La Posta Elettronica: concetti fondamentali

La Posta Elettronica: concetti fondamentali
Il servizio di Posta Elettronica rappresenta probabilmente il fattore che ha maggiormente contribuito
alla diffusione dell'utilizzo di Internet, soprattutto da parte dell'utenza non particolarmente tecnica.
Alcune caratteristiche fondamentali di tale servizio sono le seguenti:
– La “casella” di posta elettronica, ossia lo spazio disco nel quale, fisicamente, vengono
memorizzati i messaggi che si ricevono, viene generalmente assegnata da un “provider”,
un'azienda che vende servizi Internet. Tale casella viene generalmente identificata mediante un
indirizzo espresso nella forma <utente>@<dominio>. L'email dell'autore di questo capitolo è,
ad esempio, [email protected], dove “nome” identifica la casella di posta e “dominio.it” il
dominio Internet dal quale è possibile risalire al server che gestisce fisicamente quella casella;
– Nei messaggi di posta elettronica è oggi possibile includere uno o più “allegati”, ossia
qualunque file disponibile in formato digitale, tipicamente memorizzato sul proprio PC
(immagini, PDF, file ZIP, etc.);
– Il servizio di posta elettronica non richiede la disponibilità immediata del destinatario: è
possibile spedire messaggi ad un utente che non è fisicamente davanti al PC nel momento in cui
il messaggio viene spedito. Il servizio, tecnicamente, si definisce “asincrono”;
– Esistono diverse modalità attraverso le quali è possibile inviare e ricevere messaggi di posta
elettronica. Nel corso degli ultimi anni si sono diffusi i cosiddetti servizi di WebMail, ossia siti
web appositamente progettati per offrire all'utente di interfacciarsi con i servizi di posta
elettronica. Oltre ai servizi di WebMail, la gestione della posta elettronica può essere effettuata
attraverso opportuni programmi da installare sul proprio PC: Outlook Express, Thunderbird,
Eudora, Mozilla Messenger, sono solo alcuni di essi
L'infrastruttura che consente il funzionamento del servizio di Posta Eletronica affonda le sue radici
su tecnologie progettate e sviluppate al termine degli anni '60.
In origine il servizio era molto diverso da quello che conosciamo oggi: l'invio e la lettura dei
messaggi necessitavano di complesse operazioni tecniche, appannaggio esclusivo della ristretta
cerchia di tecnici del tempo.
Nel corso degli anni il servizio è stato profondamente cambiato ma, anziché riprogettarlo dalle
radici, si è via via scelto di “adeguarlo” alle esigenze che man mano si presentavano. Ad oggi tale
servizio potrebbe essere visto come una sorta di “vestito di Arlecchino”, dove per ogni nuova
necessità si è scelto di “aggiungere una pezza” piuttosto che pensare ad un vestito nuovo ed il
numero di pezze presenti è tale da rendere quasi invisibile il vestito originale. È proprio questo
approccio che, se da un lato consente una interoperabilità totale fra tutti gli utenti di posta
elettronico (è oggi possibile inviare e ricevere e-mail da chi ha una casella creata trenta anni fa...),
dall'altro comporta una serie di problematiche, fra le quali spiccano recentemente lo “spam”, il
“phishing” e la diffusione di virus via e-mail, con le quali tutti gli utilizzatori di posta elettronica
sono costretti a convivere.
Il funzionamento del servizio di Posta Elettronica è incentrato su tre fasi fondamentali:
Preparazione e Spedizione: è la fase nella quale il mittente scrive il messaggio sul proprio PC e lo
“affida” al sistema, all'infrastruttura di posta elettronica presente su Internet, affinché tale
messaggio venga gestito opportunamente;
Trasporto: è la fase in cui l'infrastruttura di posta elettronica riceve dal mittente il messaggio ed
attiva tutte le procedure necessarie per recapitarlo al server che gestisce la casella di posta del
destinatario e, quindi, è l'unico che può materialmente depositare il messaggio nella casella di
destinazione;
Recupero e Gestione: è la fase in cui il destinatario preleva, fisicamente, il messaggio dalla propria
casella e si organizza per gestirlo opportunamente. Abbiamo detto “gestirlo” anziché “leggerlo”
perché in realtà il destinatario può tranquillamente cancellare in messaggio senza leggerlo.
1/10
Si può osservare come queste tre fasi siano perfettamente analoghe alle procedure seguite
quotidianamente per l'utilizzo dei servizi di Poste Italiane. A pensarci bene, infatti, ogni volta che ci
poniamo l'obiettivo di spedire una cartolina, ci preoccupiamo di redigerla ed imbucarla in una
qualche cassetta postale (Preparazione e Spedizione). Entro qualche ora un postino provvederà a
recuperarla, portarla all'ufficio postale per l'avvio delle procedure di instradamento verso l'ufficio
postale di destinazione, il quale a sua volta procederà attraverso un altro postino a recapitarla nella
cassetta postale del nostro destinatario (Trasporto). Quest'ultimo, infine, quando lo riterrà
opportuno, provvederà ad aprire la cassetta e prelevarne il contenuto (Recupero e Gestione). Anche
in questo caso, non è detto che la cartolina venga letta in quanto potrebbe finire direttamente nel
cestino della spazzatura, magari appositamente predisposto proprio vicino alla cassetta postale per
consentire di liberarsi più facilmente della posta indesiderata (volantini pubblicitari, depliant di
supermercati o di negozi, etc.).
Le similitudini fra il servizio di Posta Elettronica ed il servizio di posta tradizionale ci offrono lo
spunto per alcune altre considerazioni particolarmente interessanti. Prima di discuterne, però, è
necessario descrivere le modalità di funzionamento della Posta Elettronica.
In figura fig.1 è visualizzata, a grandi linee, l'architettura che è alla base del servizio di Posta
Elettronica. Si distinguono:
il mittente, rappresentato dal personaggio di sinistra, che attraverso il suo PC ed un apposito
programma di Posta Elettronica (nell'esempio, Thunderbird) redige il messaggio che intende inviare
al destinatario;
il destinatario, rappresentato dal personaggio di destra, che sempre attraverso il proprio PC leggerà
il messaggio che avrà ricevuto;
un server di invio, (il primo, da sinistra), ossia il server che riceverà fisicamente il messaggio dal
PC del mittente ed avvierà la fase di trasporto affinché il messaggio possa essere correttamente
recapitato a destinazione.
server intermedi, ossia server che non interagiscono né con il mittente, né con il destinatario, ma
che prendono parte alla fase di trasporto consentendo al messaggio di giungere al server di
destinazione.
Illustrazione 1: Struttura del servizio di posta elettronica (e-mail in uscita dal PC = Invio
dell'email dal Server)
server di ricezione, (l'ultimo a destra), ossia il server che gestisce un certo numero di caselle di
posta (rappresentate dai quadratini in figura), una delle quali è associata proprio al destinatario del
messaggio. I server intermedi provvederanno a consegnare il messaggio a tale server che lo
depositerà nella casella dell'utente. L'utente, successivamente, provvederà a “scaricare” tali
messaggi sul proprio PC.
2/10
Tutti gli elementi qui presentati si riferiscono allo scenario nel quale mittente e destinatario
utilizzano, per la preparazione e per la lettura del messaggio, un programma di posta istallato sul
proprio PC.
Abbiamo già accennato al fatto che recentemente si registra una tendenza crescente ad utilizzare i
servizi di WebMail. Si tratta di applicazioni web che, anziché essere installate sul PC dell'utente,
risiedono sui server del provider e vengono utilizzate dall'utente attraverso un comune browser
internet, ossia un programma comunemente utilizzato per la navigazione sui siti internet. Di servizi
di WebMail ne esistono migliaia; il primo a raggiungere una diffusione di massa è stato HotMail
alla fine degli anni '90. Recentemente, per quanto riguarda i servizi rivolti alla comunità italiana,
tutti i principali provider (es.: Tiscali, Libero, Virgilio, Alice) forniscono alla propria utenza un
servizio di WebMail.
Rispetto agli elementi di cui al precedente elenco, i servizi di WebMail non alterano l'architettura di
posta elettronica. Tali servizi, come già segnalato, vengono utilizzati dagli utenti attraverso il
comune browser (ad es. Internet Explorer) di navigazione internet (cfr. figura al centro, in basso, in
figura 1 con il quale si accede al “Server di WebMail”. Sarà tale server ad interfacciarsi ad
opportuni server di invio e di ricezione per eseguire quelle operazioni che l'utente avrà richiesto
attraverso il proprio browser.
Di tutta l'architettura presentata, due aspetti richiedono una trattazione più approfondita:
server di invio,: si tratta di una operazione piuttosto elementare, anche dal punto di vista tecnico.
Dal punto di vista del programma di posta elettronica in esecuzione sul PC del mittente, per
consegnare il messaggio al server di invio è necessaria una unica informazione: il nome del server
di invio. Si tratta di un nome “Internet”, ossia un nome che identifica univocamente uno dei vari
server collegati ad internet e che, pertanto, sarà certamente associato anche al server di invio.
“box.clubnet.tin.it”, “smtp.tiscali.it”, “smtp.cineca.com” sono alcuni esempi di nomi di server di
invio, così come “www.google.com”, “www.unich.it”, “www.italia.gov.it” sono esempi di nomi di
server web, ossia di server i cui contenuti sono consultabili con un browser.
Il nome del server di invio, detto anche “Server SMTP”, viene comunicato all'utente dal proprio
provider e, se non lo si conosce, va richiesto a quest'ultimo.
Per quanto riguarda il nome e l'indirizzo e-mail del mittente, queste due informazioni vengono
generalmente richieste dal programma di posta elettronica ma unicamente per agevolare la scrittura
dei messaggi. Serviranno, in particolare, per indicare automaticamente il nome e l'indirizzo e-mail
del mittente in tutti i messaggi di posta spediti;
prelievo dal server di ricezione, analogamente alla consegna, un'informazione fondamentale per il
prelievo dal server di ricezione è il nome del server di ricezione (detto anche “Server POP3”).
Tuttavia, a differenza del caso precedente, questa informazione non è sufficiente. Il server di
ricezione, infatti, riceve la posta indirizzata a più utenti e sui suoi dischi saranno presenti più caselle
di posta. Per il prelievo della propria posta, pertanto, è necessario fornire indicazioni circa la casella
dalla quale si vuole prelevare i messaggi. Analogamente alla chiave di una comune cassetta postale,
al server di ricezione andranno fornite una “username” (per identificare univocamente la casella) ed
una “password” (per impedire l'accesso alla casella da parte dell'utenza non autorizzata)
Tornando alle analogie fra Posta Elettronica e Posta Ordinaria, alla luce dei concetti appena
introdotti, in tabella Tab.1 è possibile osservare come entrambi i servizi basino il proprio
funzionamento sugli stessi principi.
3/10
Posta Elettronica
–
–
–
Posta Ordinaria
Preparazione e spedizione: il mittente prepara, con il suo PC, il –
messaggio da spedire e o si consegna al server SMTP del proprio
provider;
Trasporto: il server SMTP si organizza per consegnare il
–
messaggio a destinazione, eventualmente tramite server (SMTP)
intermedi;
Recupero e gestione: il destinatario, con il suo client, scarica dal
server POP3, previa indicazione del proprio “username” e della
–
propria password, la posta presente nella sua casella (mailbox)
Preparazione e spedizione: il mittente scrive la lettera e la
imbuca in una cassetta postale (tipicamente, quella sotto casa o
presso il locale ufficio postale);
Trasporto: il postino “svuota” la cassetta ed avvia le procedure di
smistamento (che possono coinvolgere anche uffici postali
intermedi). Alla fine la lettera arriva nella buca delle lettere del
destinatario;
Recupero e gestione: l'utente apre la buca (con la chiave) e
preleva il contenuto.
È interessante osservare come nessuno dei due sistemi garantisce che i messaggi vengano
effettivamente letti!
Così come è perfettamente possibile aprire la propria buca delle lettere, prelevarne il contenuto e
buttarlo nella spazzatura senza leggerlo oppure dimenticarselo in mezzo alle altre lettere, allo stesso
modo è perfettamente possibile prelevare un messaggio di posta elettronica dal proprio server POP3
e cestinarlo oppure scordarselo in mezzo agli altri messaggi ricevuti.
Invero molti web mail offrono altri servizi per sapere se ad esempio l'email è stata ricevuta, se è
stata aperta o entrambe.
Riservatezza ed identificazione del mittente
Il servizio di Posta Elettronica è caratterizzato da due aspetti fondamentali, tra l'altro perfettamente
condivisi con il servizio di Posta Ordinaria:
Riservatezza della comunicazione: nel tragitto fra mittente e destinatario, il messaggio può essere
“intercettato” e letto da occhi indiscreti; così come il postino può leggere il testo di qualunque
cartolina (e non solo), allo stesso modo il gestore di uno qualunque dei server coinvolti (SMTP o
POP3) può leggere tutta la corrispondenza in transito da quel server.
Se da un lato questo aspetto deve portare l'utente a prestare la dovuta attenzione quando scambia
messaggi email con i propri interlocutori, dall'altro il problema non va estremizzato e confinato
esclusivamente al mondo “elettronico”: se in tutte le buste e in tutti i pacchi che quotidianamente si
ricevono o si spediscono c'è ben evidenziata la dicitura: “lato apribile per ispezione postale” vorrà
pur dire qualcosa;
Identificazione del mittente: è evidente che il servizio di Posta Ordinaria non offra alcuna garanzia
rispetto al mittente riportato sulla busta delle lettera o sulle cartoline che si ricevono.
L'identificazione del mittente, nel mondo della corrispondenza fisica, viene spesso basata sullo stile
della scrittura o sulla firma riportata in calce ai documenti. Tuttavia entrambi questi aspetti sono
facilmente “aggirabili”, da parte di un malintenzionato, a fronte di investimenti in tecnologia di
qualche decina di euro. Allo stesso modo è perfettamente possibile “alterare” l'identità del mittente
dei comuni messaggi e-mail. Abbiamo già accennato al fatto che, per l'invio al server di invio, il
nome e l'indirizzo e-mail del mittente non siano necessari. È evidente, quindi, che tali informazioni
possono essere alterate senza alcun tipo di difficoltà tecnica.
Rispetto ai problemi citati, va segnalato che le azioni di intercettazione e quelle di falsificazione
(siano esse applicate al mondo della Posta Ordinaria, sia a quello della Posta Elettronica) producono
delle implicazioni giuridiche che possono facilmente sconfinare in ambito penale. Non è certo
questa la sede più appropriata per analizzare in dettaglio la relazione fra la semplicità tecnica di tali
azioni e le loro conseguenze sul piano del diritto civile e penale. L'unica cosa che si vuole rimarcare
è l'invito a prestare anche per la Posta Elettronica tutte quelle cautele che normalmente si applicano
nella gestione della Porta Ordinaria: la Posta Elettronica non aumenta né diminuisce i vari rischi, se
non per un fattore di “moltiplicazione” dovuto al numero di messaggi e-mail inviati/ricevuti che,
con il passare degli anni, sarà destinato a surclassare il numero dei messaggi ordinari
Tornando all'analisi tecnica dei due problemi citati (riservatezza della comunicazione ed
4/10
identificazione del mittente), le tecnologie applicative oggi disponibili consentono agevolmente di
risolverle. In particolare, relativamente al solo servizio di Posta Elettronica:
Garanzia di riservatezza: attraverso un opportuno utilizzo di crittografia è possibile far si che il
messaggio risulti illeggibile a tutti, tranne che al legittimo destinatario. Va osservato come la
crittografia impedisca l'intercettazione del messaggio durante il suo trasporto, dal PC del mittente al
PC del destinatario. Ciononostante il messaggio resta intercettabile direttamente sui PC di entrambi:
un virus o un qualunque software costruito ad-hoc ed installato sul PC del mittente o del
destinatario può sicuramente intercettare il messaggio prima che questo venga criptato (sul PC del
mittente) o subito dopo che è stato decriptato (dal PC del destinatario);
Garanzia dell'identità del mittente: nel corso degli ultimi anni, specialmente nell'ambito della
diffusione dei cosiddetti servizi di eGovernment, si è sempre più parlato della cosiddetta “Firma
Digitale”. Tutte le Pubbliche Amministrazioni, tutti i Dottori Commercialisti, tutti i Notai, oggi,
inviano e ricevono quotidianamente un numero consistente di messaggi “elettronici” e, per questi, si
è certi, assolutamente certi, dell'identità del mittente. Tale certezza viene ottenuta proprio dalle
tecnologia di “Firma Digitale” che, tra l'altro, dal punto di vista tecnico, poggiano le basi proprio su
quelle tecniche di crittografia utilizzate per garantire la riservatezza nella fase di trasporto.
È interessante osservare come questi due ultimi aspetti creino la prima, vera, distinzione fra i servizi
di Posta Elettronica e quelli di Posta Ordinaria. Per quest'ultima, infatti, la “garanzia di
riservatezza” può essere ottenuta racchiudendo il proprio messaggio (cartolina, lettera, pacco)
all'interno di una cassaforte e spedendo la cassaforte stessa. Per quanto riguarda l'identità del
mittente, invece, perfino una raccomandata con ricevuta di ritorno non può garantire che il mittente
sia esattamente chi dice di essere.
Spam
Con il termine “SPAM” ci si riferisce alla attività di diffusione di messaggi di posta elettronica il cui
contenuto è esclusivamente di tipo pubblicitario e che non siano stati in alcun modo sollecitati,
richiesti, dal destinatario.
A grandi linee, il fenomeno dello SPAM riprende quello del “volantinaggio” applicato alla
corrispondenza ordinaria: così come ci vengono recapitati i volantini cartacei che pubblicizzano
supermercati, palestre o negozi di vario genere (voltantini che noi non abbiamo mai richiesto), allo
stesso modo qualcuno spedisce messaggi pubblicitari analoghi ma, anziché fisicamente, attraverso
la posta elettronica. Tuttavia, fra queste due situazioni, esistono differenze profonde che
analizzeremo nei prossimi paragrafi.
Tecnicamente, i messaggi di SPAM sono conosciuti con il nome “UCE - Unsolicited Commercial
Email” (Email commerciali non-sollecitate) oppure “Junk Mail” (Posta spazzatura). A tali nomi è
stato successivamente associato il termine SPAM che, storicamente, rappresentava la marca di una
famosa carne in scatola (SPAM – Spiced Ham) che negli Stati Uniti veniva fornita ai soldati
dell'esercito americano impegnati nelle missioni estere e che, per questo motivo, si guadagnò una
fama piuttosto negativa.
Le attività di promozione di prodotti e servizi che oggi vedono nello SPAM il principale
protagonista, affondano le proprie radici in settori diversi dall'Information-Technology. La prima
forma di questo genere di promozione trova origine negli Stati Uniti, dove sfruttando il fatto che le
telefonate urbane erano completamente gratuite, si diede origine a delle vastissime campagne di
invio di FAX e di telefonate fatte con messaggi preregistrati il cui obiettivo era quello di
promuovere un certo prodotto o un certo servizio.
Tuttavia, essendo tali azioni circoscritte ad una determinata zona geografica o, comunque, ad una
certa nazione, fu piuttosto semplice bloccarle: attraverso l'emanazione di una apposita legge, il
problema fu risolto non dal punto di vista tecnico, ma da quello giuridico.
Nel caso dello SPAM questo approccio non è attuabile: la natura dello SPAM è assolutamente
5/10
transnazionale ed oggi è perfettamente normale che un utente europeo o statunitense invii qualche
milione di messaggi e-mail utilizzando computer e server dislocati in paesi asiatici con i quali non
esistono relazioni diplomatiche.
Uno degli elementi caratterizzanti dello SPAM è che il costo delle relative campagne è
particolarmente basso per chi le promuove, e, viceversa, particolarmente alto per la comunità di
utenti e provider che le subisce. In altri termini, la gran parte dei costi di una campagna di SPAM
grava sulle spalle di chi riceve, e non di chi trasmette. Chi riceve, infatti, paga per la gestione di
quei messaggi che, nonostante non siano stati richiesti da nessuno, vanno “gestiti” dalle proprie
apparecchiature che a tutti gli effetti vengono abusate e vanno messi a disposizione degli utenti
finali i quali li scaricheranno sui propri PC e li leggeranno spendendo minuti preziosi della propria
attività lavorativa.
Se si considera che in Europa, attualmente, oltre il 50% dei messaggi email in circolazione è
relativo a messaggi di SPAM, si capisce facilmente come la quantità di tempo che la comunità perde
per leggere/cancellare tali messaggi è veramente significativa.
Non solo ma il surplus di dati circolanti, fra l'altro a bassissimo costo, occupa spazio nei canali e
crea problemi di espansione e di velocità di trasmissione.
La battaglia contro lo SPAM è una battaglia difficile. Alcuni utenti provano ad inviare al mittente
delle false risposte di casella inesistente; altri provano a bloccare i messaggi in funzione del server
di provenienza oppure del mittente stesso o del dominio Internet di partenza. Tali approcci, però,
sono pressoché inutili in quanto gli SPAMmer più evoluti utilizzano tecniche tali da rendere casuale
l'indicazione del mittente e da distribuire l'invio dei messaggi non su un singolo server (che
potrebbe essere agevolmente filtrato) ma attraverso una pluralità di server.
È chiaro, comunque, che la lotta allo SPAM consiste in una attività di filtraggio dei messaggi in
ingresso; attività che per essere “comoda” deve necessariamente essere effettuata da programmi
automatici che sollevino l'utente dalle attività di consultazione e cancellazione manuale dei
messaggi indesiderati. Queste attività, però, espongono l'utente al rischio di perdere dei messaggi
buoni che, per qualche motivo, vengono erroneamente riconosciuti come SPAM.
Di fatto, la battaglia contro lo SPAM può essere ricondotta alla definizione di una sorta di “soglia di
sopportazione”: più si è disposti a sopportare lo SPAM e meno si sentirà l'esigenza di “filtrare” i
messaggi in ingresso e, in ultima analisi, più basso sarà il rischio di perdere messaggi corretti.
Viceversa, meno si è disposti a sopportare lo SPAM, più sarà necessario filtrare i messaggi in
ingresso e, quindi, maggiore sarà la possibilità di vedersi filtrati i messaggi corretti.
Una tecnica piuttosto diffusa per limitare il numero di messaggi di SPAM è quella di evitare di
riportare il proprio indirizzo e-mail su pagine web e/o in messaggi di posta elettronica che in un
qualche modo hanno una visibilità “pubblica”. Gli spammer, infatti, generano il database di
indirizzi e-mail a cui inviare i messaggi di SPAM andando a cercare su internet tutti gli indirizzi che
compaiono nelle pagine web o nei documenti che sono liberamente disponibili su internet.
Va segnalato, comunque, che tutti gli sforzi tesi a prevenire la diffusione impropria del proprio
indirizzo e-mail diventano vani a causa dell'azione, sempre più frequente, di veri e propri virus
informatici scritti appositamente per recuperare indirizzi e-mail a cui inviare SPAM. È sempre più
frequente, infatti, la diffusione di virus che nel momento in cui infettano un computer provvedono
ad analizzare il contenuto della rubrica degli indirizzi del programma di posta elettronica
prelevando l'elenco di tutti gli indirizzi presenti per poi comunicarli ad un server centrale che
provvederà ad inserire tali indirizzi nella lista dei destinatari cui inviare futuri messaggi di SPAM.
Aldilà di questi aspetti, è comunque consigliabile utilizzare servizi di posta elettronica che
forniscono un servizio “antiSPAM” direttamente sul server del provider oppure, in alternativa o
anche in concomitanza, utilizzare un programma di posta elettronica che offre un qualche strumento
di “gestione” dello SPAM. A tal riguardo si invita il lettore a considerare l'ottimo Thunderbird, un
programma di posta elettronica Open Source, liberamente scaricabile da Internet, disponibile anche
per sistemi Windows ed in lingua Italiana nonché dotato di un comodo ed efficace filtro antiSpam.
6/10
Illustrazione 2: Mozilla Thunderbird
In figura Fig.2 è riportato un messaggio di SPAM che ci invita a cliccare sul link presente nel
messaggio per accedere ad un catalogo di software. Nella parte alta, subito sotto la barra dei bottoni,
è possibile osservare la segnalazione di Thunderbird che ci segnala come questo messaggio sembri
essere SPAM. Oltre a tale segnalazione Thunderbird può anche procedere alla cancellazione
automatica di tali messaggi oppure al loro spostamento in qualche cartella ad-hoc.
Phishing
Il Phishing rappresenta la forma più aggressiva di SPAM e, a tutti gli effetti, costituisce un vero e
proprio tentativo di frode informatica. Attraverso dei messaggi di Posta Elettronica costruiti ad arte,
il truffatore falsifica il mittente ed il contenuto dei messaggi per cercare di appropriarsi dei dati
personali dell'utente (chiavi di accesso al servizio di home banking, numero di carta di credito, etc.)
L'obiettivo del “Phisher”, ossia di colui che gestisce la campagna di Phishing, è quello di portare
l'utente a “cliccare” su un collegamento che è stato appositamente predisposto all'interno del
messaggio e che, una volta cliccato, mostra all'utente un sito Internet del tutto simile a quello della
società imitata ma che è sotto il controllo del Phisher. che potrà successivamente utilizzarle a
proprio piacimento. L'inserimento di username e password su tale pagina significa l'automatica
comunicazione delle stesse al Phisher.
Per evitare di incappare in queste situazioni, si consiglia di seguire sempre le “solite” precauzioni:
– Diffidare sempre da chiunque richieda tramite email di inviare dati personali/riservati quali
codice fiscale e numero di conto o codici di accesso come codice cliente, PIN e password.
– In caso di dubbi, contattare il Servizio Clienti o un riferimento dell'azienda mittente.
– Non accedere a siti internet, specie a quelli di home-banking o di e-Commerce, attraverso il
click fatto su collegamenti presenti all'interno di messaggi email, anche se apparentemente
inviate da una fonte affidabile. Piuttosto, aprire il browser e digitare direttamente l'indirizzo del
sito che desidera visitare.
– Privilegiare, specialmente per i servizi di eCommerce e di Home-Banking, quei siti che
utilizzano la crittografia e che consentono una qualche forma di identificazione del sito di
destinazione. Tali siti sono riconoscibili dal prefisso “https://” dell'indirizzo e da un lucchetto
visualizzato nella parte bassa del browser.
7/10
Posta eletronica certificata
La posta ordinaria sta alla posta elettronica, come la raccomandata con ricevuta di ritorno sta alla
Posta Elettronica Certificata.
Gli effetti: La Pec funziona tecnicamente in modo simile a un normale indirizzo di posta elettronica
ma viene equiparata alla raccomandata con ricevuta di ritorno (DPR 11 Febbraio 2005 n.68).
Si supera il fattore debole della posta elettronica "normale", nei contesti nei quali occorre fornire
una prova opponibile della consegna del messaggio.
Riferimento: Legge 28.01.2009 n. 2
6. Le imprese costituite in forma societaria sono tenute a indicare il proprio indirizzo di posta
elettronica certificata nella domanda di iscrizione al registro delle imprese o analogo indirizzo di
posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle
comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi
sistemi internazionali. Entro tre anni dalla data di entrata in vigore del presente decreto tutte le
imprese, gia' costituite in forma societaria alla medesima data di entrata in vigore, comunicano al
registro delle imprese l'indirizzo di posta elettronica certificata. L'iscrizione dell'indirizzo di posta
elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti
dall'imposta
di
bollo
e
dai
diritti
di
segreteria.
7. I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi
ordini o collegi il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta
elettronica di cui al comma 6 entro un anno dalla data di entrata in vigore del presente decreto.
Gli ordini e i collegi pubblicano in un elenco riservato,consultabile in via telematica
esclusivamente dalle pubbliche amministrazioni,i dati identificativi degli iscritti con il relativo
indirizzo
di
posta
elettronica
certificata.
8. Le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo
2001, n. 165, e successive modificazioni, qualora non abbiano provveduto ai sensi dell'articolo 47,
comma 3, lettera a), del Codice dell'Amministrazione digitale, di cui al decreto legislativo 7 marzo
2005, n. 82, istituiscono una casella di posta certificata o analogo indirizzo di posta elettronica di
cui al comma 6 per ciascun registro di protocollo e ne danno comunicazione al Centro nazionale
per l'informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in
un elenco consultabile per via telematica. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza pubblica e si deve provvedere nell'ambito
delle
risorse
disponibili.
9. Salvo quanto stabilito dall'articolo 47, commi 1 e 2, del codice dell'amministrazione digitale di
cui al decreto legislativo 7 marzo 2005, n. 82, le comunicazioni tra i soggetti di cui ai commi 6, 7 e
8 del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere
inviate attraverso la posta elettronica certificata o analogo indirizzo di posta elettronica di cui al
comma 6, senza che il destinatario debba dichiarare la propria disponibilita' ad accettarne
l'utilizzo
Scadenze: Immediato, quindi già in corso: Pubbliche Amministrazioni
29.11.2008 - Nuove imprese societarie che devono fornirsi di Pec all'atto dell'iscrizione
29.11.2011 - Imprese societarie già iscritte alla data del 29.11.2009
29.11.2009 - Obbligo per i professionisti di dotarsi di indirizzo di Posta Elettronica Certificata e
comunicarlo al proprio Ordine di appartenenza
Gli effetti: La Pec funziona tecnicamente in modo simile a un normale indirizzo di posta elettronica
ma viene equiparata alla raccomandata con ricevuta di ritorno (DPR 11 Febbraio 2005 n.68).
Si supera il fattore debole della posta elettronica "normale", nei contesti nei quali occorre fornire
una prova opponibile della consegna del messaggio.
La posta ordinaria sta alla posta elettronica, come la raccomandata con ricevuta di ritorno sta alla
Posta Elettronica Certificata.
8/10
Caratteristiche:
E' garantita la certezza del contenuto: i protocolli di sicurezza utilizzati fanno si che non siano
possibili
modifiche
al
contenuto
del
messaggio
e
agli
eventuali
allegati.
In caso di contenzioso è garantita l'opponibilità a terzi del messaggio.
Cosa vuol dire "certificata":
Il gestore del servizio rilascia al mittente una serie di ricevuta che costituisce prova legale
dell’avvenuta spedizione del messaggio ed eventuali allegati. Allo stesso modo, il gestore del
destinatario invia al mittente la ricevuta di avvenuta consegna.
Nelle ricevute è inserito un riferimento temporale che certifica data ed ora di ognuna delle
operazioni certificate.
In caso di errore in qualsiasi fase del processo è fatto obbligo ai gestori di inviare appositi avvisi.
La traccia informatica delle operazioni resta conservata dal gestore per 30 mesi e consente la
riproduzione delle ricevute con lo stesso valore legale.
C'è inoltre la garanzia dell'identità del mittente e del destinatario che vengono certificati dagli enti
gestori della Pec.
Vantaggi della Pec:
- Semplicità di archiviazione, senza necessità di utilizzo di archivio cartaceo;
- Semplicità di ricerca, nell'ambito dell'archivio informatico;
- Possibilità di inviare qualsiasi formato elettronico con le garanzie fornite dalla Pec;
- La Pec si consulta ovunque, è sufficiente una connessione e un qualsiasi computer;
- Sostituzione della posta cartacea nei rapporti con clienti, fornitori e terzi, soprattutto in grosse
aziende dove il canale postale è particolarmente elevato;
- vantaggio economico per la diminuzione dei costi relativi al materiale, alle spese postali,
archiviazione e risorse umane;
- convocazioni di assemblee, consigli ed eventuali riunioni;
- gestione dei rapporti con la Pubblica Amministrazione;
- gestione delle gare di appalto;
Chi può emettere la Posta Elettronica Certificata:
L'elenco dei gestori abilitati è riportato nel sito del Cnipa.
Abitudini da cambiare: Le mail ricevute nella casella di Posta Elettronica Certificata hanno valore
legale. Dalla data in cui vengono rievute decorrono i termini di notifica.
E non si può dire che la posta non è stata ricevuta solo perchè non è stata letta.
Sarà necessario pertanto verificare almeno quotidianamente i messaggi pervenuti, o, eventualmente,
chiedere al fornitore di Pec di attivare uno di quei sistemi di alert (per esempio l'invio di un sms)
che agevoli in questo compito.
Difetti:La Pec ha inglobato tutti i difetti della raccomandata con ricevuta di ritorno: certifica l'invio,
certifica l'avvenuta consegna ma non certifica i contenuti del messaggio.
La Pec non è uno standard internazionale ma un insieme di regole italiane
Come distinguo un messaggio di posta normale da uno di Posta Elettronica Certificata?
Il messaggio mi arriva all'interno di una Busta di Trasporto, un messaggio che contiene il messaggio
originale; contiene i dati di certificazione del gestore, la firma del gestore, la provenienza, il
riferimento temporale e l'integrità del contenuto.
9/10
Indice generale
La Posta Elettronica: concetti fondamentali.........................................................................................1
server di ricezione.................................................................................................................................2
server di invio.......................................................................................................................................3
prelievo dal server di ricezione.............................................................................................................3
Riservatezza ed identificazione del mittente........................................................................................4
Spam.....................................................................................................................................................5
Phishing................................................................................................................................................7
Posta eletronica certificata....................................................................................................................8
10/10