Posta elettronica certificata

PEC è l'acronimo, in informatica, di Posta Elettronica Certificata per lo standard Europeo per il sistema di posta elettronica che permette di inviare e ricevere posta elettronica avente lo stesso valore legale di una raccomandata con ricevuta di ritorno classica. "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa infatti fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione. Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse. Dal punto di vista dell'utente una casella di posta elettronica certificata non è differente da una normale casella di posta elettronica normale. La posta viene inviata o attraverso il proprio programma preferito (POP3 o IMAP) oppure attraverso una interfaccia web. Ciò che cambia è il protocollo di comunicazione sottostante. Quando il mittente possessore di una casella PEC invia un messaggio ad un altro PEC, il messaggio viene raccolto dal proprio gestore di posta PEC che lo racchiude in una busta (virtuale), vi applica una firma elettronica in modo da garantire inalterabilità e provenienza e vi appone, inoltre, una marca temporale per garantire l'orario di spedizione. Fatto questo, il gestore PEC del mittente invia il messaggio, costituito dalla busta virtuale, al gestore PEC del destinatario, il quale verifica la firma e rilascia una ricevuta di avvenuta presa in carico del messaggio per conto del destinatario. Quando il destinatario si connette alla propria casella PEC e scarica il messaggio, il gestore PEC del destinatario invia una ricevuta di avvenuta consegna al mittente del messaggio, che può essere quindi certo che il suo messaggio è giunto a destinazione. L'utilizzo della posta elettronica certificata nella pubblica amministrazione è un preciso obbligo introdotto dal codice dell'amministrazione digitale. Con la posta elettronica certificata le amministrazioni possono comunicare e trasmettere documenti tra di loro in tempo reale. Comunicazioni, atti e documenti trasmessi per e-mail tra uffici pubblici sono validi ai fini del procedimento amministrativo in tutti i casi in cui è possibile accertare Ia provenienza e cioè se sono siglate con Ia firma digitale, oppure con protocollo informatico o trasmessi con posta certificata. I cittadini e le imprese che ne fanno richiesta hanno diritto a ricevere tutte le comunicazioni dalle pubbliche amministrazioni via e-mail all'indirizzo che avranno dichiarato. Le comunicazioni e i documenti ricevuti in questo modo avranno piena validità giuridica anche verso altre persone o aziende. La norma quindi incalza la pubblica amministrazione, e gli effetti si iniziano a vedere: un esempio è la circolare 188870 dell'Agenzia delle Entrate che ha istituito l'obbligo dal 1 marzo 2006, per le banche e gli istituti finanziari, di trasmettere alcuni dati utilizzando come canale Ia posta elettronica certificata. Nel mercato privato utilizzare la posta certificata per le comunicazioni commerciali tra azienda e clienti (invio fatture di utenze domestiche, invio estratti conto da parte delle banche ai propri correntisti) sono solo alcuni degli esempi di utilizzo, da considerare come opportunità per avere un rapporto più diretto con la clientela, garantendo certezza sulla spedizione e sulla ricezione della comunicazione oltre alla provenienza e integrità del suo contenuto.

Il funzionamento del servizio di PEC non si differenzia dal normale funzionamento dell'email, se non per la gestione delle ricevute collegate al messaggio originale ed ai dati di certificazione:

• firma elettronica certificata dai gestori come, disposto dell'art. 1, D.P.R. del n. 445/2000;

• indicazione temporale di riferimento opponibile ai terzi.

Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.

I sistemi di gestione di PEC, durante i passaggi intermedi dal mittente al destinatario finale, anche nel caso in cui il mittente ed il destinatario appartengono allo stesso dominio di posta elettronica certificata, generano dei messaggi specifici (conformi allo standard internazionale S/MINE) elaborati in base alla tipologia di messaggio e distinti in tre categorie: le ricevute, gli avvisi e le buste.

Con la certificazione delle fasi del servizio di PEC il mittente riceve dal gestore di posta una ricevuta, che costituisce prova legale dell'avvenuta spedizione del messaggio e dell'eventuale documentazione allegata.

