Posta elettronica certificata

Da WikiPA.

La posta elettronica certificata (PEC) è uno strumento che permette di dare ad un messaggio di posta elettronica lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale. La PEC può aggiungere inoltre la certificazione del contenuto del messaggio solo se in combinazione con un certificato digitale. La PEC non certifica l'identità del mittente, né trasforma il messaggio in "documento informatico", se il mittente omette di usare la propria firma digitale.[1] Il CAD individua le modalità: le comunicazioni dei documenti tra le Pubbliche Amministrazioni devono avvenire mediante l’utilizzo della posta elettronica o attraverso l’interscambio automatico di informazioni con altri sistemi - la “cooperazione applicativa”- che contempla la possibilità per un’applicazione di utilizzare in modo automatico un’informazione elaborata da un’altra applicazione (per esempio, un applicativo utilizzato all’interno di una università che preleva i dati anagrafici direttamente dal programma del Comune di residenza dello studente). Lo scambio di documenti tra le PA, attraverso posta elettronica o tramite la cooperazione applicativa, è considerato valido ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza (art. 47, comma 1). Il Codice fornisce anche i criteri in base ai quali deve essere verificata la provenienza delle comunicazioni. Queste sono valide se ricorre una delle seguenti condizioni (art. 47, comma 2):

  • le comunicazioni sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
  • le comunicazioni sono dotate di segnatura di protocollo conforme alla normativa vigente;
  • è possibile accertarne la provenienza sulla base di quanto previsto dalla normativa vigente o dalle regole tecniche;
  • le comunicazioni sono trasmesse attraverso sistemi di posta elettronica certificata.

La normativa sulla posta elettronica certificata attribuisce al DigitPA differenti compiti. In particolare indica tale soggetto come custode e gestore delle regole tecniche. È inoltre compito del DigitPA provvedere alla pubblicazione di aggiornamenti, in coerenza con gli standard specificati nella normativa di riferimento.

Il DigitPA, all'interno del proprio sito istituzionale, rende disponibile una apposita sezione riguardante la posta elettronica certificata[2], contenente una versione scaricabile di tutta la documentazione valida ai fini di legge e riguardante la PEC.

Il Governo Italiano fornisce gratuitamente a tutti i cittadini italiani una casella PEC che, tuttavia, può essere usata solo nelle comunicazioni con la Pubblica Amministrazione e non include un servizio di firma digitale (quindi più propriamente detta CEC-PAC).

Funzionamento

La posta elettronica certificata viene definita come il sistema elettronico di trasmissione di documenti informatici nel quale è fornita al mittente la documentazione elettronica attestante l’invio e la consegna di documenti informatici. In particolar modo, la Posta Elettronica Certificata ha la finalità di garantire i momenti dell’invio e della ricezione dei messaggi di posta elettronica, rendendo in tal modo, la trasmissione della comunicazione opponibile a terzi. La PEC, quindi, certifica i due momenti fondamentali della trasmissione di un documento informatico (spedizione e consegna) con un sistema che ricalca quello delle raccomandate postali con avviso di ricevimento.

Al momento dell'invio di una mail PEC il gestore PEC del mittente si occuperà di inviare al mittente una ricevuta che costituirà valore legale dell'avvenuta (o mancata) trasmissione del messaggio con precisa indicazione temporale del momento in cui la mail PEC è stata inviata. In egual modo il gestore del destinatario, dopo aver depositato il messaggio PEC nella casella del destinatario, fornirà al mittente una ricevuta di avvenuta consegna, con l'indicazione del momento temporale nel quale tale consegna è avvenuta. In caso di smarrimento di una delle ricevute presenti nel sistema PEC è possibile disporre, presso i gestori del servizio, di una traccia informatica avente lo stesso valore legale in termini di invio e ricezione, per un periodo di trenta mesi, secondo quanto previsto dalle normative sotto citate. Dal punto di vista dell'utente, una casella di posta elettronica certificata non si differenzia da una casella di posta normale; cambia solo per quello che riguarda il meccanismo di comunicazione sul quale si basa la PEC e sulla presenza di alcune ricevute inviate dai gestori PEC mittente e destinatario.

La posta elettronica certificata, infatti, per essere tale, deve seguire le regole fissate dal DPR 68/2005 e dalle successive regole da esso previste. Queste norme, insieme ad altre (in particolare il Codice dell’Amministrazione Digitale), ne stabiliscono la validità legale, le regole e le modalità di utilizzo. In particolare:

  • Il servizio può essere erogato esclusivamente dai gestori accreditati presso il CNIPA, oggi AgID, che è l’organo pubblico preposto al controllo della posta elettronica certificata.
  • Per la PEC devono essere usati domini dedicati (un dominio di PEC non contiene caselle email non-PEC).

Ogni gestore PEC nel rispetto della norma deve sottoporsi ad una serie di test d'interoperabilità, espressamente individuati e disponibili sul sito ufficiale del CNIPA[3]. I test d'interoperabilità vengono eseguiti per valutare la correttezza tecnico/funzionale del servizio di PEC erogato dal gestore. Come indicato nella documentazione ufficiale sono presenti espliciti test per verificare l'invio e la ricezione con caselle di posta elettronica tradizionale. Si ricorda che le regole tecniche PEC, allegate al Decreto Ministeriale 2 novembre 2005, prevedono la gestione di messaggi di posta elettronica tradizionale, tanto che viene definita una apposita busta di trasporto atta a contenere e-mail provenienti da indirizzi di posta non PEC. Inoltre la ricevuta di accettazione, emanata all'atto dell'invio, evidenzia la tipologia di indirizzi di posta con apposite diciture (es. Posta Certificata - Posta non Certificata). Chiaramente, l'eventuale destinatario non PEC, pur ricevendo correttamente il messaggio, non sarà in grado di generare gli avvisi di avvenuta/mancata consegna.

Vantaggi della PEC

Il servizio PEC, per sua stessa natura, mostra una serie di vantaggi rispetto alla raccomandata con ricevuta di ritorno tradizionale. I principali sono:[4]

  • Ogni formato digitale può essere inviato tramite posta elettronica certificata;
  • I messaggi possono essere consultati da ogni computer connesso a internet;
  • Certificazione degli allegati al messaggio;
  • L'avvenuta consegna della mail viene garantita, nel caso non sia possibile consegnare il messaggio l'utente viene informato;
  • Le ricevute di consegna hanno validità legale;
  • Tracciabilità della casella mittente;
  • Vi è certezza sulla destinazione dei messaggi;
  • L'invio dei messaggi può avere costi inferiori a quello delle raccomandate. Per una giusta valutazione deve essere preso in considerazione il costo di invio di una raccomandata cartacea tradizionale, che cresce in funzione del numero di pagine e del peso del plico, e il numero di comunicazioni inviate annualmente. Queste informazioni devono poi essere comparate con le tariffe del gestore PEC, che solitamente rende disponibile una casella PEC con un costo calcolato su base annuale. Solitamente una volta pagato il canone annuale l'utente può inviare un numero illimitato di messaggi PEC. Va anche calcolato il total cost of ownership del servizio legato alle necessità di storage locale, backup, indicizzazione e retrieval delle ricevute, specie in grandi organizzazioni che generano rilevanti quantità di corrispondenza;
  • Elevati requisiti di qualità e continuità del servizio. I Service Level Agreement (SLA) di legge prevedono una disponibilità del servizio del 99,8% su base quadrimestrale. Gli SLA della disponibilità del servizio PEC non valgono per la connettività. In altri termini, i server del gestore PEC possono essere disponibili nel 99,8% dell'anno, ma la connettività per raggiungerli (offerta da una terza parte) potrebbe avere SLA differenti;
  • Obbligo da parte del gestore di archiviare tutti gli eventi associati ad invii e ricezioni di messaggi PEC, per un periodo di trenta mesi;
  • Obbligo da parte del gestore di applicare le procedure atte a garantire il rispetto delle misure di sicurezza previste dal Codice dei dati personali e la sicurezza della comunicazione.

Svantaggi della PEC

  • La tecnologia PEC, a differenza di altre tecniche di firma digitale e di tracciamento della consegna equivalenti e standard, come RFC 3798, non è riconosciuta come standard internazionale.
  • La data di notifica del file depositato coincide con la data del deposito. Questo potrebbe comportare ossessività a consultare la propria mail certificata o di vedersi notificato un atto che magari si andrà a scaricare dopo molto tempo.
  • Il file depositato sulla casella pec potrebbe essere cancellato o inavvertitamente dallo stesso destinatario o da hacker che, entrando abusivamente nella casella, potrebbero cancellare illegalmente mail certificate non a loro indirizzate comportando gravi danni al destinatario.

Privacy e sicurezza

La conservazione per 30 mesi delle ricevute includono anche l'intero messaggio e suoi eventuali allegati che sono in chiaro cioè né più e né meno come quelli della normale raccomandata, inseriti nella "busta di trasporto" "firmata digitalmente" almeno per tutto il periodo previsto, contrariamente alla raccomandata che viene trattenuta dall'ufficio postale il tempo stabilito dal regolamento postale e poi restituita integra al mittente a compiuta giacenza. Non è stabilito dalla normativa che fine faccia tutta la corrispondenza PEC dopo i trenta mesi. Il gestore PEC è l'unico ad avere le credenziali per aprire "la busta di trasporto" con tutto il suo contenuto. La capienza contrattualizzata delle caselle di posta impone severi limiti alla libera circolazione della corrispondenza. Nella normativa non esiste cenno a cosa accada se la serie di messaggi PEC supera la capienza della casella acquistata, sia dal mittente sia dal ricevente. Tecnicamente, poiché la PEC si basa sulla tecnologia della posta elettronica, se la casella del destinatario è piena riceveremo - in luogo della ricevuta di avvenuta consegna - un messaggio di errore che ci informa, con la relativa diagnostica, dell'impossibilità di consegnare il messaggio.

  • La normativa italiana richiede che una azienda, per diventare gestore del servizio PEC, debba superare una apposita procedura di accreditamento[5]. Il servizio può infatti essere erogato esclusivamente dai gestori accreditati presso il CNIPA, che è l’organo pubblico preposto al controllo della posta elettronica certificata. Un soggetto per diventare gestore PEC deve presentare domanda al CNIPA e rispettare precisi vincoli tecnici e organizzativi. Tra i più stringenti in termini economici è l'articolo 14 del Decreto del Presidente della Repubblica 11 febbraio 2005 n.68, che riporta al punto 3: «I richiedenti l'iscrizione nell'elenco dei gestori di PEC diversi dalle pubbliche amministrazioni devono avere natura giuridica di società di capitali e capitale sociale interamente versato non inferiore a un milione di euro». Questo rende tale ruolo solo alla portata di poche imprese di grosse dimensioni e grossi fatturati, escludendo di fatto dal mercato le piccole imprese di hosting, inducendo potenzialmente una devianza del libero mercato a favore di grosse imprese che in mancanza di concorrenza (né italiana né ovviamente straniera, visto che la PEC non esiste fuori dall'Italia) potrebbero vendere il servizio PEC facendo in futuro una politica dei prezzi da regime di quasi monopolio.

Peraltro si osserva che la responsabilità che grava sul gestore è elevata: un errore nell'identificazione di un soggetto, oppure una "falsa" ricevuta potrebbero cagionare danni gravissimi. Per questo il soggetto gestore deve dimostrare una solidità finanziaria sufficiente a garantire la propria solvibilità in casi di questo genere. Difficilmente un piccolo operatore potrebbe essere affidabile per l'utenza, dato che potrebbe "sparire" dopo aver causato un danno. Sul fronte della concorrenza è da notare che allo stato (Settembre 2009) l'elenco pubblico dei gestori di PEC operativi conta oltre 20 soggetti. Il prezzo di acquisto di una casella PEC ammonta a pochi euro all'anno.

È comunque prevista, come specifica il punto 3.1 della circolare CNIPA/CR/51, la modalità di vendita dei servizi di PEC attraverso canali commerciali, anche avvalendosi del supporto di terzi. In questo caso è necessario che le modalità di vendita siano conformi alle prescrizioni di legge e che il rapporto contrattuale sia sempre posto in essere tra il titolare della casella PEC ed un gestore.

Identificazione informatica e PEC

Per la piena attuazione delle norme in materia di digitalizzazione, alle PA è richiesto l’utilizzo di soluzioni tecnologiche e organizzative che consentano di rendere possibile l’utilizzo sicuro a servizi online di qualità attraverso innovativi strumenti di accesso e di identificazione. Di autenticazione informatica trattano il Codice per la protezione dei dati personali (Dlgs. 196/03, art. 4, comma 3) e il Codice dell'amministrazione digitale (art. 1, comma 1, punto u-ter). In quest’ultimo l’identificazione informatica è formalmente definita come “la validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco a un soggetto, che ne consentono l’individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”. I principali strumenti di identificazione informatica sono elencati dall’art. 64 Codice dell’Amministrazione Digitale, e tra questi vi è la PEC, che il che il CAD considera, in particolari condizioni, come strumento valido per la presentazione di istanze e dichiarazioni alle AMministrazioni. In realtà, questo principio era originariamente presente con riferimento alle caselle di posta del “circuito postacertificat@”. Questo particolare valore della CAC-PAC è strettamente correlato al fatto che il procedimento di rilascio della casella governativa prevede la previa identificazione del titolare (identificazione de visu). La normativa vigente, proprio sulla base dell’avvenuta identificazione, dispone l’equiparazione tra l’invio tramite postacertificat@ e l’apposizione di una firma elettronica. Con riferimento alle PEC commerciali, invece, l’art. 65, comma 1, lett. c-bis) del CAD riconosce la validità di istanze e dichiarazioni presentate attraverso questo vettore qualificato purché le relative credenziali di accesso siano state rilasciate previa identificazione certa del titolare, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato. Il Codice ha demandato ad un apposito decreto il compito di definire le specifiche tecniche di questa particolare tipologia di posta certificata (definita PEC ID) e le procedure per l’identificazione (anche per via telematica) del richiedente.

Regole tecniche

Una descrizione più tecnica e approfondita delle operazioni che vengono svolte all’interno della posta elettronica certificata e finalizzate ad aumentarne la tracciabilità, l’affidabilità e la sicurezza del sistema, è contenuta nella normativa tecnica di riferimento (Decreto Ministeriale 2 novembre 2005[6], “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” e allegato). In modo sommario è comunque possibile individuare alcuni comportamenti specifici della PEC, indicati di seguito. Alla trasmissione di un messaggio PEC partecipano diverse entità:

  • Il mittente, che vuole inviare un messaggio PEC
  • Il destinatario, al quale il mittente vuole recapitare il messaggio PEC
  • Il gestore del mittente, che mantiene un rapporto contrattuale con il mittente per quanto riguarda i servizi PEC
  • Il gestore del destinatario, che mantiene un rapporto contrattuale con il destinatario per quanto riguarda i servizi PEC
  • La rete internet (più in generale la rete di comunicazione)
  • Il messaggio PEC

Si ponga quindi il caso di un invio di messaggio PEC corretto da parte del mittente, il corretto funzionamento dei gestori mittente e destinatario e la corretta consegna del messaggio PEC nella casella del destinatario. In questo caso il processo che guida la trasmissione di un messaggio PEC segue i seguenti passi:

  • Il mittente predispone il messaggio PEC e lo sottopone al gestore mittente. Il gestore mittente riconoscerà il mittente solo dopo la sua autenticazione, ad esempio attraverso l’inserimento di user name e password.
  • Il gestore mittente verifica la correttezza formale del messaggio PEC e, in caso positivo, restituisce al mittente la ricevuta di accettazione come riconoscimento dell’avvenuto invio del messaggio. La ricevuta è firmata digitalmente dal gestore e garantisce l'integrità dell'intero messaggio con i suoi allegati.
  • Il gestore mittente invia il messaggio al gestore destinatario inserendolo in una busta di trasporto firmata per permettere al gestore destinatario di verificarne l’inalterabilità durante il trasporto. La busta, per definizione, contiene il messaggio e i suoi allegati, che quindi sono a loro volta protetti dalla firma del gestore.
  • Il gestore destinatario, una volta ricevuto il messaggio PEC, consegnerà al gestore mittente una ricevuta di presa in carico che attesta il passaggio di consegne tra i due gestori. Il gestore destinatario verifica in fase di ricezione la correttezza del messaggio (anche avuto riguardo all'integrità, grazie alla verifica della firma digitale) e si accerta che non siano presenti virus informatici.
  • Nel caso il messaggio superi i suddetti controlli, viene consegnato alla casella di posta del destinatario che può quindi leggerne il contenuto.
  • Al mittente perviene una ricevuta di avvenuta consegna, che attesta la disponibilità del messaggio presso il destinatario. La ricevuta è ancora una volta firmata digitalmente e attesta l'integrità del contenuto trasmesso (a meno di scegliere intenzionalmente una forma molto leggera di ricevuta).

È importante sottolineare che la posta elettronica certificata offre la garanzia della consegna del messaggio e non della sua lettura da parte del destinatario. In altre parole nulla è detto sul fatto che il destinatario abbia letto o meno il messaggio PEC, ma si hanno garanzie sull’avvenuto recapito. Il che, in termini legali, equivale alla raccomandata con ricevuta di ritorno, ma con in più la prova certa del contenuto.

Riassumendo quindi nel circuito PEC vengono rilasciate tre ricevute ai fini della certificazione del messaggio di posta elettronica certificata:

  • Di accettazione, che attesta l'avvenuto invio della mail dal gestore di posta elettronica certificata del mittente.
  • Di presa in carico, che attesta il passaggio di responsabilità tra due distinti gestori di posta certificata, mittente e destinatario. Questa ricevuta viene scambiata tra i due gestori e non viene percepita dagli utilizzatori del servizio.
  • Di avvenuta consegna, che attesta che il messaggio è giunto a buon fine e che il destinatario ne ha piena disponibilità nella sua casella (anche se non ha ancora ricevuto il messaggio).

In caso di situazione negativa esistono inoltre tre tipi di avvisi rilasciati dal sistema PEC:

  • Di non accettazione (per virus o utilizzo di un mittente falso o utilizzo di destinatari in copia nascosta, vietati dalla PEC, o altri problemi).
  • Di mancata consegna, che sarà inviata al mittente entro 24 ore.
  • Di rilevazione di virus informatici.

Si aggiunge che i messaggi in ingresso al sistema PEC possono essere “imbustati” dal gestore in due differenti tipologie di buste:

  • Di trasporto, se il messaggio proviene da una casella di PEC e supera tutti i controlli di esistenza, provenienza e validità della firma.
  • Di anomalia, se il messaggio proviene da una casella email non-PEC oppure è malformato.

Si aggiunge che i gestori e i domini da loro gestiti, in virtù del quadro normativo di riferimento di seguito descritto, sono tutti censiti all'interno di una apposita struttura. Pertanto viene istituito un sistema di fiducia fondamentale per offrire all'utente tutte le garanzie di sicurezza caratteristiche di questo servizio.

  • Per avere un'idea del volume di traffico, i numeri ufficiali relativi al primo bimestre dell'anno 2009 parlano di circa 300.000 caselle e di 30 milioni di messaggi[7].

Log dei messaggi e loro conservazione

Ogni gestore PEC deve conservare per trenta mesi i log dei messaggi renderli disponibili su richiesta del titolare della casella PEC. Questa direttiva, è stata prevista in sede di redazione e approvazione del DPR 68, 11 febbraio 2005. Nei log sono contenuti tutti gli eventi associati ad invii e ricezioni di messaggi nell'ambito del circuito PEC.

È importante evidenziare che log dei messaggi non significa contenuto dei messaggi stessi, ma solo traccia dell'avvenuta transazione.

Secondo quanto previsto nelle regole tecniche allegate al DM 2 novembre 2005 i campi dovranno contenere almeno informazioni circa:

  • Message-ID, codice identificativo del messaggio originale
  • data dell'evento
  • ora dell'evento
  • mittente
  • destinatario
  • oggetto del messaggio
  • tipo di evento (ad esempio ricevuta di accettazione o avvenuta consegna)
  • Message-ID dei messaggi correlati
  • gestore mittente

Il quadro normativo di riferimento

Obblighi normativi generali in materia di PEC

L’art. 48 del Codice dell’Amministrazione Digitale individua nella Posta certificata lo strumento tipico per la trasmissione telematica delle comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. La stessa norma, inoltre, equipara espressamente l’invio di comunicazioni e documenti attraverso la PEC alla “alla notificazione per mezzo della posta” anche rispetto all’opponibilità ai terzi della data e dell’ora di trasmissione e di ricezione di un documento informatico trasmesso nel rispetto della regolamentazione tecnica in vigore. Questa principio trova applicazione a prescindere dalla natura (pubblica o privata) dei soggetti coinvolti nelle singole transazioni. La Posta Certificata, infatti, oltre che nel dialogo tra la Pubblica Amministrazione e i privati (cittadini, professionisti e imprese), può essere utilizzata anche nei rapporti tra privati o tra amministrazioni pubbliche. Il sistema della PEC si basa sull’obbligo per ampie categorie di soggetti di dotarsi di un indirizzo di Posta certificata e di renderlo pubblico secondo peculiari modalità; in particolare:

  • Pubbliche Amministrazioni: le amministrazioni pubbliche sono obbligate ad istituire almeno una casella di Posta Elettronica Certificata per ciascun registro di protocollo; naturalmente, in virtù della propria organizzativa, ciascun ente può dotarsi di più indirizzi PEC. Ciascun indirizzo PEC deve essere reso noto attraverso la pubblicazione sul sito istituzionale dell’ente nonché (art. 54) sull’Indice delle Pubbliche Amministrazioni (art. 57).

Le amministrazioni sono tenute a verificare, con cadenza semestrale, la correttezza dei dati pubblicati sull’Indice, aggiornando tutte le informazioni non corrette o non più attuali.

  • Professionisti iscritti in albi ed elenchi: i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato devono attivare una casella PEC e comunicarla ai rispettivi ordini o collegi all’atto dell’iscrizione .

La norma – introdotta dal D.L. n. 185/2008 - prevedeva per i professionisti già iscritti, l’obbligo di comunicare il proprio indirizzo PEC entro il 29 novembre 2009.

  • Imprese: per le imprese, l’art. 16, comma 6, del Decreto Legge n. 185/2008 (convertito con Legge n. 2/2009) ha stabilito che: “le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese”; alle imprese già iscritte veniva concesso un termine per l’adeguamento.
  • Cittadini: inizialmente, il Legislatore non ha inteso prevedere alcun obbligo PEC a carico delle persone fisiche, cercando di incentivarla: infatti, ai cittadini che ne facciano richiesta viene fornita gratuitamente una casella del servizio @postacertificata (c.d. “CEC-PAC”) che consente agli stessi di inviare e ricevere comunicazioni unicamente con indirizzi di altre Amministrazioni.

In base alla normativa vigente, le comunicazioni tra Pubbliche Amministrazioni, imprese, professionisti e cittadini muniti di PEC possono essere inviate attraverso la Posta Elettronica Certificata senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l'utilizzo. L’operatività di questa previsione è condizionata alla pubblicità dei recapiti PEC che il legislatore ha provato a garantire:

  • costituendo un “elenco denominato Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC) delle imprese e dei professionisti” (art. 6-bis);
  • prevedendo che il “domicilio digitale” dei cittadini venga inserito nell’Anagrafe Nazionale della Popolazione Residente (art. 3-bis).

Normative tecniche - Standard internazionali di riferimento

La posta elettronica certificata, come indicato nelle regole tecniche allegate al Decreto Ministeriale 2 novembre 2005, si basa su standard internazionali IETF e ISO. In particolare sulle seguenti versioni e integrazioni successive:

  • RFC 1847, Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted
  • RFC 1891, SMTP Service Extension for Delivery Status Notifications
  • RFC 1912, Common DNS Operational and Configuration Errors
  • RFC 2252, Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions
  • RFC 2315, PKCS \ 7: Cryptographic Message Syntax Version 1.5
  • RFC 2633, S/MIME Version 3 Message Specification
  • RFC 2660, The Secure HyperText Transfer Protocol
  • RFC 2821, Simple Mail Transfer Protocol
  • RFC 2822, Internet Message Format
  • RFC 2849, The LDAP Data Interchange Format (LDIF) - Technical Specification
  • RFC 3174, US Secure Hash Algorithm 1 - SHA1
  • RFC 3207, SMTP Service Extension for Secure SMTP over Transport Layer Security
  • RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List - CRL Profile

Legislazione italiana

Il quadro normativo di riferimento relativo alla Posta Elettronica Certificata è il seguente:

  • Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, “Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3.” (G.U. 28 aprile 2005, n. 97)[8]
  • Decreto Ministeriale 2 novembre 2005, “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata” (G.U. del 15 novembre 2005, n. 266)[6]
  • Circolare CNIPA CR/49 24 novembre 2005, “Modalità per la presentazione delle domande di iscrizione all’elenco pubblico dei gestori di posta elettronica certificata” (G.U. 5 dicembre 2005, n. 283)[9]
  • Circolare 7 dicembre 2006, n. 51, “Espletamento della vigilanza e del controllo sulle attività esercitate dagli iscritti nell'elenco dei gestori di posta elettronica certificata (PEC), di cui all'articolo 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3».”[10]
  • Legge 28 gennaio 2009, n. 2 (G.U. 28 gennaio 2009, n. 22, supplemento ordinario 14/L)[11]
  • Decreto del Presidente del Consiglio dei ministri del 6 maggio 2009.[12]

Legge 28 gennaio 2009 n. 2

Tra i contenuti della legge 2/2009 vengono indicate direttive che riguardano:

  • le imprese costituite in forma societaria, che devono indicare nella domanda di iscrizione al registro delle imprese il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali. Per quelle già esistenti, la medesima comunicazione deve avvenire entro tre anni.
  • i professionisti iscritti in albi, che devono comunicare ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta elettronica come previsto al punto precedente entro un anno. È poi cura degli ordini la pubblicazione in un elenco riservato, consultabile in via telematica esclusivamente dalle pubbliche amministrazioni, i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.
  • le amministrazioni pubbliche, che qualora non avessero già provveduto alla comunicazione di una casella PEC secondo quanto previsto dal Codice dell'amministrazione digitale, dovranno istituire una casella di posta certificata o analogo indirizzo di posta elettronica come previsto al punto precedente per ciascun registro di protocollo.
  • ulteriori direttive importanti riguardano le comunicazioni tra i soggetti poc'anzi descritti. In particolare si legge che queste ultime «possono essere inviate attraverso la posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6, senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l'utilizzo».
  • infine, vengono citati anche i cittadini, che a mediante opportuna richiesta potranno ottenere una casella di PEC «con effetto equivalente alla notificazione per mezzo della posta. Le comunicazioni che transitano per la predetta casella di posta elettronica certificata sono senza oneri». Tuttavia le modalità di rilascio e di uso della casella di posta elettronica certificata saranno note entro novanta giorni dalla data di entrata in vigore della legge.

Il decreto 6 maggio 2009

[13] DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 6 maggio 2009 - Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini.

In tale decreto il Consiglio dei ministri definisce le modalità di rilascio della casella di posta elettronica certificata. Tra gli aspetti salienti, viene enunciata la gratuità della stessa qualora questa sia richiesta al Dipartimento per l'innovazione e le tecnologie.[14]

L'INPS e l'Automobile Club d'Italia, a seguito di un protocollo sottoscritto con il ministro senza portafoglio per la Pubblica Amministrazione e l'Innovazione, ha concesso una casella di posta elettronica certificata gratuitamente.[15][16] Poste Italiane gestisce invece il servizio "CEC-PAC" ufficiale del Governo italiano, conosciuto anche col nome di "PostaCertificat@" e disponibile sul sito http://postacertificata.gov.it. Si tratta sì di una casella di Posta Elettronica Certificata gratuita, ma con alcune limitazioni d'uso[17]: una CEC-PAC (Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino), infatti, non consente l'invio o la ricezione di posta se non con caselle PEC della Pubblica Amministrazione. Viene esclusa quindi la possibilità di comunicazioni fra privati o professionisti o imprese.

Il decreto Legge 18/10/2012, n. 179

Novità riguardanti la PEC sono contenute nel Decreto Legge 18/10/2012, n. 179, già pubblicato nella Gazzetta Ufficiale in data 19/10/12, "Ulteriori misure urgenti per la crescita del Paese", relativamente alle ditte individuali iscritte o da iscrivere al Registro Imprese. Il decreto, cosi come già previsto per le imprese in forma societaria, associazioni, liberi professionisti, ecc. ecc., estende anche alle ditte individuali l'obbligo di deposito dell'indirizzo PEC presso il Registro Imprese, infatti a partire dal 20/10/12 tale obbligo sarà valido per tutte le nuove iscrizioni al registro imprese. L’obbligo di cui all’articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, come modificato dall’articolo 37 del decreto-legge 9 febbraio 2012, n. 5, convertito con modificazioni dalla legge 4 aprile 2012, n. 35, è esteso alle imprese individuali che si iscrivono al registro delle imprese o all’albo delle imprese artigiane successivamente alla data di entrata in vigore del presente decreto. Per quanto riguarda le imprese individuali che già sono iscritte al Registro Imprese, l'obbligo di deposito scatterà a partire dal 31/12/2013. Le imprese individuali attive e non soggette a procedura concorsuale, sono tenute a depositare, presso l’ufficio del registro delle imprese competente, il proprio indirizzo di posta elettronica certificata entro il 31 dicembre 2013. L'ufficio del registro delle imprese che riceve una domanda di iscrizione da parte di un’impresa individuale che non ha iscritto il proprio indirizzo di posta elettronica certificata, in luogo dell'irrogazione della sanzione prevista dall'articolo 2630 del codice civile, sospende la domanda per tre mesi, in attesa che essa sia integrata con l'indirizzo di posta elettronica certificata. L’art. 5, comma 2, della Legge n. 221 del 17/12/2012 ha modificato il termine entro il quale tutte le imprese individuali sono tenute a depositare al Registro Imprese il proprio indirizzo di Posta Elettronica Certificata (PEC) anticipando la scadenza dell’adempimento al 30 giugno 2013 (termine originariamente fissato dal D.L. n. 179/2012 al 31/12/2013). Lo stesso articolo ha variato anche i termini di sospensione delle domande di iscrizione di imprenditori individuali presentate all’Ufficio Registro Imprese senza indicazione dell’indirizzo di PEC riducendoli a 45 giorni (periodo originariamente fissato dal D.L. n. 179/2012 in 90 giorni) trascorsi i quali "la domanda si intende non presentata".

Proposta di standardizzazione

Nell'aprile 2009 Francesco Gennai, Alba Shahin (ISTI-CNR), Claudio Petrucci e Alessandro Vinciarelli (CNIPA) hanno redatto l'Internet RFC 6109 con l'intento di rendere accessibili alla comunità Internet l'architettura e i protocolli PEC.

Note

  1. Criptare i dati per proteggersi di più,Nòva IlSole24Ore,12 novembre 2009
  2. CNIPA - Sezione PEC
  3. Test d'interoperabilità
  4. I vantaggi offerti dalla PEC, Dipartimento Funzione Pubblica, 5 febbraio 2009
  5. Le modalità di accreditamento nell'elenco pubblico di Gestori di PEC, CNIPA, 24 novembre 2005
  6. 6,0 6,1 Decreto Ministeriale 2 novembre 2005 - “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”.
  7. Sintesi dei dati bimestrali, CNIPA, ultimo accesso 5 gennaio 2009, questo documento viene aggiornato ogni bimestre
  8. Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68 - “Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3.” (G.U. 28 aprile 2005, n. 97).
  9. Circolare CNIPA CR/49 24 novembre 2005 - “Modalità per la presentazione delle domande di iscrizione all’elenco pubblico dei gestori di posta elettronica certificata” (G.U. 5 dicembre 2005, n. 283)
  10. Circolare 7 dicembre 2006, n. 51 - “Espletamento della vigilanza e del controllo sulle attività esercitate dagli iscritti nell'elenco dei gestori di posta elettronica certificata (PEC), di cui all'articolo 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3».”
  11. Legge 28 gennaio 2009, n. 2, art. 16, commi: 6, 7, 9, 10
  12. Pubblicato nella Gazzetta Ufficiale del 25 maggio 2009, n. 119.
  13. DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 6 maggio 2009
  14. Art. 2 del citato decreto.
  15. Posta Elettronica Certificata gratuita per 3 milioni di italiani
  16. Automobile Club d'Italia: Come richiedere la PEC
  17. Posta Elettronica Certificata Gratis?

Voci correlate

Collegamenti esterni

Fonti

Note