PEC - Posta Elettronica Certificata

CENTRO DI ECCELLENZA ITALIANO SULLA CONSERVAZIONE DIGITALE PEC - Posta Elettronica Certificata SILVIO SALZA Università degli Studi di Roma La Sapienza CINI- Consorzio Interuniversitario Nazionale per l Informatica salza@dis.uniroma1.it Work supported by the European Community under the Information Society Technologies (IST) program of the 7th FP for RTD project APARSEN, ref. 269977 SILVIO SALZA - Università di Roma SILVIO La Sapienza SALZA PEC-Posta - Università Elettronica di Roma Certificata La Sapienza 1

LICENZA DI DIRITTO D AUTORE Questo materiale è rilasciato sotto licenza Creative Commons CC BY-NC-ND Questa licenza implica che: È possibile copiare e distribuire liberamente questo materiale, a patto che non vengano apportate modifiche e che vengano mantenute le indicazioni di chi è l'autore dell'opera. Ciò è però consentito esclusivamente quando avvenga per scopi non commerciali. Non è consentito di distribuire opere derivate, cioè contenenti qualsivoglia modifica rispetto al materiale originale. Per maggiori dettagli si rimanda direttamente alla licenza: Riassunto della licenza: http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it Licenza completa: http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode SILVIO SALZA - Università di Roma SILVIO La Sapienza SALZA PEC-Posta - Università Elettronica di Roma Certificata La Sapienza 2

La Posta Elettronica Certificata (PEC) E un infrastruttura, prevista dalla normativa italiana, per l invio di messaggi di e-mail di cui sono garantite la consegna e l integrità Per legge un messaggio di PEC ha la stessa validità di una raccomandata con ricevuta di ritorno L infrastruttura si basa su un insieme di gestori certificati, soggetti a processi di autorizzazione e controllo gestiti dal CNIPA (ora DigitPA) e simili a quella dei cerificatori per la firma digitale: spesso i soggetti coincidono Possono scambiarsi messaggi di PEC solo due utenti che abbiano entrambi caselle di PEC presso gestori certificati Tutte le Amministrazioni Centrali devono avere caselle di PEC, tramite le quali il cittadino ha diritto a comunicare con loro 3

Il quadro normativo della PEC DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l utilizzo della posta elettronica certificata, a norma dell articolo 27 della legge 16 gennaio 2003, n. 3. (G.U. 28 aprile 2005, n. 97) DL 7 marzo 2005, n. 82 Codice dell amministrazione digitale (G.U. 16 maggio 2005 n.112), integrato dal successivo DL 235/2010 DM 2 novembre 2005, Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata (G.U. del 14 novembre 2005, n. 265) (Versione più recente delle regole tecniche) DL 4 aprile 2006 n. 159 Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82 recante Codice dell amministrazione digitale DL 30 dicembre 2010, n. 235, Modifiche ed integrazioni al decreto legislativo 7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma dell'articolo 33 della legge 18 giugno 2009, n. 69 (Nuovo CAD) 4

Gestori di Posta Certificata La PEC è basata su particolari Caselle di Posta Certificata Le caselle appartengono a particolari domini DNS detti domini di posta certificata Le caselle sono accessibili tramite i normali client di posta elettronica, nelle varie modalità (POP, IMAP, HTTPS) Le caselle sono però gestite da Gestori Accreditati cioè da soggetto che gestisce uno o più domini di posta elettronica certificata Ogni gestore è titolare di una chiave usata per la firma delle ricevute e delle buste Ciascun deve garantire l interoperabilità con tutti gli altri gestori I gestori sono accreditati e monitorati da DigitPA 5

Come funziona la PEC: attori del processo Due utenti si possono scambiare messaggi se entrambi sono titolari di una casella di PEC L interazione tra PEC e posta ordinaria è possibile ma non ha la stessa validità Attori del processo sono: Il mittente (titolare di una casella PEC) Il gestore del mittente Il gestore del destinatario Il destinatario Può esistere un ulteriore attore, l utilizzatore, se diverso dal titolare della casella 6

Come funziona la PEC: schema di consegna 7

Fasi del processo di consegna 1a l utente invia una e-mail al Punto di accesso (PdA) 1b il PdA restituisce al mittente una Ricevuta di Accettazione (RdA) 2a il PdA crea una Busta di Trasporto (BdT) e la inoltra al Punto di Ricezione (PdR) del Gestore destinatario 2b il PdR verifica la BdT e crea una Ricevuta di Presa in Carico (RdPiC) che viene inoltrata al PdR del Gestore mittente 2c il PdR verifica la validità della RdPiC e la inoltra al PdC 2d il PdC salva la RdPiC nello store delle ricevute del Gestore 3 il PdR inoltra la BdT al Punto di Consegna (PdC) 4a il PdC verifica il contenuto della BdT e la salva nello store (mailbox del destinatario) 4b il PdC crea una Ricevuta di Avvenuta Consegna (RdAC) e la inoltra al PdR del Gestore mittente 4c il PdR verifica la validità della RdAC e la inoltra al PdC 4d il PdC salva la RdAC nella mailbox del mittente 5 l utente destinatario ha a disposizione la e-mail inviatai DigitPA. 8