Ai fini della validità della trasmissione e della ricezione del messaggio di Posta Elettronica Certificata vengono rilasciate, rispettivamente:

1.ricevuta di accettazione, proveniente dal proprio gestore di posta, che attesta l'avvenuto invio della mail (l'attestazione riguarda anche la presenza di eventuali allegati inoltrati insieme alla mail certificata);

2.ricevuta di presa in carico che attesta il passaggio di responsabilità dall'utente al gestore;

3.ricevuta di avvenuta consegna completa, breve, sintetica proveniente dal gestore di posta del destinatario, che certifica che quest'ultimo abbia ricevuto la comunicazione. Tale certificazione sarà resa nel momento in cui il destinatario avrà disponibilità del messaggio (ossia al momento del ricevimento), indipendentemente dal fatto che egli lo abbia letto o meno.

Gli avvisi generati dal sistema di posta elettronica certificata possono essere:

a) avviso di non accettazione (per eccezioni formali o virus informatici); b) avviso di mancata consegna (per il superamento dei tempi massimi previsti o per virus informatici); in caso di un'eventuale mancata ricezione da parte del destinatario il gestore di posta del destinatario informerà il mittente qualora entro 24 ore non sarà riuscito ad effettuare la consegna del messaggio; c) avviso di rilevazione di virus informatici.

Le tipologie di buste create dal sistema possono essere:

a) busta di trasporto (contenente il messaggio originario, i dati di certificazione e la firma del gestore); b) busta di anomalia (contenente il messaggio errato e la firma del gestore).

Tutte le tipologie di messaggi generati dal sistema PEC sono sottoscritti dai gestori di posta elettronica certificata mediante la firma. I certificati di firma di cui il gestore deve disporre ai fini della validità della certificazione del messaggio sono rilasciati dal CNIPA al momento dell'iscrizione nell'elenco pubblico dei gestori di posta elettronica certificata e sino ad un numero massimo di dieci firme per ciascun gestore (ai sensi dell'art. 7 del D.P.C.M. 2 novembre 2005 è prevista la possibilità di richiedere un numero di certificati di firma superiore a 10 da parte dei Gestori). Il percorso dal mittente al destinatario finale del messaggio di PEC è di seguito schematizzato attraverso una sequenza che illustra le fasi del passaggio dal mittente al rispettivo gestore e dal gestore del destinatario al destinatario stesso ed inoltre evidenzia i momenti in cui il servizio di PEC genera le tre tipologie di ricevute descritte in precedenza

Le modalità di accreditamento all'elenco pubblico dei gestori di posta elettronica certificata, sono contenute nella Circolare CNIPA n. 49, del 24 novembre 2005.

La domanda, oltre ad indicare la denominazione o la ragione sociale, la sede legale e l'indicazione del rappresentante legale della società, deve essere corredata dei relativi allegati.

La domanda correlata degli allegati necessari può:

• essere sottoscritta dal legale rappresentante della società e consegnata a mano o inviata in plico chiuso, con l'indicazione del mittente, al CNIPA, Via Isonzo 21/b, 00198 Roma;

oppure

• essere predisposta in formato elettronico, utilizzando la sottoscrizione con firma digitale, ed inviata alla casella di posta elettronica cnipadir@cert.cnipa.it.

L'istruttoria delle domande di iscrizione viene condotta dal CNIPA; il compito dell'organo è quello di verificare la regolarità della documentazione prodotta e, qualora sia necessario, procedere con una integrazione di istruttoria per documentazione incompleta al fine di autorizzarne l'iscrizione nell'elenco dei gestori di PEC.

