6835 Letture

PEC: le scadenze e l'annoso problema dell'interoperabilità

Le acque attorno alla "posta elettronica cerificata" (PEC) italiana sembrano ancora molto agitate: il puzzle è infatti ancora per lungi dall'essere completato. Le nubi si erano fatte meno dense nei giorni scorsi quando il Ministero, dapprima col Decreto Semplificazioni (DL 5/2012) e poi con una circolare chiarificatrice, ha stabilito un'ulteriore proroga per l'adozione di un indirizzo PEC da parte delle imprese. Tutte le aziende costituite in forma societaria avranno quindi tempo sino al prossimo 30 giugno per mettersi in regola; la precedente data limite era fissata per il 29 novembre 2011 ma una serie di problemi incontrati dai gestori PEC - che hanno lamentato gravi difficoltà nel far fronte all'imponente numero di richieste di attivazione giunte a ridosso della scadenza - aveva indotto il Ministero dello Sviluppo Economico a non irrogare alcuna sanzione ai ritardatari.

L'altra novità che ha voluto più volte sottolineare Massimo Penco, Presidente dell'associazione "Cittadini di Internet", è che d'ora in poi è ammessa la comunicazione dell'indirizzo PEC del commercialista di riferimento. In questo modo, la società non dovrà necessariamente attivare in proprio un indirizzo PEC ma potrà inoltrare alla camera di commercio di zona l'indirizzo PEC del consulente di riferimento, esattamente come accade per l'elezione del domicilio fiscale presso lo studio di un commercialista.

Permangono però, ad oggi, numerosi punti oscuri. Nella normativa che ha dato il "via libera" alla PEC si fa riferimento anche ad un aspetto importante che consiste nel "garantire l'interoperabilità del sistema di posta elettronica certificata con analoghi sistemi internazionali". La PEC "nostrana", considerata un caso unico a livello mondiale, non è ancora compatibile con gli standard riconosciuti da tutti i Paesi. E' il caso di S/MIME che, secondo Penco, sarebbe la ricetta per colmare le lacune della PEC italiana: "il funzionamento della PEC è quello di una raccomandata: viene infatti timbrata tramite firma digitale una busta denominata "busta di trasporto" ma non il documento contenuto nella stessa. L'operazione è, né più né meno, la stessa che effettua l'ufficio postale con la busta di una raccomandata. Nessuno" - continua l'esperto - "non potendo “aprire” la busta nel suo percorso elettronico, pena l’invalidazione della stessa busta+contenuto può sostenere cosa ci sia dentro che è conosciuto dal mittente al momento “dell’imbustamento elettronico” e dal ricevente al momento dell’apertura. Mi pare quindi evidente che si tratta di un gioco a scatola chiusa dove da una parte si potrà sostenere di aver inviato una cosa e dall’altra di averne ricevuta un'altra". Il problema della certificazione del contenuto, aggiunge Penco, è invece brillantemente - e da molti anni - superato con l'uso del protocollo S/MIME (del quale abbiamo parlato in questo articolo ed in numerosi approfondimenti).


Il punto più dolente è che la PEC "made in Italy" resta incompatibile con altri sistemi di comunicazioni internazionali simili nonostante ormai siano passati oltre due anni e il Ministero avesse fissato in sei mesi il termine ultime per adeguare il meccanismo italiano agli standard usati fuori dai nostri confini.


Penco sposta l'accento anche sul tema della sicurezza parlando dei possibili rischi che sarebbero insiti nella gestione di un vastissimo numero di caselle di posta PEC presso un ristretto numero di fornitori. Secondo l'ingegnere italiano, i criminali informatici potrebbero trovarsi di fronte "una fonte di reperimento e-mail unica al mondo, in quanto “certificata” e quindi corrispondente a un titolare che è sicuramente un ente o una persona ben determinata". E parla dei possibili rischi di profilazione degli individui, e dell'ipotesi che i furti d'identità - proprio grazie alle informazioni reperite illecitamente - possano diventare più semplici da porre in essere e molto più efficaci.

  1. Avatar
    Massimo Penco
    12/03/2012 11:41:56
    Tirato in ballo come si dice, commento i post relativi alla PEC / Smime: Sono assolutamente d'accordo con stàingruppo non è disonorevole fare come fanno nel resto del mondo ma va a ledere l'interesse personale di coloro che mantengono in piedi una struttura inutile basata e tenuta in piedi da questo groviglio di leggi, regolamenti, disposizioni di cui sembrano essere gli unici interpreti ed esperti nella materia come avrai occasione di leggere sia su queste pagine che nel sito di Cittadini di Internet. A Roberto Felter rispondo brevemente, l'argomento è assolutamente d'interesse di tutti a breve avrà più ampia trattazione su queste pagine, come segue: 1) Sul fatto che "i certificati S-MIME possono sostituire la PEC" Non è vero che non ho/abbiamo argomentazioni sono anni che argomentiamo su questo e continuiamo a farlo, fino a far aggiungere un dispositivo di legge che intima al legislatore di adeguare la PEC agli analoghi sistemi internazionali di posta elettronica, argomento fra l'altro dibatuto proprio in questi giorni di cui leggerai ma ne trovi abbondante letteratura sul di Cittadini di Internet. Io personalmente ho scritto un intero libro in materia dove troverai tutte le risposte tecniche e di standard internazionale che sollevi che dimostrano ampiamente quanto sostenuto. 2) Sul commercialista se leggi attentamente è chiaro che la domiciliazione come fatto dal 99% delle piccole aziende Italiane è fatta presso lo studio del commercialista cioè il lougo dove vengono conservati i registri contabili ed è proprio a quelle che il saggio provvedimento del Ministero dello sviluppo si riferisce a cui stiamo tentando di aggiungere alcune tipologie di professionisti è ben difficile che una piccola e media impresa paghi il commercialista solo per consulenze e non per tenuta di tutta la contabilità, non esiste nessun contratto di domiciliazione ma solo l'indicazione agli uffici competenti del fatto. Sulle tue affermazioni che tirano fuori l'art. 616 c.p. ci sarebbe da scrivere un trattato ma se ci pensi riguardano anche il provider dei servizi PEC, quello ti obbligano a sceglierlo tra la loro lista non è certo come il commercialista che lo scegli tu ! 3) La PEC non funziona con l's-mime gli manca la s che se ci fosse tutto questo argomentare sarebbe inutile il fatto poi che a me personalmente faccia comodo od alla associazione che rappresento direi che sei sulla pista sbagliata quello che stiamo tentando di fare e di dare un contributo su di una materia che se applicata male non può far altro che lasciare un lunghissimo strascico di problematiche a tutti. In finale qui non c'è nessuno che cavalca l'onda delle lamentele che comunque se ci sono avranno pure una ragione d'esserci. Si sta discutendo di un servizio: imposto per legge all'intera popolazione di uno stato come leggerai se non lo hai ancora fatto nei leggiferandi provvedimenti sulla sic ! semplificazione in corso di approvazione con sanzioni applicate solo a senso unico cioè nei confronti di Professionisti ed Imprese e non nei confronti della PA con la quale si dovrebbe usare la PEC/CEC/PAC. Obbligo questo non imposto da nessun paese al mondo. L'informatica e l'informatizzazione se usata in modo sbagliato ha effetti negativi e costi astronomici, tanto che sarebbe meglio astenersi da usarla.
  2. Avatar
    Roberto Felter
    11/03/2012 17:24:27
    A tutti quelli che continuano da anni a dire che i certificati S-MIME possono sostituire la PEC, continuo a fare la stessa domanda, a cui si guardano bene dal rispondere dato che la risposta non l'hanno. Come può un certificato S-MIME certificare al mittente l'avvenuta ricezione della mail da parte del destinatario? cosa usa il mittente per dimostrare di aver consegnato il documento e quando? E' vero che i certificati S-MIME garantiscono la proprietà e l'immodificabilità del documento, tanto è che il certificatore PEC li usa per garantire quanto lui trasporta e consegna. Ma la PEC fa altro, cioè certifica la spedizione e la consegna del documento e la relativa data. Come ottieni tutto questo da un certificato S-MIME? La dimostrazione della illogicità di certe affermazioni sta nella contraddittorietà delle stesse da una riga all'altra. Prima si dice che uno dei problemi della PEC è che non certifica il contenuto e poi si dice che può essere sostituita da un certificato S-MIME che lo certifica. Se uno non lo fa e l'altro si, ovviamente, non possono essere la stessa cosa. La legge parla di "equivalente" che ha un significato chiaro. Ma il problema, appunto, è che anche il certificato S-MIME non fa cose che invece la PEC fa. Allora? come la mettiamo? Semplice: uno non può sostituire l'altro. Inoltre vorrei evidenziare, a salvaguardia delle aziende che si fidano delle interpretazioni delle associazioni "contro a priori" perchè gli fa comodo e poi rischiano di prendere multe e non essere a norma, che l'affermazione "... d'ora in poi è ammessa la comunicazione dell'indirizzo PEC del commercialista