La Posta Elettronica Certificata Martina Mancinelli 29 Novembre 2014 Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 1 / 23
1 Sommario 2 PEC Cos è la PEC? Com è fatta la PEC? L invio e la ricezione I messaggi della PEC 3 Valore legale della PEC 4 Vantaggi della PEC 5 Gestione e controllo I Gestori delle caselle PEC Responsabilità dei gestori Responsabilità dell AgID Responsabilità dei Titolari 6 La PEC e la PA L ANPR 7 Oltre la PEC Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 2 / 23
Cos è la PEC? La Posta Elettronica Certificata è un sistema di posta elettronica che consente di avere una prova opponibile dell invio e della consegna di un documento elettronico. È come una raccomandata con ricevuta di ritorno, ma a differenza di quest ultima la PEC: garantisce la conoscibilità certa del titolare permette di legare in maniera certa e opponibile la trasmissione con il documento trasmesso garantisce un notevole risparmio permette lo scambio non solo tra individui ma anche tra applicazioni. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 3 / 23
Gli attori della PEC Utente mittente colui che invia il documento Utente destinatario colui a cui è destinato il documento Gestore del mittente il soggetto che eroga il servizio PEC al mittente Gestore del destinatario il soggetto che eroga il servizio PEC al destinatario Rete di comunicazione internet Documento informatico l oggetto dell invio. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 4 / 23
L invio della PEC 1 Autenticazione: il mittente accede al sistema PEC (con ID e password o con una smartcard) 2 Invio: il mittente invia il messaggio al destinatario attraverso il server di PEC del suo Gestore (punto di accesso) 3 Verifica: il gestore del mittente effettua i controlli per verificarne la correttezza formale e la presenza di virus 4 Ricevuta: a seconda dell esito del controllo, il Gestore invia al mittente una ricevuta di accettazione o di non accettazione 4 Busta di trasporto: il Gestore del mittente imbusta e firma digitalmente il messaggio, per inviarlo al Gestore del destinatario (punto di ricezione) Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 5 / 23
La ricezione della PEC 1 Verifica: il Gestore del destinatario effettua la verifica della firma del Gestore del mittente e verifica la validità del messaggio 2 Ricevuta: a seconda dell esito del controllo, il Gestore del destinatario invia al server del Gestore del mittente una ricevuta di presa in carico o un avviso di rilevazione di virus informatici (in quest ultimo caso il Gestore del mittente invia al mittente un avviso di mancata consegna per rilevazione di virus informatici) 3 Consegna: il Gestore del destinatario rende disponibile il messaggio nella casella del destinatario 4 Ricevuta: il Gestore del destinatario invia la ricevuta di avvenuta consegna nella casella del mittente. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 6 / 23
Tipologie di messaggi generati della PEC I sistemi di PEC generano messaggi conformi allo standard internazionale S/MIME e si articolano in 3 categorie: 1 ricevute 2 avvisi 3 buste Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 7 / 23
Ricevute Ricevuta di accettazione: inviata dal gestore del mittente al mittente Ricevuta di presa in carico: inviata dal gestore del destinatario al gestore del mittente Ricevuta di avvenuta consegna: inviata dal gestore del destinatario al mittente Ricevuta Completa di Avvenuta Consegna contiene in allegato il messaggio originale e i dati di certificazione del gestore certificato del destinatario 1 Ricevuta Breve di Avvenuta Consegna contiene in allegato i dati di certificazione del gestore certificato del destinatario e il testo del messaggio originale, ma eventuali file allegati risulteranno sintetizzati nei rispettivi hash Ricevuta Sintetica di Avvenuta Consegna contiene in allegato solo i dati di certificazione del gestore certificato del destinatario 1 In caso di invii multipli, verrà rilasciata una ricevuta di conferma per ciascun destinatario. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 8 / 23
Avvisi avviso di non accettazione per eccezioni formali (Es: indirizzo sbagliato) o per virus informatici, inviato al mittente dal suo gestore; avviso di rilevazione di virus informatici, inviato dal gestore del destinatario al gestore del mittente; avviso di mancata consegna per rilevazione di virus informatici, inviato dal gestore del mittente, che ha ricevuto l avviso di rilevazione di virus, al mittente; avviso di mancata consegna per superamento dei tempi massimi previsti, inviato al mittente dal suo gestore nel caso in cui quest ultimo non riceva alcuna ricevuta di presa in carico nelle 12 ore successive alla spedizione (dopo ulteriori 12 ore il gestore invia al mittente un altroi avviso di mancata consegna, da considerarsi definitivo). Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 9 / 23
Buste busta di trasporto, quella con cui il gestore chiude il messaggio in uscita per poi apporvi la sua firma digitale; busta di anomalia, quella in cui il gestore del destinatario chiude un messaggio non sicuro, come una mail ricevuta da un account normale e non da una casella PEC. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 10 / 23
Considerazioni sul valore legale della PEC La PEC ha valore legale solo se entrambi gli interlocutori dispongono di caselle PEC. se da una casella PEC si spedisce un messaggio a un destinatario che non ha una casella PEC, il mittente resterà senza ricevuta di avvenuta consegna rilasciata dal gestore del destinatario; se un messaggio di posta ordinaria viene inviata ad una casella di posta PEC: 1 il gestore blocca il messaggio e il destinatario non riceve nulla 2 il gestore deposita il messaggio nella casella PEC del destinatario all interno di una busta di anomalia 3 il gestore consente al cliente di scegliere quale di queste due operazioni effettuare tramite il pannello di controllo. NB In nessuno di questi casi lo scambio ha il valore legale di uno scambio tra caselle di posta PEC. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 11 / 23
I vantaggi della PEC certificazione dell avvenuta consegna del messaggio e dei suoi allegati possibilità di allegare qualsiasi tipologia di documento digitale consente di certificare che il contenuto ricevuto è esattamente quello che è stato inviato (grazie alla Ricevuta di Avvenuta Consegna completa) archiviazione da parte del gestore di tutti gli eventi legati a invii e ricezioni, per un periodo di 30 mesi semplicità ed economicità di invio, inoltro, riproduzione, archiviazione e ricerca dei messaggi possibilità di invio a più destinatari contemporaneamente velocità tracciabilità della casella mittente e del suo titolare possibilità di consultazione e uso da qualsiasi postazione e in qualsiasi momento elevati requisiti di qualità garantisce sicurezza e Privacy. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 12 / 23
I Gestori delle caselle PEC I gestori dei servizi PEC, iscritti nell apposito elenco pubblico gestito dall AgID, svolgono il ruolo di garante per le fasi di invio e consegna del messaggio. I gestori devono essere accreditati dall AgID, che ne valuta l onorabilità, l adeguatezza del personale, i processi atti a garantire la sicurezza dei dati e delle trasmissioni, l espeienza, la solidità e i servizi messi in atto in caso di emergenza. Possono essere gestori sia aziende private con un capitale sociale non inferiore a un milione di euro, che le PA (ma le caselle rilasciate dalle PA possono essere utilizzate solo per la comunicazione tra la stessa e l utente). Devono pubblicare on line il Manuale Operativo. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 13 / 23
Segnalazioni urgenti all AgID di malfunzionamenti gravi - Sospensione del servizio Il gestore ha l obbligo di comunicare all AgID i disservizi entro 30 minuti dalla rilevazione dell evento stesso. In caso di comportamenti anomali e non circoscritti, il gestore deve sospendere il servizio fornendo tempestiva informativa ai suoi clienti e agli altri gestori. In caso di comportamenti anomali e circoscritti, l AgID può disporre la sospensione di servizio, fino alla rimozione delle cause. Quando il gestore attua l autosospensione produce un avviso di non accettazione per eccezioni formali per i messaggi immessi dai propri utenti e una ricevuta di presa in carico per i messaggi destinati ai propri utenti. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 14 / 23
Responsabilità dei gestori garantire i livelli di servizio previsti assicurare l interoperabilità con gli altri gestori accreditati informare i titolari sui requisiti tecnici del servizio fornire al mittente la ricevuta di presa in carico, accettazione e di avvenuta consegna comunicare la mancata consegna entro le 24 ore dall invio apporre su ogni messaggio un riferimento temporale garantire l integrità del messaggio rilasciare avviso di rilevazione virus rilasciare avviso di mancata consegna per superamento dei tempi massimi rispetto delle norme in materia di protezione dei dati personali adottare misure atte ad evitare inserimento di codici eseguibili nei messaggi conservare i file log, garantendone riservatezza, integrità e inalterabilità prevedere procedure di emergenza consentire l accesso logico e fisico al sistema alle sole persone autorizzate. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 15 / 23
Responsabilità dell AgID è custode e gestore delle regole tecniche e provvede al loro aggiornamento gestisce l elenco pubblico dei gestori di PEC valuta le domande presentate dai soggetti che si candidano a gestori di PEC fornisce agli iscritti i certificati per la firma elettronica delle ricevute e per l accesso e aggiornamento della struttura tecnica che costituisce l insieme dei domini PEC (l indice dei gestori IGPEC) riceve tutte le modiche dell assetto societario, delle procedure adottate, alle caratteristiche del servizio vigila e controlla sulle attività dei gestori emette circolari, acquisisce informazioni, esegue test di interoperabilità e verifiche della conformità del sistema PEC gestisce il sito IndicePA che contiene tutta la struttura organizzativa delle PA, le AOO e le caselle di posta elettronica ufficiali. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 16 / 23