a) una copia autentica dell'atto costitutivo della società; b) una copia dello statuto sociale aggiornato, rilasciato dalla competente Camera di commercio; c) il certificato di iscrizione nel registro delle imprese, con dicitura antimafia, rilasciato in data non anteriore a novanta giorni rispetto alla data di presentazione della domanda; d) una dichiarazione rilasciata dall'organo preposto al controllo o dal soggetto incaricato della revisione contabile ai sensi della normativa vigente - in data non anteriore a trenta giorni rispetto alla data di presentazione della domanda - attestante l'entità del capitale sociale versato, nonché l'ammontare e la composizione del patrimonio netto; e) un prospetto della situazione patrimoniale, predisposto e approvato dall'organo amministrativo, di data non anteriore a centottanta giorni rispetto a quella di presentazione della domanda; f) una relazione dell'organo preposto al controllo, o del soggetto incaricato della revisione contabile, redatta ai sensi della normativa vigente, sulla situazione patrimoniale; g) documentazione equivalente a quella prevista ai punti precedenti, legalizzata ai sensi dell'articolo 33 del Testo unico (sono tenute a questo adempimento le società costituite all'estero ed aventi sede in Italia); h) un elenco nominativo che rechi l'indicazione del/dei rappresentante/i legale/i, dei componenti dell'organo di amministrazione e dell'organo di controllo; i) una copia della polizza assicurativa - o certificato provvisorio impegnativo - stipulata per la copertura dei rischi derivanti dall'attività e dagli eventuali danni causati a terzi, rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali a norma delle vigenti disposizioni; l) una copia dell'ultimo bilancio, e relativa certificazione, se la società è stata costituita da più di un anno; m) una dichiarazione, rilasciata dal presidente della società, attestante la composizione dell'azionariato; n) una copia del manuale operativo, sottoscritto da un soggetto munito di potere di firma; o) una copia del piano per la sicurezza, sottoscritto e siglato in ogni foglio, da un soggetto munito di potere di firma; p) una relazione sulla struttura organizzativa, debitamente sottoscritta dal legale rappresentante, che contenga: l'elenco del personale addetto all'erogazione del servizio, i compiti allo stesso affidati, i ruoli rivestiti, i requisiti di competenza ed esperienza di ciascun addetto e le mansioni svolte; q) una dichiarazione di piena disponibilità a consentire l'accesso di incaricati del CNIPA presso le strutture dedicate all'erogazione del servizio di posta elettronica certificata, al fine di poter verificare la rispondenza delle stesse ai requisiti tecnici, organizzativi e funzionali di cui alla documentazione allegata alla domanda; r) una descrizione delle caratteristiche dei dispositivi sicuri utilizzati per la creazione della firma delle ricevute, degli avvisi e delle buste di trasporto; s) una dichiarazione d'impegno a comunicare al CNIPA ogni eventuale variazione intervenuta rispetto a quanto dichiarato nella domanda di iscrizione; t) una descrizione delle modalità operative del servizio, con riferimento all'implementazione delle regole tecniche

Fra le materie oggetto del controllo: l’interoperabilità, le modalità di commercializzazione, la gestione dei malfunzionamenti. La circolare Cnipa 2006/51 introduce l’obbligo - per i gestori - di effettuare test finalizzati a verificare l’interoperabilità dei propri sistemi. Tali verifiche - svolte presso una struttura indicata dal Cnipa - saranno fatte utilizzando una “suite di test” di riferimento, resa pubblica sul sito del Cnipa. Prevede inoltre che siano monitorate le modalità di commercializzazione del servizio di PEC per garantire l’unicità del rapporto tra titolare e gestore. Infine prescrive l’obbligo, da parte dei gestori, di fornire in tempi brevissimi l’informativa relativa a eventuali malfunzionamenti, classificando i livelli di criticità rilevati. Nel caso di significativi problemi, la circolare regolamenta la sospensione dell’attività del gestore. Il Cnipa potrà effettuare sopralluoghi presso le strutture operative utilizzate dal gestore per verificare la conformità del sistema PEC.

La posta elettronica certificata (PEC), come l'email di comune utilizzo, viaggia attraverso Internet e permette di inviare messaggi contenenti file di qualsiasi tipo (testi, immagini, video, ecc.). Il regolamento recante le disposizioni per l'utilizzo della posta elettronica certificata è contenuto nel Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, in vigore dal 13 maggio 2005; il Decreto del Consiglio dei Ministri, Dipartimento per l'Innovazione e le Tecnologie, 2 novembre 2005 disciplina invece le regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della Posta Elettronica Certificata (PEC). Con l'entrata in vigore delle norme tecniche disciplinanti il funzionamento della PEC è ora possibile utilizzare messaggi email che avranno valore a tutti gli effetti di legge e, pertanto, potranno essere assimilati alla raccomandata con ricevuta di ritorno, che, fino ad oggi, rappresentava il mezzo maggiormente utilizzato dai contribuenti per avere certezza di ricezione da parte del destinatario della comunicazione inviata. Infatti, con la certificazione del messaggio inviato con il sistema di PEC il mittente riceve dal gestore di posta una ricevuta che costituisce prova legale dell'avvenuta spedizione del messaggio e dell'eventuale allegata documentazione.

Il DPR 11 febbraio 2005, n. 68 (G.U. 28 aprile 2005, n. 97) disciplina le modalità di utilizzo della Posta Elettronica Certificata (PEC) non solo nei rapporti con la PA, ma anche tra privati cittadini. In sintesi le novità contenute nel provvedimento: • nella catena di trasmissione potranno scambiarsi le e-mail certificate sia i privati, sia le PA. Saranno i gestori del servizio (art. 14), iscritti in apposito elenco tenuto dal Cnipa (che verificherà i requisiti soggettivi ed oggettivi inerenti ad esempio alla capacità ed esperienza tecnico-organizzativa, alla dimestichezza con procedure e metodi per la gestione della sicurezza, alla certificazione ISO9000 del processo), a fare da garanti dell'avvenuta consegna. • per iscriversi nell'elenco dovranno possedere un capitale sociale minimo non inferiore a un milione di euro e presentare una polizza assicurativa contro i rischi derivanti dall'attività di gestore; • i messaggi verranno sottoscritti automaticamente da parte dei gestori con firme elettroniche. Tali firme sono apposte su tutte le tipologie di messaggi PEC ed in particolare sulle buste di trasporto e sulle ricevute per assicurare l’integrità e l’autenticità del messaggio; • i tempi di conservazione: i gestori dovranno conservare traccia delle operazioni per 30 mesi; • i virus: i gestori sono tenuti a verificare l'eventuale presenza di virus nelle e-mail ed informare in caso positivo il mittente, bloccandone la trasmissione (art. 12); • le imprese, nei rapporti intercorrenti, potranno dichiarare l'esplicita volontà di accettare l'invio di PEC mediante indicazione nell'atto di iscrizione delle imprese.

Il Dominio del PEC è conforme alla normativa ministeriale: ecco alcune notizie. Il Dominio di Posta Elettronica Certificata PEC è il servizio che prevede la fornitura di un Dominio di Posta Elettronica Certificata PEC riservato al cliente, con elevate caratteristiche di sicurezza secondo quanto stabilito dalle direttive di CNIPA/RUPA sulla trasmissione di documenti informatici. Il servizio di Dominio di Posta Elettronica Certificata PEC viene erogato 24 ore su 24, 365 giorni all'anno ed è caratterizzato da elevati standard di sicurezza. L'accesso alle caselle di Dominio di Posta Elettronica Certificata può avvenire con un normale client di posta oppure in modalità webmail.

La casella PEC permette l´invio e la ricezione di Posta Elettronica Certificata secondo le indicazioni del Testo Unico sulla documentazione amministrativa prevista, seguendo le linee guida del CNIPA presso la Presidenza del Consiglio dei Ministri. Questo consente alle Imprese e alle Pubbliche Amministrazioni, di utilizzare le caselle di posta elettronica certificata come caselle di posta istituzionali per scambio messaggi con lo stesso valore di una lettera Raccomandata AR.

Questo processo segue diverse direttive Europee in materia, e dal punto di vista tecnico è basato su diversi RFC, tra i quali RFC 3850 e RFC 3851 (S/MIME).