100349 Letture

Posta elettronica certificata e certificati s/mime: differenze e funzionamento

Il servizio PEC del provider al quale si è affidato il mittente del messaggio rilascia a quest'ultimo una ricevuta che costituisce la prova dell'avvenuta spedizione dell'e-mail. Tale comunicazione ha valore legale, data dalla legge stessa istitutiva della PEC, e conferma l'effettivo oppure il mancato invio della comunicazione.
Allo stesso modo, anche il gestore al quale si appoggia il destinatario dell'e-mail trasmette al mittente un messaggio attestante l'avvenuta consegna. Le varie ricevute contengono anche l'indicazione temporale per ciascuna operazione effettuata (ad esempio invio e consegna del messaggio).
Secondo quanto stabilito dalla normativa, i provider sono inoltre obbligati a tenere traccia delle comunicazioni trasmesse mediante PEC per un periodo di tempo pari a 30 mesi.

Per poter inviare una e-mail certificata mediante PEC è necessario che l'account che si impiega sia anch'esso PEC. Se si invia un'e-mail da un account di posta “non PEC” ad un account PEC il sistema che riceve il messaggio inviato solitamente genera un messaggio di errore (che prende il nome di “anomalia di trasporto”) ma tale comportamento può dipendere dalla specifica configurazione software utilizzata dal provider. In alcuni casi, ad esempio, il mittente che utilizza un account di posta “non PEC” e tenta di trasmettere una comunicazione ad una casella PEC, può non ricevere alcun avviso.


Alcuni aspetti critici legati all'uso della PEC che dovranno essere probabilmente affrontati sono anche i seguenti:
- al ricevimento di una raccomandata tradizionale, in caso di assenza del destinatario, allo stesso viene lasciato un avviso che attesta la giacenza della comunicazione presso l’ufficio postale di zona. Nel caso della PEC, quando il personal computer del destinatario è spento o non collegato ad Internet nessun avviso verrà notificato poiché resterà memorizzato (per quanto tempo?) sul server del provider Internet.
- qualora il personal computer del ricevente abbia un problema non verrà notificato nulla in proposito a chi spedisce né tanto meno al server del provider per il quale la PEC sarà considerata come regolarmente recapitata.
- il titolare della casella PEC (es. un privato cittadino) è un ricevitore passivo di messaggi di posta elettronica equiparati ad una raccomandata A/R. I messaggi ricevuti possono potenzialmente essere di infinita natura (i.e. ingiunzioni di pagamento, atti di polizia giudiziaria, atti con scadenza onerosa,...). La loro ricezione e gestione con le modalità illustrate potrebbe causare qualche "mal di testa" al cittadino.

L'utilizzo della PEC è del tutto simile a quello della posta elettronica tradizionale. Per inviare e ricevere messaggi, infatti, è possibile ricorrere alla webmail messa a disposizione dal provider scelto e quindi accedervi attraverso il browser web oppure servirsi di un qualunque client di posta elettronica. Così come previsto dalla normativa, tuttavia, la comunicazione con i server del gestore Internet che offre il servizio PEC avviene utilizzando protocolli di comunicazione sicuri. Inoltre, come già anticipato, viene effettuata l'autenticazione di colui che opera dinanzi al personal computer - essendo impossibile autenticare il vero utente - sia in fase di invio che di ricezione dei messaggi di posta.

In figura, il server del provider Internet del mittente, che offre il servizio PEC, ha inviato una ricevuta che attesta la corretta presa in consegna della comunicazione.

Un'ulteriore ricevuta, spedita al mittente del messaggio, lo informa circa l'avvenuta consegna dell'e-mail certificata. In calce alla ricevuta è sempre riportato il messaggio originale.


Le valutazioni degli esperti

Il decreto legge 185/2008 contiene rilevanti modifiche al “Codice dell'Amministrazione Digitale” (D.Lgs. n.82/2005) ed al “Regolamento per l'utilizzo della Posta Elettronica Certificata” (D.P.R. n.68/2005). Come spiegano gli esperti, la nuova normativa contribuisce – ed è questo un fatto assolutamente positivo – ad accelerare i processi per l'abbandono del cartaceo, anche per quanto concerne l'invio di documentazione di particolare rilevanza.
Il punto sul quale si sono scatenate la maggiori critiche riguardava l'imposizione dell'utilizzo di uno strumento, qual è la PEC, a società e professionisti iscritti agli albi, oltre che alle pubbliche amministrazioni.
Come anticipato nell'introduzione, tuttavia, il decreto legge è stato successivamente modificato, in fase di conversione, con soddisfazione dell'associazione “Cittadini di Internet”, presieduta dall'Ing. Massimo Penco, che si era fatta promotrice di una denuncia resa alla UE.
All'utilizzo della PEC può essere sostituito, quindi, l'impiego di “un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali”.
La soluzione alternativa sembra essere l'adozione di certificati S/MIME, interoperabili con qualunque sistema ed ormai disponibili, da anni, in ambito internazionale.
Secondo l'associazione “Cittadini di Internet”, la modifica apportata al decreto legge 185/2008 si allinea alla direttiva comunitaria, permette di liberalizzare il mercato e pone soluzione al problema dell'ipotizzato utilizzo esclusivo della PEC, di matrice solamente italiana.

  1. Avatar
    Night
    02/08/2010 17.28.13
    Ma se richiedo il certificato a globaltrust poi devo anche creare la mia coppia chiave pubblica-chiave privata con GnuPG (come descritto qui: http://www.ilsoftware.it/articoli.asp?id=3404" onclick="window.open(this.href);return false;)???? Non ho capito se le 2 cose sono separate o no? Grazie a chi vorrà aiutarmi.
  2. Avatar
    Ing. Mirko Paglia
    19/03/2010 18.50.14
    Anche poste italiane è legalmente una CA rilascia certificati digitali http://postecert.poste.it/" onclick="window.open(this.href);return false; Inoltre quelli elencati qui http://kb.mozillazine.org/Getting_an_SMIME_certificate" onclick="window.open(this.href);return false; sono CA e non provider
  3. Avatar
    monti.fabrizio
    01/01/2010 11.46.28
    Thawte non offre più il servizio di cui si parla. Tuttavia qua c'è una lista di provider:
    http://kb.mozillazine.org/Getting_an_SMIME_certificate" onclick="window.open(this.href);return false;

    Non sono tutti gratuiti, ma 19$ all'anno (Verisign) non sono tantissimi, se si è un libero professionista.
  4. Avatar
    Flavior
    23/11/2009 00.14.46
    vorrei assolutamente evitare la PEC, ma ha una perplessità nell'uso dei certificati s-mime come alternativa, in quanto mi sembra debole nell'aspetto di certificazione della data/ora di invio e soprattutto *ricezione*: sono d'accordo che se io sono il destinatario di un messaggio s-mime, questo ha tutti gli elementi per essere riconosciuto legalmente anche in un'aula di tribunale, comprendendo anche la marcatura temporale dell'invio e della ricezione (che è presente nell'header internet del messaggio stesso); nel caso però in cui io sia il mittente, ed il destinatatio ha bloccato qualsiasi invio di ricevuta automatica -- anche quella s-mime -- come faccio a certificare che il mio messaggio è stato inviato dal server del mio ISP in una certa data/ora ed è giunto nella casella del mittente sul server del suo ISP in un'altra data/ora specifica (il messaggio che mi sono salvato nella posta inviata non ha nessun header...)? Se qualcuno sa spiegarmelo una volta per tutte, avrà la mia più sincera gratitudine!
  5. Avatar
    Ciesko
    04/11/2009 09.15.56
    Il problema è che con la PEC:
    - viene creata un'email ex-novo
    - devi acquistarne una per singolo account (o sbaglio?), pensate alle aziende
    - devo ancora capire se è possibile integrarla ad un mailserver
    - non è riconosciuta a livello internazionale

    Dobbiamo sempre fare le cose fatte a modo nostro: a che cavolo serve spendere soldi quando esiste una tecnologia matura?!! Per carità ben vengano veridicità del momento in cui è transitato il msg e la conferma di invio/ricezione ma non vi sembra assurdo?

    Spiegassero bene a cosa serve e come funziona, meno male che c'è gente che si sbatte a farne un articolo come questo autore.

    Scusate lo sfogo
  6. Avatar
    dibandrea1
    02/10/2009 00.50.19
    è vero quello che afferma "Ice1972".
    è possibile eventualmente avere oltre il certificato s/mime anche la PEC sullo steso computer?
    grazie per la risposta. andrea
  7. Avatar
    Micromer89
    05/08/2009 00.40.42
    Posso richiedere più Certificati S/MIME, da GlobalTrust, nel caso io abbia più di un indirizzo e-mail ?
  8. Avatar
    Ice1972
    20/06/2009 15.11.05
    Lungi da me il voler difendere un non-standard, qual'e' la PEC,
    ma, se non erro, rispetto all'S/MIME ha un vantaggio.

    Infatti nell'S/MIME la CA garantisce " chi e' " il mittente del msg
    (per tramite d'un certificato, del mittente, firmato dalla CA),
    ma non interviene nella transazione specifica (l'email che
    Tizio invia a Caio).

    La PEC, invece, istituisce dei "terzi garanti" che generano
    una serie d'eventi, grazie ai quali mittente/destinatario non
    possono disconoscere:
    - esistenza del msg
    - contenuto del msg
    - momento in cui e' transitato il msg
    - invio/ricezione del msg

    Nella fattispecie la "marcatura temporale", presente nelle
    ricevute PEC, mi sembra assente completamente nell'utilizzo
    di S/MIME (a meno che il destinatario risponda, citando
    l'email ricevuta, in tal caso almeno la sequenza temporale e' fatta salva).
  9. Avatar
    bissio
    28/01/2009 10.35.01
    bisogna dare atto all'autore di aver cercato di essere stato chiaro, comprensibile e, per quanto possibile esauriente e di questo lo ringrazio.
    Fabrizio
Posta elettronica certificata e certificati s/mime: differenze e funzionamento - IlSoftware.it - pag. 2