Crittare i dati per tutelarsi di più

di Andrea Monti – Nòva IlSole24Ore del 12 novembre 2009 1

L’avvicinarsi della data in cui la posta elettronica certificata (PEC) diventa obbligatoria per aziende e professionisti pone con sempre maggiore urgenza la necessità di rispondere a domande che, da tempo, sono rimaste senza risposta.

Da un lato infatti, come anche per la firma digitale, il quadro normativo è tutt’altro che coerente e dall’altro anche nell’utenza dubbi e incertezze sul funzionamento del meccanismo non aiutano a migliorare la situazione.

Partiamo dal “valore” di un messaggio PEC. Al contrario di quanto si pensa comunemente, la PEC fa solo fede sulla data di invio e ricezione di un messaggio, ma – giuridicamente – non ne attribuisce  il contenuto al suo autore. Per questo secondo risultato è necessario applicare al messaggio una firma elettronica qualificata.

Tutto questo, però, non risolve il problema della confidenzialità del messaggio.

Sia la “busta elettronica” (la componente PEC del messaggio) sia il contenuto firmato elettronicamente (cioè il messaggio vero e proprio), infatti,  sono custoditi “in chiaro”. Non sono – in altri termini – cifrati e somigliano molto più a una cartolina postale che a una lettera raccomandata.

Dunque, chi volesse garantirsi anche la riservatezza delle comunicazioni dovrà ricorrere a software crittografici, come i due noti prodotti open source GPG e TrueCrypt. A questo proposito, detto per inciso, sarebbe interessante conoscere il parere degli ordini professionali (e in particolare di quello di medici e avvocati) i cui iscritti sono costretti a lasciare la propria corrispondenza elettronica con valore legale e relativa a dati spesso sensibilissimi, su server di terze parti senza che, obbligatoriamente, questi dati siano protetti dalla cognizione abusiva.

Per usare la PEC con un minimo di sicurezza, dunque, un soggetto dovrebbe servirsi contemporaneamente di almeno tre applicazioni (client PEC, client per la firma elettronica, applicazione crittografica) e sperare che il proprio corrispondente faccia lo stesso.

L’assenza di una decisione a monte da parte del CNIPA sul punto, rischia di generare una vera e propria babele o – al contrario – una sostanziale esposizione a rischio dei dati personali di milioni di persone.

A valle di tutto questo, non va trascurata la componente economica per quanto riguarda i costi indiretti che non necessariamente bilanciano le economie rappresentate dalla “paperless-mail”. Già una volta, negli anni Ottanta, il marketing IT cercò di convincere il mondo che della carta si poteva fare a meno. Con buona pace degli alfieri del “paperless-office”, ora più che mai il mondo è sommerso dalla carta, e le cose non cambieranno significativamente con la PEC.

I messaggi – specie nella pubblica amministrazione – continueranno a essere stampati “a scanso di equivoci”; e se anche la carta venisse messa fuori gioco, non risultano stime concrete del costo (anche in termini ambientali) dello storage necessario per memorizzare l’enorme quantità di dati generati dalla PEC.

Infine, una considerazione di ordine pratico: oggi possiamo leggere senza problemi documenti vecchi di secoli – in alcuni casi di millenni – con il solo aiuto dei nostri sensi. Potremo dire lo stesso, fra cent’anni?

  1. le parti indentate sono state rimosse dalla versione cartacea per ragioni di spazio

Possibly Related Posts: