Posta Elettronica Certificata e Firma Digitale

Posta Elettronica Certificata e Firma Digitale Utilizzo pratico Ing. Solieri Matteo 6 Febbraio 2010

OBIETTIVI Il servizio PEC fornito dal CNI Come si utilizza con particolare riferimento ad alcune funzionalità e impostazioni specifiche di ARUBAPEC. La firma digitale Caratteristiche, valenza e modalità di firma un documento digitale. Verifica della firma Domande e risposte

Normativa di riferimento DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l utilizzo della posta elettronica certificata, a norma dell articolo 27 della legge 16 gennaio 2003, n. 3. (G.U. 28 aprile 2005,n. 97) DECRETO MINISTERIALE 2 novembre 2005, Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata (G.U. del 14 novembre 2005, n. 265 [per approfondimenti: http://www.cnipa.gov.it]

Normativa di riferimento Decreto Legge n.185 del 29/11/2008 convertito in Legge n. 2/2009 Art. 16 comma 7: I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore della presente legge. Gli ordini e i collegi pubblicano in un elenco consultabile in via telematica i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.

PEC vs MAIL Posta elettronica tradizionale Corrispondenza cartacea ordinaria Posta elettronica certificata Raccomandata A/R (mittente e destinatario devono disporre entrambi di una casella di pec)

CHE COSA E La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale al mittente viene fornita documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici. La PEC è nata con l'obiettivo di trasferire su digitale il concetto di Raccomandata con Ricevuta di Ritorno. Come mezzo di trasporto si è scelto di utilizzare l'email che garantisce, oltre alla facilità di utilizzo e alla diffusione capillare sul territorio, una velocità di consegna non paragonabile alla posta tradizionale. Attraverso la PEC chi invia una email ha la certezza dell'avvenuta (o mancata) consegna del proprio messaggio e dell eventuale documentazione allegata.

ENTE GESTORE SCELTO Circolare CNI n. 273 del 21 ottobre 2009 Con il contratto sottoscritto con ARUBA PEC s.p.a il Consiglio Nazionale degli Ingegneri vuole dotare, sostenendone i relativi costi, ciascun iscritto di un indirizzo PEC

COME FUNZIONA mittente destinatario

COME FUNZIONA Ricevuta di accettazione mittente destinatario

COME FUNZIONA Gestore PEC Ricevuta di accettazione mittente destinatario

COME FUNZIONA Gestore PEC Casella Ricevuta di accettazione Ricevuta di consegna mittente destinatario

COME FUNZIONA Gestore PEC Casella Ricevuta di Ricevuta di Busta di accettazione consegna trasporto mittente destinatario

A livello pratico l'utente finale vede la casella di PEC come una normale casella di posta può utilizzare un qualsiasi client di posta (Thunderbird, Outlook, Outlook Express, Eudora,...) può utilizzare la web mail non ha bisogno di installare software non ha bisogno di device Unica differenza: per ogni spedizione il mittente riceve: Una ricevuta di accettazione (certifica l'istante di invio) Una ricevuta di avvenuta consegna (certifica l'istante di consegna a destinazione)

Caratteristiche base Dimensione caselle 1 Gbyte Numero di invii illimitato Invio fino ad un massimo di 500 destinatari Dimensione massima messaggio 50 Mbyte (*) Caselle aperte alla ricezione di messaggi non certificati Accesso via client e via Web mail Interfaccia Web mail personalizzata con logo CNI Antivirus Antispamming ATT.NE (*) la dimensione dell'invio viene calcolata moltiplicando la dimensione del messaggio per il numero complessivo dei destinatari.

Servizi Opzionali (a carico degli iscritti) Upgrade casella base Pacchetti 1 GByte 3 GByte 5 GByte Archivio di sicurezza Dimensione iniziale 3GB Conservazione minimo 10 anni per tutta la durata del contratto con CNI Upgrade Archivio di sicurezza Pacchetti 1 GByte 3 GByte 5 GByte Notifica SMS Notifica nuovi messaggi PEC Max 1 SMS / giorno Servizio di Newsletter Nessun limite sulla dimensione del messaggio Nessun limite sul numero dei destinatari

RIFERIMENTI ASSISTENZA HELPDESK tel. 0575-050014 con orario 9,00 18,00 lun-ven assistenza@ingpec.eu Referente ARUBA: Luca Oliva luca.oliva@staff.aruba.it 340-5114508

SUGGERIMENTO Utilizzo modalità webmail Attivazione delle modalità di segnalazione automatiche su altra casella mail.

https://gestionemail.pec.it/

https://gestionemail.pec.it/

https://webmail.ingpec.eu Attenzione : nome.cognome@ingpec.eu

Pagina iniziale

Pagina Posta in arrivo

Nuovo messaggio

RICEVUTE

Messaggi in arrivo

DOMANDE E RISPOSTE Ho già una casella PEC. Posso avere anche quella offerta tramite il CNI? Certamente. Non esistono vincoli sul numero di caselle PEC che ciascuno può possedere. La normativa attuale impone che i professionisti entro la fine di novembre 2009 abbiano almeno una casella di PEC ciascuno e che questa sia stata comunicata al rispettivo Ordine.

DOMANDE E RISPOSTE Se possiedo già una casella di PEC la devo comunicare al mio Ordine? Sì. L'Ordine deve essere informato al più tardi entro il 29 novembre 2009. All'Ordine va comunicato anche il nome della casella, sia per poterla usare lui stesso, ma soprattutto per poterla inserire nell'elenco disponibile alle pubbliche amministrazioni, come richiesto dalla normativa.

DOMANDE E RISPOSTE Anche i dipendenti iscritti all'albo devono dotarsi di PEC? Sì. La legge 2/09 all'art.16 comma 7 recita: "I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata..." Il fatto di essere iscritti all'albo degli ingegneri implica che ci si deve dotare di posta elettronica certificata e si è tenuti a comunicarla al proprio ordine, anche se non si fa la libera professione, anche se si è dipendenti di società.

DOMANDE E RISPOSTE Negli studi associati quante caselle PEC servono? La legge 2/09 prevede che ogni professionista ed ogni azienda si dotino di caselle di PEC. Pertanto In uno studio associato ogni professionista deve dotarsi della sua casella personale di PEC, ad esempio utilizzando quella fornita gratuitamente tramite dal CNI tramite l'ordine di appartenenza, mentre lo studio, inteso come persona giuridica, deve dotarsi di un'ulteriore casella di PEC entro la fine di novembre 2011.

DOMANDE E RISPOSTE Gli indirizzi di PEC verranno resi pubblici? No. Gli indirizzi di PEC degli iscritti agli albi non saranno resi pubblici, ma inseriti in un elenco ad uso riservato delle pubbliche amministrazioni. In pratica solo le pubbliche amministrazioni potranno utilizzare liberamente l'indirizzo PEC dell'iscritto, mentre tutti gli altri dovranno farne esplicita richiesta al titolare.

DOMANDE E RISPOSTE Può un terzo richiedere l'indirizzo PEC di un iscritto all'ordine? No. No. Gli Ordini professionali devono solo garantire che l'elenco messo a disposizione delle pubbliche amministrazioni secondo regole ben precise sia esatto. Un terzo per ottenere un indirizzo di PEC di un iscritto deve richiederlo all'iscritto stesso.

DOMANDE E RISPOSTE Quali sono le Pubbliche Amministrazioni che accettano la PEC? Lo CNIPA ha l'obbligo di creare un elenco di tutte le caselle di posta elettronica certificata delle pubbliche amministrazioni e renderlo disponibile pubblicamente. I cittadini che possiedono una casella di PEC potranno utilizzare tale strumento per comunicare con le pubbliche amministrazioni presenti nell'elenco del CNIPA. Le pubbliche amministrazioni che riceveranno messaggi via PEC potranno utilizzare lo stesso metodo per fornire le risposte.

DOMANDE E RISPOSTE Che cosa è la ricevuta di presa incarico? La ricevuta di presa in carico è un messaggio di posta elettronica che il gestore della casella di PEC invia al mittente dopo aver ricevuto un messaggio da inviare. Il gestore prima di inviare la ricevuta di presa in carico effettua una serie di controlli e solo dopo che questi sono stati superati invia la ricevuta. Tale ricevuta equivale alla ricevuta rilasciata dalle Poste quando si invia una raccomandata cartacea.

DOMANDE E RISPOSTE Che cosa è la ricevuta di avvenuta consegna? La ricevuta di avvenuta consegna è la ricevuta che il gestore del destinatario invia al mittente quando mette un messaggio PEC nella casella postale di destinazione. Nelle intenzioni dovrebbe equivale alla ricevuta che viene inviata al mittente nelle raccomandate RR cartacee. Va notato che nel momento in cui viene inviata al mittente la ricevuta di avvenuta consegna non è detto che il destinatario sia informato che ha ricevuto un messaggio di PEC.

DOMANDE E RISPOSTE Come posso recuperare le ricevuta di invio e ricezione nel tempo? Il gestore di posta elettronica certificata è tenuto, per legge, a conservare le ricevute di ogni messaggio inviato. Gli utenti possono richiedere al gestore copia delle ricevute ad esempio chiamando l'help desk.

DOMANDE E RISPOSTE Posso rifiutare di "ritirare" un messaggio di posta e rimandarlo al mittente? No. I messaggi di posta elettronica certificata non possono essere "respinti". La procedura infatti prevede che quando il messaggio è arrivato nella mia casella postale venga inviata al mittente la ricevuta di avvenuta consegna. Tale ricevuta viene inviata prima che l'utente venga a conoscenza di aver ricevuto un messaggio di posta elettronica certificata. Da questo punto di vista la normativa è carente ed andrebbe integrata.

DOMANDE E RISPOSTE Un allegato ricevuto tramite un messaggio di posta PEC ha validità legale? Sì. Certo. Un messaggio di posta elettronica certificata, da valore legale a tutto ciò che viene inviato, compresi gli allegati. Va però tenuto presente che la posta elettronica certificata da valore legale solo all'invio e quindi garantisce solo che un messaggio è stato spedito e ricevuto. Per dare valore legale al contenuto di un allegato è necessario utilizzare la firma digitale ed eventualmente le marche temporali.

DOMANDE E RISPOSTE Inviando un messaggio di PEC il gestore garantisce l'inalterabilità del contenuto? No. Il gestore garantisce l'inalterabilità solo nella trasmissione di ciò che lui ha ricevuto al gestore del destinatario, ma non garantisce l'inalterabilità del contenuto fra il mittente e il gestore stesso. Per ottenere la certezza, con validità legale, è necessaro far uso della firma digitale.

FIRMA DIGITALE - Normativa Direttiva europea 1999/93/CE sulle firme elettroniche Dlgs. 23 gennaio 2002, n. 10 Recepimento della direttiva

FIRMA ELETTRONICA ai sensi dell'articolo 2, comma 1, lettera a), del decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica; FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1, lettera g), del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca identificazione, creata con mezzi sui quali il firmatario puo' conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata su un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma FIRMA DIGITALE e' un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrita' di un documento informatico o di un insieme di documenti informatici;

FIRMA DIGITALE E un particolare tipo di firma elettronica qualificata basato su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica rispettivamente, di rendere manifesta e verificare la provenienza e l integrità di un documento informatico

IN PRATICA E basata su un certificato qualificato, valido per tre anni dalla data di emissione rilasciato da una CA. E generata mediante un dispositivo per la creazione di una firma sicura (smart card/token certificati, software di firma Dike a norma). Utilizza la crittografia asimmetrica (con chiave privata e pubblica) Il documento informatico sottoscritto con firma digitale o con altro tipo di firma elettronica qualificata, ha l'efficacia prevista per la forma scritta, valore fino a querela di falso (art. 2702 del c. c.).

AUTOGRAFA vs DIGITALE firma di un documento su carta: può essere contraffatta l'identità del firmatario è incerta l'integrità del documento è incerta datazione incerta in caso di disconoscimento l'onere della prova è a carico di terzi firma digitale: non può essere contraffatta identità del firmatario sicura integrità del documento sicura marcatura temporale: data certa l'utilizzo del dispositivo di firma si presume riconducibile al titolare

Crittografia a chiave privata K Testo in chiaro Cifrario Testo cifrato K Testo cifrato Cifrario Testo in chiaro

Criticità Distribuzione della chiave Canale di distribuzione diverso da quello di comunicazione ordinaria Tante chiavi per ogni coppia di soggetti che comunicano Esempio se A, B, C, D (4 soggeti) [A-B] [A-C] [A-D] [B-C] [B-D] [C-D] (6 CHIAVI) Se 50 Soggetti 1125 Chiavi

Firma digitale pratica La soluzione: la chiave asimmetrica Cos'e' la chiave asimmetrica Perchè si usa: autenticità, integrità, non ripudiabilità

Crittografia a chiavi asimmetriche Idea: utilizzare 2 chiavi diverse per cifrare e decifrare K1 Testo in chiaro Cifrario Testo cifrato K2 Testo cifrato Cifrario Testo in chiaro

Chiavi asimmetriche K1 Testo in chiaro Testo cifrato K2 Se K1 cifra k2 decifra e viceversa la conoscenza di una chiave non permette di risalire all altra Non si può decifrare con la stessa utilizzata per cifrare

Chiavi asimmetriche Alice e Bob creano ciascuno la loro coppia di chiavi (pubblica e privata) : rendono le pubbliche liberamente disponibili e tengono riservate la private.

INTEGRITA O RISERVATEZZA Alice vuole mandare un messaggio a Bob, ed essere sicura che nessuno lo possa leggere: dopo avere scritto il messaggio lo cifra con la chiave pubblica di Bob. KP(B) Testo originale Testo cifrato Testo cifrato Testo originale Alice KS(B) Bob Bob riceve il messaggio ed usa la propria chiave privata per decifrarlo. E l unico a poterlo fare perché solo lui conosce la chiave privata.

INTEGRITA O RISERVATEZZA Chiunque poteva creare un messaggio e inviarla a nome di Alice a Bob. Ma solo Bob può decodificarlo perché è l unico a conoscere la schiave segreta. Lo scopo però era quello di impedire che qualcuno potesse alterare il messaggio inviato e ciò è garantito dal fatto che solo Bob lo può decifrare.

Autenticità: firma Alice vuole mandare un messaggio a Bob e fare in modo che sia chiaro che sia stata lei ad averlo inviato: dopo avere scritto il messaggio lo firma con la propria chiave privata. KS(A) Testo originale Testo firmato Testo firmato Testo originale Alice KP(A) Bob Bob riceve il messaggio e lo può aprire con la chiave pubblica di Alice.

Autenticità: firma Essendo la chiave a disposizione di tutti, chiunque lo può aprire, ed essere certo che lo ha inviato Alice (perché è l unica che ha la chiave segreta) Lo scopo era solo quello di rendere chiaro il mittente.

Autenticità + integrità Non ripudiabilità Alice vuole mandare un messaggio a Bob ed essere contemporaneamente sicura che sia garantita la provenienza e che il suo contenuto non sia alterato durante la trasmissione: dopo avere scritto il messaggio lo firma con la propria chiave privata e poi con la chiave pubblica di Bob. Bob riceve il messaggio, lo decifra con la propria chiave privata e controlla che il mittente sia Alice verificandolo con la sua chiave pubblica.

Perché non ripudiabilita'? Perché il messaggio ha un autore certo garantito dalla firma digitale, e la certezza che esso non sia stato modificato nel tragitto comporta che il contenuto sia attribuibile con altrettanta certezza proprio al firmatario

Certificati vs certificatori Chi (che cosa) attesta la corrispondenza tra un soggetto e la coppia di chiavi? IL CERTIFICATO emesso dal Certificatore Contiene la chiave pubblica e le informazioni sul titolare Criticità del ruolo del Certificatore Un'accoppiata firma digitale CA + firma digitale personale compongono un certificato digitale.

Certificatori La CA garantisce, tramite la sua firma digitale apposta a quelle di Alice e Bob, che esse siano realmente le loro, e lo fa, ad esempio, raccogliendo dati documentali. Bob può non conoscere personalmente Alice, né mai incontrarla, e nonostante questo essere sicuro di parlare con lei.

Contenuto del Certificato Chiave pubblica Riferimenti del titolare Riferimenti dell emittente Data emissione e scadenza Numero seriale Firma del certificatore

DIKE firmare

DIKE verificare la firma

GRAZIE PER L ATTENZIONE Solieri Matteo ingsolierimatteo@alice.it 335 6161286