Ricevute Un aspetto molto importante della PEC è costituito dalle ricevute che i due gestori coinvolti inviano al mittente In un invio andato buon fine abbiamo le seguenti ricevute: 1. Ricevuta di accettazione: rilasciata dal gestore del mittente quando accetta il messaggio 2. Ricevuta di presa in carico: rilasciata dal gestore del destinatario quando riceve la busta con il messaggio 3. Ricevuta di avvenuta consegna: rilasciata dal gestore del destinatario dopo la consegna al destinatario Tutte le ricevute sono firmate dai gestori che rilasciano e vengono da essi conservate Le ricevute di accettazione e di avvenuta consegna vengono inoltrate al mittente 9

Ricevuta di avvenuta consegna Il mittente può richiedere la ricevuta di avvenuta consegna in diversi formati: 1. Ricevuta completa: contiene, oltre all attestazione della consegna anche una copia del messaggio completo 2. Ricevuta breve: contiene il messaggio originale ma solo degli hash per gli allegati 3. Ricevuta sintetica: contiene solo l attestazione della avvenuta consegna Nel caso di ricevuta completa o breve il mittente è in grado di dimostrare non solo la consegna, ma il contenuto del messaggio 10

Mancata accettazione e mancata consegna Il messaggio può non concludere il suo iter di consegna per diversi motivi: La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione 11

Mancata accettazione e mancata consegna Il messaggio può non concludere il suo iter di consegna per diversi motivi: La consegna non è possibile a causa di un errore: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente La consegna non è possibile a causa di un virus rilevato dal gestore del destinatario: viene inviata dal gestore del destinatario una ricevuta di mancata consegna che viene inoltrata al mittente La consegna non è possibile a causa di un virus rilevato dal gestore del mittente: viene restituito al mittente un avviso di non accettazione 12

Invio da casella ordinaria a casella PEC 13

Invio da casella PEC a casella ordinaria 14

Il log dei messaggi Durante tutto i processo di consegna il sistema mantiene traccia di tutte le operazioni svolte Tutte le attività sono memorizzate su un registro riportante i dati significativi dell operazione: il codice univoco assegnato al messaggio originale (Message-ID) la data e l ora dell evento il mittente del messaggio originale i destinatari del messaggio originale l oggetto del messaggio originale il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.) il codice identificativo (Message-ID) dei messaggi correlati generati (ricevute, errori, ecc.) il gestore mittente 15

Obblighi di conservazione L utente è tenuto a conservare le ricevute relative all invio dei messaggi Se le ricevute vengono smarrite è possibile richiedere ai gestori le informazioni contenute nei log, per ricostruire il processo di consegna I gestori sono tenuti a conservare i log per almeno 30 mesi I gestori sono anche tenuti a conservare anche i messaggi di cui non è stata possibile la consegna per 30 mesi I gestori sono tenuti a procedere al salvataggio del log dei messaggi con periodicità non superiore alle 24 ore Le copie salvate del log devono essere marcate temporalmente 16

La PEC come strumento di validazione Il nuovo CAD introduce norme più rigorose per l identificazione dei titolari di caselle PEC Ciò consentirà di associare univocamente la casella al titolare, ed è importante ai fini della valutazione La PEC svolgerà una doppia funzione di valutazione: Validazione temporale, perché è certo il tempo di invio Validazione del contenuto, perché il fatto di inviarlo dalla propria casella equivale ad assumerne l responsabilità Questo sarà valido per gli invii verso la PA Negli altri casi è liberamente valutabile in giudizio 17

Ma è l unico modo? L uso della PEC è diventato abuso (anche maniacale) È un problema che condivide con la firma elettronica Qualcuno ha dovuto iscrivere i figli all asilo tramite PEC! Uno si chiede: ma come fanno gli altri Paesi a sopravvivere senza PEC? In alcune circostanze la PEC può essere senza dubbio uno strumento utile, ma occorre evitare generalizzazioni Tuttavia è inadatta a gestire altre situazioni, per esempio molti servizi di e-government (soprattutto verso il cittadino) Il difetto della PEC è di replicare un paradigma di comunicazione epistolare che nella moderna gestione delle transazioni e del workflow sta diventando obsoleto 18

L alternativa Per effettuare un bonifico bancario da 100.000 Euro faccio i seguenti passi: a) Vado sul sito della mia banca con il browser b) Mi autentico con userid e password c) Effettuo l operazione d) Confermo tramite un dispositivo OTP E se invece dovessi mandare una e-mail certificata alla banca? È senz altro possibile applicare questo paradigma anche a transazioni con la PA Si noti, tra l altro, che alcune transazioni tra cittadino ed Agenzia delle Entrate già si svolgono senza firma digitale, posta certificata e altri orpelli ( e stiamo parlando di soldi!) 19

Servizi tramite portali L alternativa è l interazione tramite portali certificati Autenticazione sicura dell utente Garanzia dell integrità delle informazioni scambiate Registrazione delle azioni (non ripudio) Interazione tramite form Immissione diretta delle informazioni Controlli preliminari dei dati Paradigma ormai entrato nella quotidianità degli utenti e largamente utilizzato per altri servizi (anche con esigenze critiche) : bancari, e-commerce, etc. 20

Transazioni su portali certificati PORTALE WEB Estrazione dati DB Generazione domanda 01011010 11010100 11101101 00101011 10010011 Generazione risposta WORKFLOW 01011010 11010100 11101101 00101011 10010011 Archiviazione ARCHIVIO Se necessario l interazione può anche generare documenti 21