comuniC@re la pubblica amministrazione

L'articolo, per certi aspetti interessante, contiene parecchi errori grossolani.
Basandosi su premesse errate, le conclusioni non possono che essere sbagliate.
Per avere una raccomandata elettronica serve, come nel mondo fisico, una terza parte che certifichi la data e l'ora del recapito. Nel mondo fisico questo è il ruolo del servizio postale. E'ovvio che questo ruolo non può essere sostenuto dal mittente o dal destinatario, che sono parti in causa. Se potesse il mittente daterebbe la raccomandata come gli fa più comodo e così farebbe il destinatario sulla ricevuta di ritorno.
Avrebbe senso poter giocare i numeri del Lotto dopo l'estrazione?
Il formato "S/MIME" è citato come alternativo e innovativo, ma esiste da molti anni prima della PEC e non è per nulla decollato. S/MIME non è alternativo alla PEC, che anzi si basa proprio su di esso: infatti per ricevere ed inviare messaggi PEC è sufficiente usare il proprio software preferito oppure lo si può fare via web. Usare la PEC è come scrivere una normalissima email. Ed è possibile irrobustire la garanzia d'identità che la PEC fornisce sottoscrivendo i messaggi con firma digitale S/MIME.
Le modifiche della lecce 2/2009 non consentono di usare "S/MIME" con una sorta di "fai da te" alternativo alla PEC. Quando la legge indica come alternativa alla PEC "analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrità del contenuto delle stesse, garantendo l’interoperabilità con analoghi sistemi internazionali" mi pare semmai che ci sia un'apertura molto lungimirante a nuovi standard ed iniziative simili a quella italiana, in particolare allo standard europeo "Registered Electronic Message", in breve REM, che è proprio nato dall'esperienza della PEC in seno all'ETSI, ente di normazione europeo. Quindi è totalmente falsa e contraria alla realtà la frase: "Perché l’Unione europea non ha ritenuto di dover utilizzare uno standard simile a quello italiano? Qualcuno potrebbe obiettare: per una volta che l’Italia arriva per prima!". E' accaduto proprio il contrario!
Sempre contrariamente a quanto affermato anche l'Unione Postale Universale sta valutando la REM per potere offrire dei servizi al passo coi tempi, probabilmente cercheranno di recuperare un po' di quel mercato che l'email ha sottratto alla posta tradizionale.
Capisco che si tratta di temi tecnicamente difficili, ma un po' di attenzione!
Spesso il giornalismo rincorre il sensazionalismo a tutti i costi: una foresta che cresce fa meno rumore di un albero che cade.
E' così anche per la sicurezza: quando, come nel caso Parmalat, con un po' di bianchetto ed un fax si fanno truffe per miliardi di Euro, allora ci si rende conto che la sicurezza è un problema perché "fa notizia"....
Personalmente farebbe meglio alla diffusione della PEC un'informazione più corretta. Magari meno eclatante ma più educativa.

Andrea Caccia (andrea.caccia@innovery.it)

Nel bailame delle leggi e regole sulla PEC cerchiamo anche noi di essere precisi nell'informazione non possiamo quindi che contestare quanto lei dice, cerchiamo di Mettere un po’ d'ordine anche se si volesse rispondere interamente a quanto lei afferma ci vorrebbe un libro:

Il ruolo del servizio postale del mondo fisico è quello di accettare raccomandate e di mettere un timbro con la data di accettazione se la raccomandata è con avviso di ricevimento di far firmare al titolare della raccomandata l'avviso e di rispedirlo indietro per posta ordinaria.

Nel mondo virtuale la tecnologia che stabilisce data ed ora è il sistema universale di Ora e data in Italia gestito dal INRIM http://www.inrim.it/ntp/webclock_i.shtml

Negli USA dal NIST e via dicendo il gestore di PEC non può far altro che collegare il proprio server ad uno di questi "certificatori di data ed ora" che usano tecnologie avanzate ( orologi al Cesio) per dare l'ora esatta a tutto il mondo cosa ormai comune a tutti i server e tutte le tecnologie definita : ORA INTERNET che viene sincronizzata per l'appunto ad uno di questi sistemi ed è ben per questo che giustamente il legislatore ha ribadito il concetto " .. su tecnologie che certifichino data ed ora…. “ è infatti la tecnologia che determina data ed ora ed i server dei vari provider di posta elettronica che riportano l'ora e data nell' Header di qualsiasi messaggio ben difficilmente il provider di posta elettronica si metterebbe a cambiare l'orologio del suo server dove transitano un numero imprecisato di messaggi, come vede quindi qui nessuno certifica nulla!

Lei invece dimentica un fatto importante il protocollo S-mime non permette di modificare i messaggi ovvero segnala le modifiche come alterazione degli stessi nessuno quindi può modificare la data ora anche il contenuto del messaggio e suoi allegati verrebbe indicato nell'Header del messaggio come viene altresì indicata la differenza di data ed ora in tutti i server dove il messaggio transita sarebbe quindi impossibile effettuare un operazione di falso come da lei descritta, che comunque teoricamente potrebbe fare chiunque è già avvenuto basta dare un occhiata a sentenze emesse per questo genere di reati.

Su tutta questa materia per brevità le consiglio di leggere quanto pubblicato in: http://www.i-dome.com/docs/pagina.phtml?_id_articolo=13668-Lalternativa-alla-PEC-made-in-Italy.html Mentre invece la PEC certifica la busta di trasporto e non il contenuto come lei stesso indirettamente ammette.

L' ETSI www.etsi.org non è l'organo che stabilisce regole o standard su tutto quello che si muove in Internet nel caso specifico i sistemi di comunicazione con la Posta Elettronica, certificata o meno, sappiamo della lodevole attività di ETSI (limitata come sicuramente saprà anche lei ad organo consultivo Europeo) ma anche quello dell’Unione postale Universale UPU che non sta valutando nessuna REM ma ha allo studio da tempo ed ora usato a titolo sperimentale in Francia, Canada e Stati Uniti (alcuni Stati) un diverso sistema denominato EPM anche in collaborazione con Poste Italiane e Microsoft ed altri ancora anche del nostro CNIPA che da oltre 2 anni sottopone la PEC all’ IETF , organo liberamente demandato alla discussione e definizione degli Standard (RFC), (sarebbe meglio dire protocolli) in questo caso di comunicazione che generano gli RFC a cui la stessa PEC si fonda, anche perché sono quelli che fanno funzionare tutto il sistema e sono richiamati nelle disposizioni di legge in Italia, mi pare quindi evidente che nessuno ancora ha inventato nulla di nuovo Italia ed autori della PEC compresi come vede dal lungo elenco che segue:

“La posta elettronica certificata, come indicato nelle regole tecniche allegate al Decreto Ministeriale 2 novembre 2005, si basa su standard internazionali IETF e ISO. In particolare sulle seguenti versioni e integrazioni successive:

? RFC 1847, Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted

? RFC 1891, SMTP Service Extension for Delivery Status Notifications

? RFC 1912, Common DNS Operational and Configuration Errors

? RFC 2045, Multipurpose Internet Mail Extensions (MIME) Part One: Format of Internet Message Bodies

? RFC 2049, Multipurpose Internet Mail Extensions (MIME) Part Five: Conformance Criteria and Examples

? RFC 2252, Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions

? RFC 2315, PKCS #7: Cryptographic Message Syntax Version 1.5

? RFC 2633, S/MIME Version 3 Message Specification

? RFC 2821, Simple Mail Transfer Protocol

? RFC 2822, Internet Message Format

? RFC 2849, The LDAP Data Interchange Format (LDIF) - Technical Specification

? RFC 3174, US Secure Hash Algorithm 1 (SHA1)

? RFC 3207, SMTP Service Extension for Secure SMTP over Transport Layer Security

? RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

? ISO/IEC 9594-8:2001, Open Systems Interconnection -- The Directory: Public-key and attribute certificate frameworks.




Tutti sarebbero soddisfattissimi come abbiamo sempre sostenuto che ci sia un unico standard per tutti i sistemi di comunicazione umana specialmodo per le nuove tecnologie ci sembra però che gli unici standard per quanto attiene il mondo Internet siano quelli che erano all’origine e che comunque gli stessi vengano stabiliti da la governance di Internet da sempre libera e non legata da alcuna legge o norma imposta da governi e quanto altro.

Quello che invece discutiamo per altro ribadito da il padre della legge su Quella che doveva essere “ La rivoluzione digitale “ Franco Bassanini nell’occasione del convegno sui Dieci anni dalla emanazione della allora veramente prima legge in Europa 1997 “ La legge quando parla di tecnologia deve dare degli indirizzi e non regole tecnologiche che non possono viaggiare alla stessa velocità della tecnologia”. L’Italia ribadiamo è l’unico paese al Mondo che ha deciso in questo contesto di creare tutta una serie di leggi e regolamenti che nessun altro paese ha voluto creare.

Il problema universale non sussiste per il semplice fatto che Internet e con essa i suoi sistemi di comunicazione devono rimanere liberi e non imbrigliati da leggi e regolamenti che quest’anno per la PEC sono arrivati a numeri e contraddizioni impressionanti e ne sono in arrivo altri come il regolamento che dovrebbe indicare i sistemi di interoperabilità della PEC con i richiamati “analoghi sistemi”. Del resto non ci si riesce neanche a mettere d’accordo sulla denominazione di quanto si dice la PEC infatti è una casella di posta e non un indirizzo di posta elettronica certificata, lei che è un tecnico dovrebbe ben saperlo troverà altri interessanti spunti in siti di giuristi e tecnici su questo tema : http://www.guidoscorza.it/ http://scialdone.blogspot.com/search?q=PEC e molti altri ancora.



Sarebbe pertanto indispensabile venisse confermata l’alternativa alla PEC (made in Italy) senza altre complicanze come saggiamente qualcuno ha provveduto ad inserire in ben due leggi dello Stato “ analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità' del contenuto delle stesse, garantendo l'interoperabilità' con analoghi sistemi internazionali. “ come potrà sicuramente constatare la tecnologia fornisce già di per se stessa tutto quanto prescritto dalla legge sulla PEC senza aver bisogno di codici,norme e regolamenti.

Nella PEC non c’è nessuna soluzione o standard ma solo la complicazione legislativa di quanto esiste elencato sopra.

Direi che prima di sparare a zero quantomeno è il caso si documenti meglio.

Massimo Penco
Presidente Cittadini di internet

Ribadisco la correttezza di quanto ho scritto e le imprecisioni e mistificazioni dell'articolo:
- L'ETSI è uno dei 3 enti di standardizzazione europei. Scrive gli standard, e spesso lo fa anche bene. Cito uno standard dell'ETSI noto a tutti: il GSM, grazie al quale ho in tasca un cellulare che ho liberamente scelto e se compongo il suo numero di telefono possiamo parlare (magari poi non ci capiamo, ma questo non è un problema di standard...). Il tutto funziona anche se i cellulari non sono della stessa marca e se i gestori telefonici che abbiamo scelto sono diversi. Anche la REM è una norma a mio parere ben fatta infatti l'UPU la sta prendendo in considerazione.
- Ribadisco infatti quanto scritto sull'UPU. Trova maggiori informazioni sul servizio di posta certificata su cui sta lavorando l'UPU e basato sulla Registered E-Mail dell'ETSI qui: http://www.upu.int/document/2008/an/cep_c_4_gn-4/src/d004a_ad00_an02_p00_r00.pdf
- la PEC protegge il contenuto da modifiche esattamente come S/MIME, lo standard su cui la PEC si basa. Come potrebbe un messaggio S/MIME proteggere meglio della PEC l'integrità di un messaggio se un messaggio PEC non è altro che un messaggio basato su S/MIME?
- data ed ora scritta dai provider di servizi di posta elettronica negli header dei messaggi non possono avere un valore probatorio certo, sia per imperizia che per dolo di chi gestisce i server: in caso di contestazioni il giudice deve valutare caso per caso, e il risultato non è per nulla scontato. La validità legale della PEC è viceversa garantita, salvo prova contraria: non in virtù degli standard su cui si basa o del fatto che i server dei gestori siano allineati con il tempo campione, queste sono conizioni necessarie ma non sufficienti; il valore aggiunto della PEC, in termini di sicurezza, è dato da regole di gestione certe e verificabili nell'ambito delle quali operano i gestori e da qualcuno che, eseguendo i controlli, ne verifica l'applicazione.
- nel caso di un messaggio S/MIME, gli header aggiunti dai provider durante il trasporto non sono protetti dalla firma del mittente e sono manipolabili
- ho letto l'articolo su i-dome e ritengo che quando la legge dice "tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni" con il termine tecnologia faccia riferimento non solo all'uso di norme di formato ma a tutto ciò che sta intorno per garantire la sicurezza del processo. Inoltre "certificazione" fa riferimento ad una terza parte che certifica (e non può essere il normale provider e neppure il mittente che firma il messaggio, si parlerebbe di autocertificazione)
- l'EPM che cita non è un servizio di posta certificata, e no fa diventare posta certificata un servizio di posta eletronica normale: non capisco come possa tornare utile
- concordo che gli autori della PEC non abbiano inventato nulla in termini di standard (per fortuna! tutto ciò che serviva c'era già!). Il grosso del lavoro è stato quello di stabilire delle regole per i gestori per garantire sicureza ed interoperabilità. Se e quando si passerà alla REM dell'ETSI si potrà interoperare anche al di fuori dell'Italia.

Andrea Caccia

Sono felice che un così dotto colloquio sulla PEC si sia svolto sul mio blog. Il sano confronto serve ad implementare le informazioni sull'argomento.
Come ho avuto modo di dire anche al dottor Caccia, il mio pezzo era prevalentemente un'intervista. L'unica cosa quindi che mi spiace è che si parli di mistificazione. E' chiaro ed evidente che si tratta di un punto di vista unico. Questo spazio serve anche per dire la propria in merito come ha giustamente fatto Caccia. Ribadisco il confronto è solo positivo.