Scarica il modulo in formato pdf

Transcript

CENTRO DI ECCELLENZA ITALIANO SULLA CONSERVAZIONE DIGITALE
PEC - Posta Elettronica Certificata
SILVIO SALZA
Università degli Studi di Roma “La Sapienza”
CINI- Consorzio Interuniversitario Nazionale per l’Informatica
[email protected]
Work supported by the European Community under the
Information Society Technologies (IST) program of the 7th FP for RTD
project APARSEN, ref. 269977
SILVIO SALZA - Università di RomaSILVIO
“La Sapienza”
– PEC-Posta
Elettronica
Certificata
SALZA
- Università
di Roma
“La Sapienza” –
1
LICENZA DI DIRITTO D’AUTORE
Questo materiale è rilasciato sotto licenza Creative Commons CC BY-NC-ND
Questa licenza implica che:
• È possibile copiare e distribuire liberamente questo materiale, a patto che non vengano
apportate modifiche e che vengano mantenute le indicazioni di chi è l'autore dell'opera.
• Ciò è però consentito esclusivamente quando avvenga per scopi non commerciali.
• Non è consentito di distribuire opere derivate, cioè contenenti qualsivoglia modifica
rispetto al materiale originale.
Per maggiori dettagli si rimanda direttamente alla licenza:
• Riassunto della licenza: http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it
• Licenza completa: http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode
SILVIO SALZA - Università di RomaSILVIO
“La Sapienza”
– PEC-Posta
Elettronica
Certificata
SALZA
- Università
di Roma
“La Sapienza” –
2
La Posta Elettronica Certificata (PEC)
• E’ un’infrastruttura, prevista dalla normativa italiana, per
l’invio di messaggi di e-mail di cui sono garantite la consegna
e l’integrità
• Per legge un messaggio di PEC ha la stessa validità di una
raccomandata con ricevuta di ritorno
• L’infrastruttura si basa su un insieme di gestori certificati,
soggetti a processi di autorizzazione e controllo gestiti dal
CNIPA (ora DigitPA) e simili a quella dei cerificatori per la firma
digitale: spesso i soggetti coincidono
• Possono scambiarsi messaggi di PEC solo due utenti che
abbiano entrambi caselle di PEC presso gestori certificati
Tutte le Amministrazioni Centrali devono avere caselle di PEC,
tramite le quali il cittadino ha diritto a comunicare con loro
SILVIO SALZA - Università di Roma “La Sapienza” – PEC-Posta Elettronica Certificata
3
Il quadro normativo della PEC
•
DPR 11 febbraio 2005, n. 68, “Regolamento recante disposizioni per l’utilizzo
della posta elettronica certificata, a norma dell’articolo 27 della legge 16
gennaio 2003, n. 3.” (G.U. 28 aprile 2005, n. 97)
•
DL 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale” (G.U. 16
maggio 2005 n.112), integrato dal successivo DL 235/2010
•
DM 2 novembre 2005, “Regole tecniche per la formazione, la trasmissione e
la validazione, anche temporale, della posta elettronica certificata” (G.U. del
14 novembre 2005, n. 265) (Versione più recente delle regole tecniche)
•
DL 4 aprile 2006 n. 159 “Disposizioni integrative e correttive al decreto
legislativo 7 marzo 2005, n. 82 recante Codice dell’amministrazione digitale”
•
DL 30 dicembre 2010, n. 235, “Modifiche ed integrazioni al decreto legislativo
7 marzo 2005, n. 82, recante Codice dell'amministrazione digitale, a norma
dell'articolo 33 della legge 18 giugno 2009, n. 69 (Nuovo CAD)
4
Gestori di Posta Certificata
• La PEC è basata su particolari Caselle di Posta Certificata
• Le caselle appartengono a particolari domini DNS detti domini
di posta certificata
• Le caselle sono accessibili tramite i normali client di posta
elettronica, nelle varie modalità (POP, IMAP, HTTPS)
• Le caselle sono però gestite da Gestori Accreditati cioè da
soggetto che gestisce uno o più domini di posta elettronica
certificata
• Ogni gestore è titolare di una chiave usata per la firma delle
ricevute e delle buste
• Ciascun deve garantire l’interoperabilità con tutti gli altri
gestori
• I gestori sono accreditati e monitorati da DigitPA
5
Come funziona la PEC: attori del processo
• Due utenti si possono scambiare messaggi se entrambi sono
titolari di una casella di PEC
• L’interazione tra PEC e posta ordinaria è possibile ma non ha
