88563 Letture

Posta elettronica certificata e certificati s/mime: differenze e funzionamento

La "posta elettronica certificata", meglio conosciuta con l'acronimo PEC, è uno strumento il cui obiettivo è quello di parificare il valore di una e-mail a quello di una raccomandata cartacea con ricevuta di ritorno. Il decreto legge "anticrisi" 185/2008 sembrava ormai aver sancito l'obbligatorietà dell'adozione di una casella PEC da parte di iscritti ad Albi, professionisti ed imprese. In particolare, l'articolo 16 del decreto stabiliva l'obbligo per le imprese di comunicare il proprio indirizzo PEC nella domanda di iscrizione al registro oppure entro un periodo di tempo massimo pari a tre anni, dalla data di entrata in vigore della normativa, per le società già iscritte. I professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato avrebbero invece dovuto comunicare il proprio indirizzo PEC ai rispettivi ordini o collegi entro un anno dalla data di entrata in vigore del decreto legge.
In sede di conversione del decreto legge, sono state da poco apportate numerose modifiche alla versione iniziale dello stesso. Nella sostanza, l'intervento sembra aver rimosso l'obbligatorietà della PEC che è uno standard di matrice italiana. L'impresa od il professionista possono servirsi sì di un indirizzo di posta elettronica certificata (PEC) ma anche, in alternativa, di "un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali". La modifica applicata alla normativa sembra quindi configurarsi come un'apertura verso l'impiego, in sostituzione della PEC, di tecniche di firma digitale e di tracciamento della consegna equivalenti e gratuite, già disponibili ed utilizzabili mediante l'uso di account di posta di tipo tradizionale ormai da diversi anni.

Vediamo più da vicino in che cosa consiste la PEC e quali soluzione alternative possano essere utilizzate, anche per certificare il contenuto dei messaggi inviati.

La PEC


Come anticipato, la PEC è stata ideata con l'intento di attribuire al messaggio di posta elettronica lo stesso valore di una raccomandata con ricevuta di ritorno di tipo tradizionale. Tra l'altro, è ormai cosa nota che la raccomandata A/R non possa essere la soluzione definitiva per le problematiche legate alla certezza della ricezione, al non ripudio della stessa, all'attestazione certa dei contenuti della comunicazione nonché alla possibilità di stabilire data ed ora di consegna.
Poiché la raccomandata e/o la ricevuta di ritorno stessa possono perdersi non ci può mai essere la certezza assoluta della ricezione. Proprio per questo motivo il destinatario potrebbe affermare il falso dichiarando di non aver ricevuto alcunché. Per non parlare dei contenuti della comunicazione che non vengono “certificati” in alcun modo: basti pensare al caso in cui venga spedita una busta vuota. A parziale risoluzione del problema si usano talvolta fogli contenenti il messaggio e ripiegati a mo' di busta in modo tale che l'ufficio postale vi apponga il timbro con il datario. Questo genere di approccio, tuttavia, non impedisce che all'interno del primo “foglio-busta” possano essere inseriti altri fogli, questi – ovviamente – sprovvisti del timbro postale. Infine, l'ora di ricevimento di una raccomandata di tipo tradizionale non è garantita. Nemmeno la cosiddetta "ricevuta di ritorno" tradizionale, come stabilito anche da diverse sentenze di cassazione, offre garanzie.


La PEC è una soluzione che è stata introdotta solamente in Italia. Altri Paesi non hanno sentito l'esigenza di promuovere un meccanismo similare. Rispetto alla raccomandata A/R, la PEC offre sicuramente migliori garanzie perché basa il suo funzionamento su un sistema che coinvolge direttamente i provider Internet scelti rispettivamente da mittente e destinatario.
Prerequisito indispensabile per scambiarsi messaggi certificati, mediante l'uso della PEC, è l'attivazione di un account presso un gestore (provider Internet) che fornisca questo tipo di servizio.
Sono tanti i provider che oggi offrono caselle di posta elettronica compatibili PEC, alcuni molto economici.

I gestori certificati

Il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) è l'organo preposto al controllo della posta elettronica certificata. E' infatti lo stesso CNIPA che si occupa di controllare le richieste di iscrizione avanzate dai provider interessati ad offrire, ai propri clienti, il servizio PEC e di redarre un elenco, pubblicamente accessibile, che riassume tutti i gestori accreditati. L'utente può scegliere, tra i provider indicati, quello preferito e richiedere, previa sottoscrizione di un contratto, una casella PEC. L'inserimento di un provider Internet nell'elenco delle società accreditate avviene in seguito ad un'istruttoria che valuta la bontà dei requisiti del gestore interessato a commercializzare il servizio PEC.

