La posta elettronica certificata (PEC), di cui già abbiamo parlato, è diventata obbligatoria, in Italia, con il Decreto Legge 185 del 2008, ed è uno strumento che consente di dare ad una comunicazione per mail lo stesso valore giuridico di una raccomandata con ricevuta di ritorno.
Il CNIPA, cioè il Centro Nazionale per l’Informatica nella Pubblica Amministrazione, si occupa di stabilire le regole tecniche per il funzionamento della PEC, e ha nel proprio sito una apposita sezione dedicata alla PEC, le norme di riferimento, varie guide, ma soprattutto l’elenco dei gestori certificati.
Clicca per caricare il video. Alcuni dati potrebbero essere inviati a YouTube. Leggi l'informativa Privacy
Il funzionamento della PEC è molto semplice: quando viene inviato un messaggio tramite posta elettronica certificata, il gestore del servizio del mittente invia allo stesso una ricevuta che costituirà valore legale dell’avvenuta o eventualmente mancata trasmissione del messaggio, riportando l’indicazione temporale del momento in cui la mail è stata inviata. Allo stesso modo il gestore del destinatario fornirà al mittente altra ricevuta che attesti il momento dell’avvenuta consegna. In ogni caso sui server dei gestori rimane per trenta mesi una traccia delle ricevute e del messaggio stesso, al fine di dare certezza giuridica ai messaggi inviati tramite PEC. In sostanza sono direttamente i gestori che applicano una firma elettronica ai messaggi inviati tramite PEC e ai loro allegati.
La possibilità di avere garanzia della tracciabilità del mittente, cioè di sapere esattamente chi è che invia, è un elemento molto importante giuridicamente parlando, anche se fondamentalmente si tratta di una presunzione giuridica perché non vi è a monte nessuna verifica che Tizio, colui il quale richiede una casella PEC, sia effettivamente Tizio e non qualcun altro. Esiste, infatti, la conoscibilità certa della casella PEC, cioè della casella dalla quale quel messaggio è partito, e non è possibile che si falsifichi la casella in sé, ma non esiste certezza della titolarità della casella medesima. Ovviamente questo elemento può dipendere anche dalle procedura adottare dal singolo gestore per offrire il servizio di PEC agli utenti. Trattandosi però di servizi forniti via web, i controlli generalmente sono effettuati esclusivamente via web, con gli ovvi problemi di identificazione del richiedente il servizio.
Il vantaggio fondamentale è la certificazione della integrità, e quindi della non manomissione, del messaggio inviato tramite PEC e degli eventuali allegati. La PEC non prevede la cifratura dei messaggi, per cui, a differenza di una raccomandata (che non risulti aperta), non è possibile in alcun modo sapere se qualcuno, nella trafila di trasmissione del messaggio, si sia potuto inserire e leggere il contenuto del messaggio medesimo.
Inoltre, i messaggi e gli allegati sono conservati non cifrati sui server dei gestori, per i 30 mesi suindicati, per cui si è paventato un rischio relativo alla privacy non indifferente. È vero però che i gestori devono essere accreditati dal CNIPA per poter esercitare tale servizio,e i requisiti richiesti sono abbastanza stringenti, tanto che solo imprese di un certo tipo e dimensione possono ottenere l’accreditamento, con esclusione di piccole aziende. Questo è un altro punto dolente che è stato criticato.
La ricevuta fornita dal gestore del destinatario non garantisce che il messaggio sia stato letto, ma solo l’avvenuta consegna al server medesimo. Se il destinatario, poi, non si connette più al server, o anche connettendosi non legge il messaggio, tale situazione rimane del tutto sconosciuta al mittente. Dal momento della ricezione, infatti, si presume la conoscenza del contenuto della trasmissione. Sarà poi, eventualmente, il destinatario a dover provare di essere stato, senza sua colpa, nell'impossibilità di averne notizia. Sotto questo profilo la raccomandata ha una maggiore sicurezza, visto che il postino in genere deve identificare chi riceve la raccomandata, e può consegnarla a mani proprie.
La cosa interessante è che la prima versione della normativa di riferimento alla PEC non obbligava l’uso della PEC medesima, ma consentiva di utilizzare protocolli alternativi che garantissero la ricezione delle comunicazioni, l’integrità del contenuto, e che certificassero data e ora dell’invio e della ricezione. La norma di riferimento, infatti, prevedeva anche “analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrità del contenuto delle stesse, garantendo l’interoperabilità con analoghi sistemi internazionali”, tra l’altro non si comprendeva perché gli “analoghi indirizzi” dovessero garantire l’interoperabilità laddove la PEC tale interoperabilità non la garantisce affatto.
Tale previsione era necessaria, si ritenne all’epoca, in quanto la PEC è un protocollo esclusivamente italiano, quindi assolutamente non standard, mentre nel resto del mondo si utilizzano strumenti differenti ed interoperabili tra loro. La PEC, quindi, sarebbe in contrasto con gli strumenti internazionali, tanto che è stata fatta apposita denuncia di infrazione alla Comunità Europea per il protocollo PEC non standard.
Uno dei sistemi alternativi, ad esempio, è lo S/MIME (Secure Multipurpose Internet Mail Extensions), che consente anche di cifrare i messaggi, impedendo quindi la possibilità di lettura da parte di terzi sprovvisti della chiave per decifrare il messaggio. Inoltre, lo S/MIME è applicabile a molti indirizzi mail già esistenti, mentre l’indirizzo PEC è completamente diverso e non consente l’utilizzazione delle nostre vecchie mail. Dovremmo comunicare, quindi, a tutti i nostri contatti il cambio di indirizzo mail, volendo utilizzare la PEC per tutte le comunicazioni, oppure dovremmo rassegnarci ad avere due mail diverse (altro che semplificazione).
Purtroppo, dopo qualche tempo si è inserito il governo che ha pubblicato due DPCM con i quali si prevede che sarà lo Stato medesimo a regalare (per modo di dire) una casella PEC a tutti i cittadini che ne faranno richiesta, tramite un affidatario del servizio, ma anche a tutte le imprese, tramite altro affidatario. I cittadini che richiederanno il “regalo” eleggeranno il proprio domicilio informatico presso l'indirizzo di posta elettronica certificata loro assegnato, dichiarando così di accettare di ricevere tutta la corrispondenza loro indirizzata dalla Pubblica Amministrazione presso tale domicilio.
Inoltre, un emendamento al DL anticrisi prevede la soppressione della possibilità di utilizzare “strumenti equivalenti” al posto della PEC (come S/MIME ad esempio), e così si fa della PEC, cioè un protocollo non standard e non interoperabile a livello internazionale, lo strumento unico e senza alternative legali, per le comunicazioni con le amministrazioni e tra le imprese in Italia.
Il 12 agosto è stato pubblicato il bando di gara per la concessione del servizio, con scadenza al 9 settembre, e già questo ci pare un po’ sospetto. Non crediamo ci sia tutta questa necessità di fare tutto così di fretta, specialmente in tempi di crisi dove le priorità sarebbero ben altre, e specialmente in agosto. Secondo il bando l'aggiudicatario dovrà possedere una rete di sportelli fisici in grado di assicurare un punto di accesso in almeno l'80% del comuni italiano con popolazione superiore ai 10.000 abitanti, con orario di apertura dal lunedì al sabato, 9-13. Pensate che la PEC è uno strumento da utilizzare esclusivamente online, se anche l’assegnazione di una casella PEC dovesse richiedere la presenza fisica del titolare, al fine di identificarlo, non si comprende a cosa servirebbe avere un rete così capillare di sportelli sul territorio. Questo, a meno che non si voglia impedire a molte imprese la partecipazione alla gara, visto che solo le Poste, forse, hanno i requisiti giusti.
Inoltre, la PEC che il governo regala, per modo di dire visto che la si pagherà con le tasse ovviamente, e non costa affatto poco, essendo quantificata la spesa in 50 milioni di euro circa, sarà utilizzabile solo per le comunicazioni tra cittadini e Pubblica Amministrazione. A questo proposito c’è da notare che, nonostante la legge preveda tale requisito come obbligatorio, a tutt’ora sono moltissimi gli enti pubblici non ancora dotati di PEC, in violazione della legge quindi. Il servizio di PEC non sarebbe fornito per le comunicazioni con altri privati, per cui, come del resto prevede il bando di gara, l’aggiudicatario potrà fornire ulteriori servizi accessori a pagamento, tipo appunto le comunicazioni tra privati.
Quindi, un bando di gara che limita fortemente le imprese che possono partecipare ad un appalto di 50 milioni di euro, con possibilità (servizi accessori) di lucrare ulteriormente in un mercato di fatto monopolizzato per legge.
La situazione attuale della PEC, a livello normativo, è estremamente caotica per un eccessivo susseguirsi di norme che hanno realizzato un caos notevole, e il tutto alla fine si ridurrebbe nell’offrire un servizio quasi inutile ad un privato, al fine di arricchimento personale. La cosa più divertente è che per partecipare alla gara suddetta serve inviate una raccomandata con ricevuta di ritorno, perché il ministero non è ancora dotato di PEC!