Posta elettronica certificata, completato il quadro normativo

di Andrea Monti – PC Professionale n. 179

La PEC è a pagamento e prevede l’obbligo di utilizzo dei server di posta dei gestori accreditati e del loro dominio di mailbox.

Il 24 novembre scorso il Centro Nazionale per l’informatica nella Pubblica Amministrazione ha emanato la circolare CNIPA/CR/49 che consente di applicare la disciplina della posta elettronica certificata PEC – (istituita con il DPR n.68/2005 e regolata – per gli aspetti tecnici – dal DPCM 2/11/2005). La PEC è, o dovrebbe essere, un sistema di gestione della posta elettronica che, a differenza di quella “normale”, garantirebbe una serie di certezze (fra cui la data di spedizione e la data di consegna) e per di più con un valore legale analogo a quello della posta fisica, quella consegnata dal postino, per intenderci.

Il sistema di posta certificata si basa su un limitato gruppo di società accreditate dal CNIPA le quali gestiscono infrastrutture e mailbox secondo standard che – almeno sulla carta – dovrebbero garantire elevati livelli di sicurezza sia per quanto riguarda disponibilità e continuità del servizio, sia per quanto riguarda la sicurezza delle transazioni. Dal punto di vista tecnico, il processo di invio/ricezione della PEC prevede che mittente e destinatario impieghino esclusivamente i server di posta dei rispettivi gestori che, sempre in teoria, dovrebbero essere interoperabili. La posta si considera “spedita” quando arriva sui server del gestore del mittente, e “consegnata” quando viene depositata nella mailbox del destinatario, a differenza della raccomandata cartacea, che è “consegnata” quando è fisicamente nelle mani di un destinatario legittimato a riceverla.

Questo significa – ed è uno dei primi punti di debolezza concettuale del “giocattolo” – che se uno dei due è privo di mailbox PEC, la transazione non ha il valore giuridico previsto dalla legge ma “retrocede” a quello di una normale. Bisogna inoltre considerare che, attualmente, è possibile ottenere con relativa facilità e a pagamento una mailbox PEC soltanto sul dominio del certificatore (es.: pcprofessionale@PECprovider.it).

Per una precisa scelta commerciale, infatti, a meno di non acquistare un certo numero di mailbox, i domini aziendali o professionali non possono essere utilizzati per la posta elettronica certificata. In ogni caso – se si decidesse di optare per la “personalizzazione” del dominio di posta certificata – bisognerebbe chiedere al provider PEC di gestire esclusivamente la posta tramite un dominio di terzo livello creato appositamente (es.: cert.pcprofessionale.it). Così facendo sarà possibile spedire a pagamento, solo la posta alla quale si vuole conferire il valore di raccomandata, evitando nel contempo di sopportare costi inutili. Considerando, infatti, che l’invio di PEC è a pagamento, sarebbe un controsenso far transitare tutta la posta aziendale – anche quella che non è necessario “certificare” – sui server del gestore.

Si tenga inoltre presente che la PEC viaggia, di default, in chiaro. In altri termini, il fatto che sia “certificata” non significa che sia anche “cifrata”. Ne consegue che – come peraltro accade con la comune e-mail – il messaggio PEC può essere quantomeno letto “in transito”. È vero che esiste un divieto generale di violazione della corrispondenza e che, nello specifico, al provider PEC è vietato “entrare nel merito” dei contenuti della comunicazione. Sta di fatto, però, che il divieto di lettura è solo normativo e non tecnologico e quindi chi usa la PEC non ha una concreta aspettativa di riservatezza in rapporto a situazioni che mittente e destinatario dovrebbero (o vorrebbero) mantenere riservate, basta pensare all’invio di bandi di gara, di contratti, proposte di acquisto e vendita, risultati di analisi cliniche. È vero che si può sempre cifrare lato client la propria corrispondenza; ma è bene – come invece sembra che non stia accadendo – che gli utenti siano effettivamente informati delle limitazioni e delle controindicazioni nell’uso del servizio.

Se le problematiche lato utente non mancano, quelle accennate sono solo un piccolo esempio, anche dalla prospettiva dei gestori PEC la situazione non è tranquillizzante. La normativa ha imposto che il provider PEC debba essere una società con un capitale sociale non inferiore a l milione di Euro, tagliando fuori la stragrande maggioranza degli ISP italiani che pure aveva partecipato attivamente alla sperimentazione dell’infrastruttura. Sul sito del CNIPA non c’è più traccia di questa circostanza, ma l’elenco è ancora disponibile in un messaggio pubblicato sulla lista della Naming Authority italiana all’indirizzo http://listserv.nic.it/cgi-bin/wa?A2=ind0501&L=ITA-PE&P=R2464.

Come hanno rilevato Aiip e Assoprovider (le due associazioni di categoria che raggruppano gli ISP italiani) una scelta del genere è del tutto incomprensibile dal punto di vista tecnico. Un conto è imporre degli obblighi di sicurezza e di disponibilità dei servizi come condizione per diventare provider PEC. Un altro è stabilire che la “disponibilità economica” sia un elemento essenziale per essere accreditati come gestori. Il risultato è che i servizi PEC (come anche quelli di firma digitale) sono offerti sostanzialmente in regime di oligopolio, senza l’effetto benefico della concorrenza sulla determinazione dei prezzi e sulla effettiva qualità del servizio.

Possibly Related Posts: