Una PEC senza identità

di Andrea Monti – Nòva IlSole24ore del 3 dicembre 2009

E’ scattato da pochi giorni l’obbligo per i professionisti di dotarsi di una casella di posta elettronica certificata. Ma ancora non si sono dissipati i dubbi sui problemi e i rischi connessi alla PEC.

Carenza di identificazione: non esiste – come nella firma digitale – l’obbligo di identificare con certezza il richiedente di PEC, e infatti ci sono diversi metodi per ottenerne una. Alcuni fanno firmare un documento cartaceo. Altri dematerializzano il processo, affidando l’identificazione del contraente alla richiesta di una mailbox non PEC, allo strumento di pagamento (carta di credito) e all’invio tramite fax del documento di identità. In astratto questo non sembra sufficiente a scongiurare furti di identità. E’ un’ipotesi ovviamente patologica ma possibile, e che sarebbe stata scongiurata semplicemente obbligando all’uso della firma digitale.

Scopo limitato: la PEC serve solo per attestare data di invio e ricezione di un messaggio.

Validità del messaggio: la PEC valida la “busta”, la firma digitale del mittente il “foglio” contenuto all’interno (è vero che la la ricevuta torna con la firma digitale del gestore, ma se manca quella del mittente, il documento non è attribuibile giuridicamente a quest’ultimo).

Valore probatorio: chi dichiara di non avere ricevuto il messaggio quando l’altra parte (mittente) esibisce la ricevuta di consegna, non può limitarsi a “fare catenaccio” negando la circostanza. D’altra parte, sarebbe possibile – anche se non necessaria – una verifica presso il gestore del servizio che è tenuto a conservare la ricevuta in questione.

Niente compiuta giacenza: una PEC è ricevuta quando arriva nella casella di posta del gestore del servizio, non quando viene letta dal destinatario.

Sicurezza: la PEC gira in rete con protocolli sicuri, ma è memorizzata sui server dei gestori senza alcuna protezione crittografica. L’utente che vuole proteggere la propria riservatezza deve dotarsi di un software di cifratur (l’Assocertificatori fa notare in proposito, però, che i gestori hanno comunque una responsabilità sulla sicurezza dei dati e sono soggetti alla vigilanza CNIPA ndr.

Standard non riconosciuto: la PEC non è standard a livello internazionale (anche se usa protocolli che lo sono).

Total cost of ownership: per grandi volumi, andrebbe calcolato il costo dello storage e delle altre misure di sicurezza per evitare perdite di dati. 1

“Denial-of-service” per la PA: con la PEC si possono inviare pressoché contemporaneamente un numero molto rilevante di richieste che implicano l’apertura di altrettanti procedimenti amministrativi. Questi saranno tutti assoggettati allo stesso termine di legge per la loro conclusione e in assenza di una efficiente organizzazione di “backoffice” 2 il rischio è la paralisi.

Proliferazione e caos: se, come pare, i cittadini potranno parlare con la PA solo usando la PEC attribuita dallo specifico ente, il grado di confusione per i cittadini potrebbe essere ingestibile.

  1. specie dopo che i gestori hanno cancellato le loro copie.
  2. come avverrebbe ad esempio senza l’integrazione fra PEC e protocollo informatico

Possibly Related Posts: