiche, [ ] Terminata la procedura di registrazione ed identificazione viene stabilito il metodo per l'autenticazione informatica 27
Garantire il mittente Quando ci si collega alla PEC il mittente si dovrà far riconoscere dal sistema del proprio gestore secondo le modalità da questi previste. La modalità più diffusa per accedere al servizio PEC è la classica autenticazione attraverso login/password; 28
Garantire il mittente In alternativa si possono adottare modalità diverse e con maggiori livelli di sicurezza quali, ad esempio, le smart card. 29
PEC - Presenza virus Nel caso in cui il gestore del mittente rilevi nel punto di accesso la presenza di un virus nel messaggio, invia al proprio utente un avviso di mancata accettazione per virus. Nel caso in cui sia il gestore del destinatario a rilevare il virus, il punto di ricezione invia al gestore del mittente un avviso di rilevazione virus. Il gestore mittente, alla ricezione di un avviso di rilevazione virus invia al mittente del messaggio un avviso di mancata consegna per virus. 30
CONSEGNA È importante evidenziare che il sistema di PEC, essendo un sistema di trasporto, non considera la lettura del messaggio prova dell effettiva consegna. Il messaggio si intende consegnato quando il Gestore lo rende disponibile nella casella di posta elettronica certificata del destinatario. 31
COME FUNZIONA 32
PEC con indirizzi non certificati Le email inviate da caselle di PEC a caselle di posta tradizionale vengono recapitate normalmente anche se, in questo caso, il destinatario si vedrà recapitare il messaggio originale imbustato all'interno di un altro messaggio. Viceversa, i messaggi provenienti da caselle tradizionali a caselle di PEC possono essere gestiti, a discrezione del gestore del destinatario*, in due modi: possono essere scartati; possono essere consegnati sotto forma di un messaggio di anomalia ; * o delle impostazioni create dal destinatario sul server edel gestore 33
LOG Storico La Norma impone ai Gestori di PEC di tenere traccia di tutte le trasmissioni effettuate per un periodo di 30 mesi, in un apposito archivio informatico (Log). Nel caso in cui il mittente smarrisca la prova di ricezione continua potrà essere utilizzato il Log per rintracciarne la prova. Il Log file è un registro informatico all interno del quale vengono memorizzate tutte le operazioni relative alle trasmissioni effettuate (invio, ricezione, etc.) utile per la ricostruzione delle ricevute, nel caso di eventuale smarrimento delle stesse. Il Log file non contiene informazioni relative al contenuto del messaggio e viene gestito adottando le maggiorni misure di sicurezza applicabili in tema di Privacy 34
I GESTORI PEC 35
DAL CNIPA Il legislatore ha attribuito al CNIPA specifici compiti tra cui quello di mantenere l'elenco dei gestori accreditati per la PEC http://www.cnipa.gov.it/site/it-it/attivit%c3%a0/posta_elettronica_certificata %28PEC 36
GESTORI Requisiti richiesti ai Gestori PEC Società con capitale almeno di 1 milione di euro, o Pubbliche Amministrazioni devono dotarsi: della certificazione ISO per il processo PEC, di una polizza assicurativa Rispettare i requisiti, le prescrizioni tecniche e i livelli di servizio minimi di cui all' art. 12 comma 3 del DM 2 novembre 2005 Sono inoltre valutati e ispezionati dal CNIPA rispetto a: requisiti di onorabilità, adeguatezza del personale, processi di sicurezza, esperienza nell erogazione di servizi analoghi, ridondanza e servizi di emergenza. 37
PEC al Cittadino Nel Il decreto 6 maggio 2009 il Consiglio dei Ministri definisce le modalità di rilascio della casella di posta elettronica certificata. Tra gli aspetti salienti, viene enunciata la gratuità della stessa qualora questa sia richiesta al Dipartimento per l'innovazione e le tecnologie. L'INPS e l'automobile Club d'italia, a seguito di un protocollo sottoscritto con il Ministero per la Pubblica Amministrazione e l'innovazione, concedono una casella di PEC gratuitamente anche se con alcune limitazioni d'uso: una CEC-PAC (Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino), infatti, non consente l'invio o la ricezione di posta se non con caselle PEC della Pubblica Amministrazione. Viene esclusa la possibilità di comunicazioni fra privati o professionisti o imprese. 38