Responsabilità dei titolari utilizzare in modo sicuro il sistema evitando di rilevare a terzi le credenziali di accesso utilizzare il servizio per i soli usi consentiti dalla legge dare il consenso all utilizzo dei propri dati personali ai sensi del DLgs 196/03 adottare misure atte a evitare l inserimento di codici eseguibili nei messaggi conservazione delle copie dei messaggi inviati e delle relative ricevute Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 17 / 23
L obbligo della PEC per la PA le PA devono avere almeno una casella PEC e devono rendere disponibile l indirizzo sul proprio sito web se più del 50% della posta inviata non è digitale, le risorse stanziate per spese di invio della corrispondenza cartacea vengono diminuite del 30% i privati hanno diritto a richiedere l uso della PEC da parte delle amministrazioni l utilizzo della PEC da parte della PA nei confronti dei privati deve essere esplicitamente richiesto sono resi pubblici solo gli indirizzi PEC delle imprese all atto di iscrizione nel registro delle imprese, ma non gli indirizzi dei privati cittadini tutti gli indirizzi PEC delle PA sono consultabili on line sull Indice delle Pubbliche Amministrazioni Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 18 / 23
L Anagrafe Nazionale della Popolazione Residente Al fine di facilitare la comunicazione tra pubbliche amministrazioni e cittadini, è facoltà di ogni cittadino indicare alla pubblica amministrazione [...] un proprio indirizzo di posta elettronica certificata [...] quale suo domicilio fiscale. L ANPR ha il compito di archiviare il domicilio fiscale dei cittadini e renderlo disponibile a tutte le Amministrazioni e ai gestori di pubblici servizi tramite servizi di accesso telematico. La nuova anagrafe Nazionale andrà a sostituire sia l Indice Nazionale delle Anagrafi (INA), sia l Anagrafe della popolazione Italiana Residente all Estero (AIRE). Saranno i comuni ad occuparsi della certificazione dei dati anagrafici che andranno a confluire nell ANPR, che conterrà anche i dati relativi al numero e alla data di emissione e di scadenza della carta d identità. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 19 / 23
Le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi comunicano con il cittadino esclusivamente tramite domicilio digitale dallo stesso dichiarato. In assenza di domicilio digitale le amministrazioni possono predisporre le comunicazioni ai cittadini come documento informatici sottoscritti con firma digitale o firma elettronica avanzata, da conservare nei propri archivi, ed inviare ai cittadini stessi, per posta ordinaria o raccomandata con avviso di ritorno, copia analogica di tali documenti sottoscritti con firma autografa. Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 20 / 23
Oltre la PEC La PEC è uno standard solo italiano, non ha interoperabilità con il resto del mondo, ma nella legge 2/2009 comma 6 art. 16 viene equiparato alla PEC un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell invio e della ricezione delle comunicazioni e l integrità del documento delle stesse, garantendo l interoperabilità con analoghi sistemi internazionali. Certificati S/MIME MIME (Multipurpose Internet Mail Extentions è uno standard per il formato di posta elettronica); S/MIME, dove S sta per Secure, consente di autenticare e verificare l integrità dei messaggi e ne garantisce il non ripudio mediante l utilizzo della certificazione digitale basata su crittografia asimmetrica (si invia al destinatario un messaggio firmato digitalmente). Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 21 / 23
REM la Registered e-mail è stata concepita dall ETSI (European Telecommunications Standards Institute); grazie ai profili di interoperabilità i domini che vorranno adeguarsi all utilizzo di questi profili potranno scambiarsi messagi riconoscendosi mutuamente. CEC-PAC garantisce la Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadini, secondo il DPCM del 6 maggio 2009 Al cittadino che ne fa richiesta la Presidenza del Consiglio dei Ministri - Dipartimento per l innovazione e le tecnologie, direttamente o tramite l affidatario del servizio, assegna un indirizzo di PEC. è gratuita è riservata ai privati cittadini è utilizzata solo per la comunicazione tra cittadino e PA ha una dimensione minima di 250MB prevede la funzionalità della ricevuta di presa visione da parte del destinatario prevede servizio di notifica tramite mail tradizionale dell avvenuta ricezione di un messaggio nella casella CEC-PAC prevede il fascicolo elettronica personale del cittadino Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 22 / 23
Materiale scaricabile on line sul blog archiviando.wordpress.com This work is licensed under a Creative Commons BY-ND 4.0 Italia License Martina Mancinelli La Posta Elettronica Certificata 29 Novembre 2014 23 / 23