La Posta Elettronica Certificata anche chiamata PEC è stata introdotta con il decreto del Presidente della Repubblica n.68 del 11/02/2005 il quale attesta il “regolamento delle disposizioni per l’utilizzo della posta elettronica certificata”. All’atto pratico, la PEC non è altro che un sistema di posta elettronica con valenza legale, dotato di caratteristiche di sicurezza e di certificazione della trasmissione dei dati.
Soprassediamo invece sul suo funzionamento e sul suo utilizzo pratico al quale vi rimando alla voce Regole Tecniche di questa pagina.
Dati di fatto
Di fatto, l’utilizzo obbligatorio della PEC è stato sancito con il decreto n.185 del 29 novembre 2008 il quale attesta che le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese. Detto questo però è necessario riportare alcuni dati di fatto, importanti.
- Come detto il decreto legge n. 185 del 29 novembre 2008 stabilisce che le imprese costituite in forma societaria sono tenute ad indicare al registro delle imprese il proprio indirizzo di posta elettronica certificata;
- La conversione in legge del suddetto decreto 185 (datata 28 gennaio 2009) stabilisce che le imprese costituite in forma societaria sono tenute ad indicare al registro delle imprese il proprio indirizzo di posta certificata o di un analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora di invio e ricezione;
- La PEC è una realtà del tutto italiana e non è riconosciuta dalla comunità europea. Citando Massimo Penco (presidente dell’Associazione Cittadini di Internet) possiamo aggiungere che “Nessuno stato al mondo ha sentito il bisogno di creare un sistema simile alla PEC che rimane uno “standard italiano”.
In pratica: La Posta Elettronica Certificata NON è obbligatoria, per nessuno, sia esso soggetto giuridico oppure persona fisica privata, è obbligo invece dotarsi di un mezzo in grado di garantire la certificazione legale di invio e di ricezione di una comunicazione ufficiale via email.
Alternative alla Posta Certificata
E’ giusto quindi chiedersi quali siano gli strumenti alternativi alla PEC messi a disposizione dalle infrastrutture informatiche che permettono questo tipo di sicurezza.
La risposta sta nella sigla S/MIME.
In buona sostanza si tratta di un protocollo di certificazione standardizzato e certificato dall’unione europea che permette di inserire all’interno delle email la possibilità di certificare la comunicazione. In buona sostanza è una estensione del protocollo MIME (il quale viene usato oggigiorno per qualsiasi email che spediamo) che consente di autenticare e verificare l’integrità dei messaggi e ne garantisce il “non ripudio” mediante l’utilizzo della certificazione digitale. In più è anche in grado di proteggere il messaggio trasmesso sul Web mediante algoritmi di crittografia asimmetrica. Tutti i client di posta che usiamo implementano perfettamento tale protocollo e ne permettono l’uso.
In raffronto quindi alla normativa vigente, si può tranquillamente asserire che il protocollo S/MIME, attraverso l’utilizzo di un certificato digitale, assolve interamente a quanto richiesto e previsto dal comma 6 del decreto italiano.
PEC e Certificati : Le differenze
Detto questo possiamo quindi fare un raffronto tra la Posta Elettronica certificata e i certificati crittografati.
La prima differenza lampante fra PEC ed S/MIME è nell’interoperabilità con i sistemi internazionali. Mentre infatti la prima è uno standard italiano, che prevede per avere validità legale la presenza da ambo le parti di un account PEC, i secondi si basano sullo standard internazionale X.509v3 riconosciuto nel mondo. Questi ultimi sono anche rilasciati in alcuni casi a titolo gratuito dalle autorità di certificazione, mentre per la PEC è possibile registrare un account senza il pagamento di un canone annuo solo in caso di appartenenza ad alcuni ordini. La Posta Elettronica Certificata può essere considerata forse più semplice da utilizzare, in quanto non prevede l’installazione di alcun componente ed è simile alle normali caselle mail. Per i certificati è necessario invece scaricare ed installare sul proprio PC il documento rilasciato dalla Certification Authority di riferimento. Gli S/MIME costituiscono inoltre una soluzione che garantisce una grande portabilità, in quanto consentono di esportare il proprio certificato e portarlo con sé (ad esempio su un pendrive). È bene infine ricordare che i certificati sono implementabili sulla propria casella di posta elettronica, senza doverne creare una nuova (come invece previsto per la PEC) [cit. Office Magazine 2009]
A questo punto non dobbiamo far altro che dotarci del nostro certificato S/MIME alla faccia dell’indirizzo di Posta Elettronica Certificata del quale possiamo, come detto e spiegato anche del decreto, fare a meno (liberando, in caso di figure professionale, del peso del costo annuo e dalla gestione nuovo indirizzo di posta).
Certificati S/MIME : Come fare
La procedura di creazione e attivazione del certificato è estremamente semplice e con un po’ di attenzione potremo facilmente usarlo fin da subito. Riassumo dettagliatamente i passi nello schema sottostante :
- Si inizia la procedura visitando la seguente pagina di maggiore ente certificatore italiano di S/MIME, chiamato GlobalTrust.
- Compilare il form a fondo pagina inserendo TUTTI i dati richiesti 8ovviamente non possono essere di fantasia).
- Verrà rilasciato un numero d’ordine e un avviso via mail.
- Dopo poche ore (nel mio caso circa 3) verrà convalidato l’ordine e rimandati al sito nel quale dovremo inserire la password scelta, il numero d’ordine e un codice che ci verrà mandato via mail.
- Alla successiva conferma il certificato verrà installato sul computer in uso.
- A questo punto è necessario salvare sul proprio disco il certificato appena installato nella macchina in uso, questo lo si può fare in base al Browser che si è usato per compiere la registrazione e la verifica.
- In Explorer accedere al menu Strumenti -> Opzioni Internet -> Contenuto -> Certificati -> Personale. Dalla lista selezionare USERTRUST Certificate e quello riferito al proprio nome. Quindi Esporta -> Esporta la chiave primaria -> Se possibile includi tutti i certificati e Abilita protezione avanzata. Verrà chiesto di inserire la password quindi la destinazione del file.
- Mozilla Firefox accedere al menu Strumenti -> Opzioni -> Avanzate -> Encryption -> Vedi Certificati -> I tuoi certificati. Dalla lista selezionare USERTRUST Certificate e quello riferito al proprio nome. Quindi Esporta. Verrà chiesto di inserire la password quindi la destinazione del file.
- Ora è necessario impostare il proprio client di posta affinchè possa utilizzare il certificato appena creato nell’invio della email.
- In Microsoft Outlook basta far riferimento al menù Strumenti, Opzioni del programma quindi alla scheda Protezione. Cliccando su Impostazioni ci si può assicurare che il certificato in uso sia quello ricevuto da GlobalTrust ed eventualmente importarlo in modo manuale. I pulsanti Codifica e Firma visualizzati in fase di composizione di un’e-mail permetteranno quindi di cifrare o firmare la comunicazione che si è in procinto di inviare. Con Outlook, una volta ricevuto ed aperto il messaggio, il certificato verrà automaticamente installato sul sistema del destinatario. Per aggiungere la chiave pubblica di un destinatario alla lista dei certificati, è sufficiente cliccare sul simbolo raffigurante una coccarda di colore rosso (contenuto nell’e-mail ricevuta dall’interlocutore) quindi cliccare sulla voce Aggiungi ai contatti di Outlook. La chiave pubblica del contatto verrà così automaticamente associata al contatto stesso e risulterà visibile selezionando la scheda Certificati. Se il certificato dell’interlocutore si presenta sotto forma di allegato al messaggio di posta elettronica, sarà possibile aggiungerlo alla lista selezionando il comando Importa.
- La gestione dei certificati in Mozilla Thunderbird si effettua cliccando su Strumenti, Impostazioni account quindi sulla voce Sicurezza. Cliccando su Visualizza certificati è possibile importare certificati e controllare quelli disponibili. Selezionando la scheda Certificati personali quindi servendosi del pulsante Importa, si può aggiungere in elenco il certificato. Nella scheda Certificati altrui, invece, Mozilla Thunderbird aggiunge automaticamente i certificati, allegati ai vari messaggi di posta elettronica, ricevuti da parte dei propri interlocutori. Dopo aver importato il proprio certificato, è sufficiente fare clic sui pulsanti Seleziona presenti nei riquadri Utilizza il seguente certificato per firmare digitalmente i messaggi ed Utilizza il seguente certificato per cifrare o decifrare i messaggi ricevuti per indicare a Thunderbird che si intende farne uso. In fase di composizione di un messaggio, si dovrà far riferimento al pulsante Sicurezza quindi alle voci Cifra questo messaggio ed Apponi firma digitale.
A questo punto abbiamo configurato il nostro sistema e il nostro client di posta preferito affinchè possa utilizzare il certificato, anzichè l’italianissima PEC che, di fatto, non rispetta gli standard europei e che si deve anche pagare.
Chiudo con una citazione dell’avvocato Guido Scorza, uno dei massimi esperti di Diritto e Nuove Tecnologie:
“Faccio, francamente, fatica a credere che in un contesto economico e
socio-politico globale o, almeno, europeo quale quello nel quale per taluni versi già siamo
e, per altri, auspicabilmente saremo presto il legislatore nazionale possa ancora pensare
di imporre standard tecnici operanti entro i confini geo-politici del nostro piccolo Paese. La
scelta di una supernormazione in materia di standard di certificazione relativi alla
trasmissione di comunicazioni elettroniche (la famosa PEC – posta elettronica certificata),
pertanto, mi lascia perplesso sotto un profilo di politica legislativa perché ricorda, molto da
vicino, la recente esperienza già vissuta dal nostro Paese nei primi anni ’90 quando
pretese di essere il primo in Europa a darsi delle regole sull’uso e gli standard in materia di
firme digitali. A distanza di pochi anni il legislatore europeo, come era giusto ed ovvio che
fosse, ci richiamò all’ordine imponendoci di rivedere radicalmente la disciplina nazionale in
modo da renderla conforme a quella frattanto varata in ambito europeo”
E voi?
Volete ancora usare la PEC oppure installare un certificato S/MIME personale ?!
Io ho scelto la seconda.
Update del 29.09.2011:
Un sistema di certificazione della posta elettronica non è obbligatorio per le ditte individuali (es: elettricista sotto casa, professionista web, etc)