di riferimento" è valida solo se con il commercialista di riferimento è stato stipulato un contratto di domiciliazione dell'azienda. Questo è stato chiaramente ribadito dalle circolari di chiarimento delle Camere di Commercio che dicono (riporto quanto scritto sulla circolare della Camera di Commercio di Brescia): "Indicazione di casella p.e.c. appartenente a soggetto diverso dalla società. Giuridicamente è ipotizzabile la possibilità di comunicare la casella p.e.c. di un soggetto terzo (ad esempio, professionista). Tale circostanza, peraltro, presuppone l’esistenza di un contratto di domiciliazione e/o delega tra la società e il terzo che preveda la domiciliazione della prima presso il secondo. Ovviamente il terzo resta responsabile di ogni conseguenza dannosa in capo alla società se la casella p.e.c. non viene correttamente presidiata. In assenza di contratto di domiciliazione per il terzo potrebbe, inoltre, configurarsi il reato di violazione, sottrazione e soppressione di corrispondenza ai sensi dell’art. 616 c.p.." Non basta comunicare la PEC che fa più comodo. Certo è facile cavalcare l'onda delle lamentele, tanto poi le multe le prendono le aziende, non le associazioni che sparano affermazioni che, nella migliore delle ipotesi, sono frutto di propri "adattamenti" della legge a quanto fa più comodo.
  3. Avatar
    abcinfo
    06/03/2012 18:05:07
    Buongiorno, ci tenevo a precisare una cosa, che a mio parere solo nel nostro stato ci si complica la vita inutilmente; secondo le seguenti leggi: "Art. 10 (R) Forma ed efficacia del documento informatico 1. Il documento informatico ha l'efficacia probatoria prevista dall'articolo 2712 del codice civile, riguardo ai fatti ed alle cose rappresentate. 2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio il documento stesso è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza. Esso inoltre soddisfa l'obbligo previsto dagli articoli 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare. 3. Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l'ha sottoscritto. 4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso non può essere negata rilevanza giuridica né ammissibilità come mezzo di prova unicamente a causa del fatto che è sottoscritto in forma elettronica ovvero in quanto la firma non è basata su di un certificato qualificato oppure non è basata su di un certificato qualificato rilasciato da un certificatore accreditato o, infine, perché la firma non è stata apposta avvalendosi di un dispositivo per la creazione di una firma sicura. 5. Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su di un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea. ACQUISIZIONE DIRETTA DI DOCUMENTI Art. 43 (L-R) Accertamenti d'ufficio 6. I documenti trasmessi da chiunque ad una pubblica amministrazione tramite fax, o con altro mezzo telematico o informatico idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. (R) Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10." QUINDI QUESTI SITI, ANCHE SE NON ITALIANI, ad esempio, https://secure.echosign.com/public/home e https://rightsignature.com/session/new#/document/?guid=79MIHUIFWJ2GUA7E59GDRK quindi hanno valore legale essendo utilizzati ormai da anni in tutto il mondo non avendo il problema della "busta chiusa" in quanto sono contratti veri e propri, ma per qualsiasi tipo di comunicazione, quindi anche con le P.A. in quanto si potrebbero utilizzare anche qui in Italia con delle normali e-mail: chiunque si registri in questi siti puo avere GRATUITAMENTE una firma legale, depositando la propria e-mail, e anche scrivendo su un foglio di carta la propria firma e scansionandola in jpg o altri formati grafici e caricarla nel proprio account, carica il documento (word , pdf etc) e non deve fare altro che inviarlo al destinatario come una normale email quindi anche a piu destinatari in CC (copia conoscenza) i quali apporranno la loro firma e resterà la documentazione con codice identificativo, data, nome e cognome, ed email, quindi meglio di un fax e una raccomandata A.R. Purtroppo il nostro stato nell'era digitale è ancora insabbiato col cartaceo per ovvi motivi di denaro, con marche da bollo da 15 euro ogni 4 fogli come avviene per i ricorsi ad esempio per le cartelle di pagamenti di bolli chiaramente spediti per sbaglio (ma non per sbaglio....) perchè facilmente si capisce che sono ogni volta delle vere e proprie manovre finanziarie per chi fa i ricorsi e per chi preferisce lo stesso semplicemente pagare due volte i bolli di automobili magari demolite da decenni come sono arrivate a me da pagare in varie occasioni da decenni.... quindi lo stato ha tutti gli interessi a rallentare lo sviluppo digitale nelle P.A.
  4. Avatar
    stàingruppo
    06/03/2012 17:31:42
    Ancora una volta siamo alle solite ! Mi chiedo se è così disonorevole fare come hanno fatto i paesi più progrediti di noi. Non dobbiamo inventare nulla ! Dobbiamo solo uniformarci con chi ha risolto il problema.
PEC: le scadenze e l'annoso problema dell'interoperabilità - IlSoftware.it