Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Firma digitale

Posta certificata: troppe questioni ancora aperte

di Andrea Monti - 09.12.09

 
Incertezza dell’identità dei titolari delle mailbox, sicurezza della custodia dei messaggi, mancanza del meccanismo della compiuta giacenza, rischi per il contenzioso e per l’efficienza degli uffici pubblici. Questi sono alcuni dei principali problemi nell’uso della PEC e che è bene considerare essendo oramai obbligatorio per i professionisti possedere (ma non utilizzare) questo strumento.
In primo luogo, va ricordato che la PEC serve solo per attestare data di invio e ricezione di un messaggio. Per attribuire valore al suo contenuto è necessario usare la firma elettronica. In altri termini, la PEC “valida” la busta, la firma digitale il foglio contenuto all’interno (attenzione, è vero che la la ricevuta torna al mittente con la firma digitale del gestore, ma se manca quella del mittente, il documento non è attribuibile giuridicamente a quest’ultimo). In secondo luogo, si deve tenere conto che i messaggi PEC viaggiano in rete con protocolli sicuri, ma sono memorizzati sui server dei gestori senza alcuna protezione crittografica. Spetta all’utente che vuole proteggere la riservatezza della propria corrispondenza dotarsi di un software di cifratura (invitando i suoi corrispondenti a fare lo stesso).

E' evidente che si tratta di una deficienza progettuale del sistema PEC, e spero che a nessuno venga in mente di giustificare la cosa scaricando sugli utenti l'obbligo di adottare ulteriori misure di sicurezza, o addirittura di scegliere cosa inviare via PEC (messaggi meno rilevanti) e cosa via posta cartacea. Come anche mi auguro che si eviti di dire che il livello di sicurezza è garantita dal fatto che i gestori PEC sono obbligati al rispetto delle misure minime in materia di dati personali. Un antivirus aggiornato una volta l'anno, un firewall e un backup sono, francamente, un po' pochino.
Per concludere sul punto, mi auguro infine che a nessuno venga in mente di rispolverare il vecchio argomento "ma alla fin fine, a chi volete che interessi la PEC della zia Maria?" Magari a nessuno (quella della zia Maria), però andando per phishing nei grandi numeri (tanti utenti, tantissimi messaggi) qualcosa si porte sempre a casa. Una casella PEC, inoltre, non è necessariamente assegnata a un soggetto pienamente identificato.

A differenza di quanto stabilito per la firma digitale, non esiste un vincolo operativo per identificare il richiedente di una mailbox PEC, e infatti sul mercato ci sono diversi metodi per la stipulazione del contratto per ottenerne una. Alcuni gestori chiedono la sottoscrizione di un documento cartaceo, in altri casi la transazione avviene in modo completamente dematerializzato, affidando l’identificazione del contraente alla comunicazione di una mailbox non PEC, allo strumento di pagamento (carta di credito) e all’invio tramite fax del documento di identità. Procedura, quest’ultima, che in astratto non sembra apparire sufficientemente rigorosa per scongiurare furti di identità (una carta di credito può essere prepagata, l’indirizzo di posta - specie se estero - potrebbe essere stato ottenuto senza troppe verifiche sull’identità dell’utente, e un documento di identità da spedire via fax può essere alterato abbastanza agevolmente).

E’ un’ipotesi ovviamente patologica, ma che attiene in ogni caso al novero della possibilità e che si potrebbe scongiurare semplicemente usando la firma digitale. Un messaggio PEC si considera ricevuto quando arriva nella casella di posta del gestore del servizio, non quando viene materialmente letto dal destinatario. In pratica non si prevede un sistema analogo alla “compiuta giacenza” della posta cartacea.
Sull’impiego delle ricevute di consegna di un messaggio PEC in ambito contenzioso, va detto che le regole ordinarie del processo civile conferiscono una fede particolare alla busta in questione e dunque chi dichiara di non avere ricevuto un messaggio PEC quando l’altra parte (mittente) esibisce la ricevuta di consegna, non può limitarsi a “fare catenaccio” negando la circostanza.

D’altra parte, sarebbe possibile - anche se processualmente non necessario - eseguire una verifica presso il gestore del servizio che è tenuto a conservare la ricevuta in questione. Sempre in ambito patologico, un problema potrebbe porsi se il gestore PEC avesse cancellato (per esempio per decorso del tempo) le proprie copie delle ricevute. In questo caso potrebbe essere sicuramente più complesso, in caso di contestazione, dimostrare l’effettivo invio del messaggio.
D'altra parte, nè la firma digitale né la PEC hanno risolto il problema della validità nel tempo. Oggi è sempre possibile eseguire verifiche di originalità su un documento vecchio anche di millenni. Mentre l'aspettativa di vita dei certificati digitali (anche di quelli usati per validare la PEC) è molto, molto più breve.

Concludiamo con un rapido cenno sull’impatto della PEC sull’operato della pubblica amministrazione. La PEC offre la possibilità concreta di inviare pressoché contemporaneamente un numero molto rilevante di richieste che implicano l’apertura di altrettanti procedimenti amministrativi. Questi saranno ovviamente tutti assoggettati allo stesso termine di legge per la loro conclusione e in assenza di una efficiente organizzazione di “backoffice” il rischio sarebbe la paralisi operativa dell'ente (come avverrebbe in assenza dell’integrazione fra il sistema PEC e quello del protocollo informatico).

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2009  Informazioni sul copyright