La PEC è nata in seno alla Pubblica Amministrazione, con lo scopo di sostituire l'impiego della raccomandata A/R tradizionale sia nelle comunicazioni tra enti che tra PA e cittadino.
Di recente, per opera del CNIPA e di ISTI-CNR è stato avviato il processo di standardizzazione della PEC mediante una richiesta formale presentata all'IETF (Internet Engineering Task Force). La bozza presentata all'IETF, ente di standardizzazione caratterizzato da una struttura “aperta” formata da specialisti, tecnici e ricercatori, è consultabile facendo riferimento a questa pagina.


  1. Avatar
    Night
    02/08/2010 17:28:13
    Ma se richiedo il certificato a globaltrust poi devo anche creare la mia coppia chiave pubblica-chiave privata con GnuPG (come descritto qui: http://www.ilsoftware.it/articoli.asp?id=3404)???? Non ho capito se le 2 cose sono separate o no? Grazie a chi vorrà aiutarmi.
  2. Avatar
    Flavior
    23/11/2009 00:14:46
    vorrei assolutamente evitare la PEC, ma ha una perplessità nell'uso dei certificati s-mime come alternativa, in quanto mi sembra debole nell'aspetto di certificazione della data/ora di invio e soprattutto *ricezione*: sono d'accordo che se io sono il destinatario di un messaggio s-mime, questo ha tutti gli elementi per essere riconosciuto legalmente anche in un'aula di tribunale, comprendendo anche la marcatura temporale dell'invio e della ricezione (che è presente nell'header internet del messaggio stesso); nel caso però in cui io sia il mittente, ed il destinatatio ha bloccato qualsiasi invio di ricevuta automatica -- anche quella s-mime -- come faccio a certificare che il mio messaggio è stato inviato dal server del mio ISP in una certa data/ora ed è giunto nella casella del mittente sul server del suo ISP in un'altra data/ora specifica (il messaggio che mi sono salvato nella posta inviata non ha nessun header...)? Se qualcuno sa spiegarmelo una volta per tutte, avrà la mia più sincera gratitudine!
  3. Avatar
    Ciesko
    04/11/2009 09:15:56
    Il problema è che con la PEC: - viene creata un'email ex-novo - devi acquistarne una per singolo account (o sbaglio?), pensate alle aziende - devo ancora capire se è possibile integrarla ad un mailserver - non è riconosciuta a livello internazionale Dobbiamo sempre fare le cose fatte a modo nostro: a che cavolo serve spendere soldi quando esiste una tecnologia matura?!! Per carità ben vengano veridicità del momento in cui è transitato il msg e la conferma di invio/ricezione ma non vi sembra assurdo? Spiegassero bene a cosa serve e come funziona, meno male che c'è gente che si sbatte a farne un articolo come questo autore. Scusate lo sfogo
  4. Avatar
    dibandrea1
    02/10/2009 00:50:19
    è vero quello che afferma "Ice1972". è possibile eventualmente avere oltre il certificato s/mime anche la PEC sullo steso computer? grazie per la risposta. andrea
  5. Avatar
    Micromer89
    05/08/2009 00:40:42
    Posso richiedere più Certificati S/MIME, da GlobalTrust, nel caso io abbia più di un indirizzo e-mail ?
  6. Avatar
    Ice1972
    20/06/2009 15:11:05
    Lungi da me il voler difendere un non-standard, qual'e' la PEC, ma, se non erro, rispetto all'S/MIME ha un vantaggio. Infatti nell'S/MIME la CA garantisce " chi e' " il mittente del msg (per tramite d'un certificato, del mittente, firmato dalla CA), ma non interviene nella transazione specifica (l'email che Tizio invia a Caio). La PEC, invece, istituisce dei "terzi garanti" che generano una serie d'eventi, grazie ai quali mittente/destinatario non possono disconoscere: - esistenza del msg - contenuto del msg - momento in cui e' transitato il msg - invio/ricezione del msg Nella fattispecie la "marcatura temporale", presente nelle ricevute PEC, mi sembra assente completamente nell'utilizzo di S/MIME (a meno che il destinatario risponda, citando l'email ricevuta, in tal caso almeno la sequenza temporale e' fatta salva).
  7. Avatar
    bissio
    28/01/2009 10:35:01
    bisogna dare atto all'autore di aver cercato di essere stato chiaro, comprensibile e, per quanto possibile esauriente e di questo lo ringrazio. Fabrizio
Posta elettronica certificata e certificati s/mime: differenze e funzionamento - IlSoftware.it