CONFIGURAZIONE 39
CONFIGURAZIONE Client di posta o accesso WEB [LINK] 40
Fornitori PEC panoramica sulle offerte dei gestori PEC; Livelli di servizio imposti: Servizi di gestione di caselle di posta, ricevute opponibili, accesso a log in caso di smarrimento di una ricevuta o contestazioni, livelli minimi di servizio garantiti dalla norma ed eventuali servizi aggiuntivi offerti dal gestore. Confronto tra le offerte e servizi aggiuntivi (non regolamentati); Obbligo del gestore a produrre (scaricabile) un manuale operativo relativo al servizio offerto. In tale manuale, tra l altro, l utente può trovare le caratteristiche di ciascuna offerta e può in questo modo orientarsi tra le diverse proposte che, oltre al rispetto dei numerosissimi requisiti tecnici, contengono servizi aggiuntivi che valorizzano e differenziano le singole proposte. 41
Fornitori e Gestori Va precisato che il servizio PEC può essere acquistato da un operatore di settore anche se non è un Gestore PEC. In questo caso il fornitore è un reseller o ha un accordo con uno dei Gestori PEC autorizzati dal CNIPA. Fondamentale è che l'utente sia consapevole di chi sia l'erogatore PEC autorizzato, che qualsiasi operatore di settore deve indicare e sottolineare all'atto del contratto. 42
Che PEC attivare In generale esistono 3 differenti possibilità: 1. indirizzo PEC su proprio sottodominio. Tipo: mionome@pec.<miodominio>.it (quest ultimo quando ho già registrato un dominio, aggiungo solo il sottodominio pec) 2. indirizzo PEC su proprio dominio. Tipo: mionome@<miodominio>.it 3. indirizzo PEC su dominio generico. Tipo: mionome@pec.it, oppure mionome@legalmail.it NB il nostro indirizzo PEC rappresenta un domicilio legale elettronico è si suppone resti invariato nel tempo 43
ESERCITAZIONI Osserviamo una PEC ricevuta e le relative notifiche di accettazione e consegna (indirizzo mittente, certificati...) Visioniamo i certificati e gli XML di una email PEC esempio di e-mail contraffatta Invio di una email ad un indirizzo errato Invio di una PEC ad un indirizzo non certificato Se, infatti, viene inviato un messaggio da una mail certificata a una di posta elettronica ordinaria, il destinatario riceverà la comunicazione (all interno della Busta di Trasporto con i dati di certificazione) ma non verrà inviata al mittente la Ricevuta di Avvenuta consegna. scaricare le e-mail cancellando dal server quelle vecchie quando sono configurati più utenti creare una regola per i messaggi PEC studiamo un efficiente workflow per la PEC (regola alla ricezione del messaggio) 44
I dati memorizzati dal Gestore 45
Diffusione della PEC 46
ORA CHE HO UNA PEC? Dotarsi della PEC per una PA è obbligatorio, Ora dobbiamo chiarire meglio: UTILIZZO della PEC? 47
USO delle PEC da parte delle PA Il cittadino deve poter usufruire di un servizio tale da ricevere gli stessi servizi in via telematica e presso uno sportello [RIFERIMENTI C.A.D. ] 48
C.A.D. Decreto legislativo del 7 marzo 2005, n. 82, Codice dell'amministrazione Digitale, entrato in vigole nel 2006 e modificato nei mesi successivi con decreto legislativo 4 aprile 2006, n. 159 (inglobando ed abrogando Codice sul Sistema Pubblico di Connettività ) Il CAD ha lo scopo di assicurare e regolare la disponibilità, la gestione, l accesso, la trasmissione, la conservazione e la fruibilità dell informazione in modalità digitale utilizzando con le modalità più appropriate le tecnologie dell informazione e della comunicazione all'interno della pubblica amministrazione, nei rapporti tra amministrazione e privati. La sicurezza informatica 49
D.L. 29 novembre 2008, n. 185, Misure urgenti 8. Le amministrazioni pubbliche [..] istituiscono una casella di posta certificata o analogo indirizzo di posta elettronica [ ] per ciascun registro di protocollo e ne danno comunicazione al Centro nazionale per l'informatica nella pubblica amministrazione[...]. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica [...]. 9. Salvo quanto stabilito dall'articolo 47, commi 1 e 2, del codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le comunicazioni tra i soggetti di cui ai commi 6 [professionisti], 7[aziende] e 8[PA] del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere inviate attraverso la posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6, senza che il destinatario debba dichiarare la propria disponibilita' ad accettarne l'utilizzo. 50
Gli ambiti di applicazione 51
ESEMPI Il mercato della PEC probabilmente supera quello oggi costituito dalla tradizionale raccomandata e quello che riusciamo ad immaginare. alcuni esempi concreti 52
Cittadino Uso PEC del Cittadino PA: - richiesta di certificati, - la contestazione delle multe "Manovra d'estate 2009" (DL 1 luglio 2009 n.78) il comma 28 dell'art. 17 introduce anche la lettera c-bis al comma 1 dell'art. 65 del CAD. Le istanze e le dichiarazioni presentate alle PA per via telematica [ai sensi dell'articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445], sono ora valide anche quando "l'autore è identificato dal sistema informatico attraverso le credenziali di accesso relative all'utenza personale di PEC" parificando, di fatto, l'identificazione mediante credenziali di accesso alla PEC all'identificazione mediante Carta d'identità Elettronica, Carta Nazionale dei Servizi o Firma Digitale. Cittadino aziende ed enti: - erogatrici servizi (banche, assicurazioni e utility) - contenziosi, invio di reclami/contestazioni, ecc. 53
Uso PEC per le Imprese comunicazioni sia di tipo economico (ad esempio, l invio di fatture) di tipo giuridico (ad esempio, per invio di un contratto) banche (es. invio estratti conto), le assicurazioni o le utenze (energia elettrica, gas, acqua) per la consegna di contratti e bollette. trasmissione degli F24 alle banche. relazioni/transazioni delle aziende con la PA - l invio alla Camera di Commercio di comunicazioni sociali (variazioni dello statuto e degli Organi sociali), - la consegna dei bandi di gara, la richiesta di atti/certificati, ecc. - i rapporti con INAIL, INPS e i Fondi di previdenza. studi professionali uno studio legale potrà veicolare comunicazioni con la Cancelleria del Tribunale, le Prefetture, ecc. 54
Uso PEC per la PA Lo scopo delle norme è quello di ridurre i costi relativi all utilizzo della posta tradizionale. I vantaggi aumentano considerevolmente se la PEC entra in un flusso di gestione documentale automatizzato con riduzione dei tempi delle pratiche e dei contenziosi per l'invio di documenti. Inoltre il CAD rende obbligatorio l'utilizzo della PEC nei casi per i quali è necessaria l'evidenza dell'avvenuto invio e ricezione di un documento informatico (art.48). C'è comunque da considerare il fatto che organizzare nuove modalità per rispondere alle istanze di cittadini ed imprese attraverso questo nuovo canale comporterà uno sforzo organizzativo e gestionale 55
ESEMPIO DI WORKFLOW CON REGOLE MESSAGGI CITTADINO, PA, AZIENDA PROTOCOLLO PROTOCOLLO * ufficio competente *inoltro = manuale o automatico 56
INOLTRO AUTOMATICO La versatilità di uno strumento come la PEC (analogamente alla posta elettronica ordinaria) consente di impostare delle regole automatiche specificando, caso per caso 1, come trattare 2 un determinato messaggio. 1 in funzione del mittente, del destinatario, dell'oggetto, della data di ricezione, del contenuto... 2 inoltro a ad uno o più destinatari, archiviazione, ignoramento, risposta automatica... 57
Utilizziamo le regole per: ESERCITAZIONE - Inoltrare un messaggio con un particolare oggetto - archiviare in una determinata cartella un messaggio proveniente da un determinato mittente - evidenziare una mail PEC se contiene un allegato - suggerimenti per casi di lavoro? 58
UTILIZZO SICURO DELLA PEC 59
Sicurezza e privacy CAD Art. 49. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche. 60
SICUREZZA dei DATI il termine sicurezza si riferisce a tre aspetti distinti: Riservatezza Prevenzione contro l accesso non autorizzato alle informazioni; Disponibilità I dati devono essere sempre accessibili La sicurezza informatica Integrità Le informazioni non devono essere alterate da incidenti o abusi; 61
AMBITI DELLA SICUREZZA Connesso in generale con il software: controlli e registrazione accessi; controllo antivirus; controllo dei software; verifiche sui dati ed i trattamenti; firma digitale; cifratura dati trasmessi; firewall e sicurezza reti; BKP; [ ] LOGICA hardware e supporti fisici su cui sono memorizzate le informazioni: vigilanza ed ingressi controllati; sistemi di allarme e antintrusione; registrazioni accessi; custodia armadi dispositivi antincendio gruppi di continuità (UPS); controllo manutenzione [ ] FISICA ORGANIZZATIVA sistema di gestione: definizione di ruoli, compiti; definizione di procedure per le attività: servizi manutenzione assegnazione delle responsabilità; Consapevolezza e formazione [ ] La sicurezza informatica 62
Precauzioni per il PC della PEC La facilità con cui i dati possono essere trasferiti e gestiti comporta anche una certa vulnerabilità acché vengano impropriamente diffusi corrotti o perduti. Protezione: antivirus, antispam, UPS, computer dedicato Altra possibile soluzione: inibire la spedizione dei messaggi consentendo solo la ricezione Backup: effettuare BKP con frequenza maggiore del periodo di permanenza dei messaggi sui server del gestore! 63
IN CASO DI CONTESTAZIONE 64
Nelle normali contestazioni, probabilmente tutto si risolve con qualche accordo tra le parti. Nel caso estremo in cui si debba arrivare davanti ad un giudice in seguito ad una divergenza che non abbia trovato altra soluzione. Su che elementi si basa il giudice? 65
LIMITE DELLA PEC Il gestore PEC, attraverso le sue notifiche, certifica che è stata inviato un messaggio da un determinato mittente, ad una certa data e ora, e che tale messaggio è stato consegnato alla casella di posta del destinatario, in una certa data e ora; ma: NON CERTIFICA il CONTENUTO della busta elettronica che viene trasmessa da mittente a destinatario. Oss. Lo stesso accade, peraltro, per una Raccomandata postale, poiché non certifica quale sia effettivamente il contenuto della busta spedita, che potrebbe anche contenere un foglio in bianco. NON CERTIFICA che il destinatario abbia effettivamente LETTO il messaggio (pur dando per scontato il mittente l'avvenuta consegna - utilizzabile in caso di contestazione). 66
Altro schema con maggior dettaglio 67
PEC e Firma Digitale Per risolvere il problema della certificazione del contenuto e del relativo titolare viene in nostro aiuto la firma digitale firma digitale apposta dal è però opportuno distinguere tra: Gestore PEC al pacchetto contenente il messaggio certificato trasmesso & firma digitale che si appone sul documento (allegato). 68
Firma del Gestore PEC Il Gestore PEC firma digitalmente la ricevuta della trasmissione, contenente elementi relativi alla trasmissione email (indirizzo mittente, indirizzo destinatario, data, ora) ma relativamente al contenuto del messaggio il solo riferimento riguarda il NOME del documento allegato. Quindi, le ricevute archiviate per 30 mesi dai Gestori e che vengono in aiuto in caso di contestazione davanti ad un giudice, contengono solo il nome del file. Es. il sig. Rossi potrebbe spedire un documento 'disdetta.doc' VUOTO 69
Firma del documento allegato Se il mittente firma digitalmente un documento e poi lo spedisce con la PEC La firma digitale apposta su quel documento ne garantisce l'integrità (il contenuto) e la proprietà (titolare della firma). NB: In vero però in questo caso manca il legame CERTO tra il documento (anche se firmato digitalmente) e la trasmissione PEC relativa. Es. il sig. Rossi potrebbe aver creato e spedito 2 diversi file 'disdetta.doc' 70
APPROFONDIMENTI 71
Licitazione privata con la PEC? La licitazione privata (o procedura ristretta) presuppone che la PA definisca i criteri e requisiti di partecipazione di privati alle gare d'appalto. In alternativa ci sono altre due possibilità: 1. eseguire l'invito con sistema di Poste.it o mbe.it 2. la PA pubblica un bando con i c.d. "requisiti di qualificazione". I soggetti interessati (in possesso dei requisiti) possono richiedere di essere invitati alla licitazione. Solo a questo punto l'amministrazione procede con l'invito. 72
SITOGRAFIA Wikipedia, enciplopedia multimediale Centro Nazionele Informatica nella PA Aruba Il Sole24Ore GuidaPEC.it Consulente Legale Informatico http://it.wikipedia.org www.cnipa.gov.it www.aruba.it, www.pec.it www.ilsole24ore.com www.guidapec.it www.consulentelegaleinformatico.it 73