la stessa validità
• Attori del processo sono:
─ Il mittente (titolare di una casella PEC)
─ Il gestore del mittente
─ Il gestore del destinatario
─ Il destinatario
Può esistere un’ulteriore attore, l’utilizzatore, se diverso dal titolare
della casella
6
Come funziona la PEC: schema di consegna
7
Fasi del processo di consegna
•
•
•
•
•
•
•
•
•
•
•
•
1a – l’utente invia una e-mail al Punto di accesso (PdA)
1b – il PdA restituisce al mittente una Ricevuta di Accettazione (RdA)
2a – il PdA crea una Busta di Trasporto (BdT) e la inoltra al Punto di Ricezione
(PdR) del Gestore destinatario
2b – il PdR verifica la BdT e crea una Ricevuta di Presa in Carico (RdPiC) che
viene inoltrata al PdR del Gestore mittente
2c – il PdR verifica la validità della RdPiC e la inoltra al PdC
2d – il PdC salva la RdPiC nello store delle ricevute del Gestore
3 – il PdR inoltra la BdT al Punto di Consegna (PdC)
4a – il PdC verifica il contenuto della BdT e la salva nello store (mailbox del
destinatario)
4b – il PdC crea una Ricevuta di Avvenuta Consegna (RdAC) e la inoltra al PdR
del Gestore mittente
4c – il PdR verifica la validità della RdAC e la inoltra al PdC
4d – il PdC salva la RdAC nella mailbox del mittente
5 – l’utente destinatario ha a disposizione la e-mail inviatai DigitPA.
8
Ricevute
• Un aspetto molto importante della PEC è costituito dalle
ricevute che i due gestori coinvolti inviano al mittente
• In un invio andato buon fine abbiamo le seguenti ricevute:
1. Ricevuta di accettazione: rilasciata dal gestore del
mittente quando accetta il messaggio
2. Ricevuta di presa in carico: rilasciata dal gestore del
destinatario quando riceve la busta con il messaggio
3. Ricevuta di avvenuta consegna: rilasciata dal gestore del
destinatario dopo la consegna al destinatario
• Tutte le ricevute sono firmate dai gestori che rilasciano e
vengono da essi conservate
• Le ricevute di accettazione e di avvenuta consegna vengono
inoltrate al mittente
9
Ricevuta di avvenuta consegna
• Il mittente può richiedere la ricevuta di avvenuta consegna
in diversi formati:
1. Ricevuta completa: contiene, oltre all’attestazione della
consegna anche una copia del messaggio completo
2. Ricevuta breve: contiene il messaggio originale ma solo
degli hash per gli allegati
3. Ricevuta sintetica: contiene solo l’attestazione della
avvenuta consegna
Nel caso di ricevuta completa o breve il mittente è in grado di
dimostrare non solo la consegna, ma il contenuto del messaggio
10
Mancata accettazione e mancata consegna
• Il messaggio può non concludere il suo iter di consegna per
diversi motivi:
─ La consegna non è possibile a causa di un errore: viene
inviata dal gestore del destinatario una ricevuta di
mancata consegna che viene inoltrata al mittente
─ La consegna non è possibile a causa di un virus rilevato
dal gestore del destinatario: viene inviata dal gestore del
destinatario una ricevuta di mancata consegna che viene
inoltrata al mittente
dal gestore del mittente: viene restituito al mittente un
avviso di non accettazione
11
Mancata accettazione e mancata consegna
• Il messaggio può non concludere il suo iter di consegna per
diversi motivi:
─ La consegna non è possibile a causa di un errore: viene
inviata dal gestore del destinatario una ricevuta di
mancata consegna che viene inoltrata al mittente
dal gestore del destinatario: viene inviata dal gestore del
destinatario una ricevuta di mancata consegna che viene
inoltrata al mittente
dal gestore del mittente: viene restituito al mittente un
avviso di non accettazione
12
Invio da casella ordinaria a casella PEC
13
Invio da casella PEC a casella ordinaria
14
Il log dei messaggi
• Durante tutto i processo di consegna il sistema mantiene traccia
di tutte le operazioni svolte
• Tutte le attività sono memorizzate su un registro riportante i dati
significativi dell’operazione:
─ il codice univoco assegnato al messaggio originale (Message-ID)
─ la data e l’ora dell’evento
─ il mittente del messaggio originale
─ i destinatari del messaggio originale
─ l’oggetto del messaggio originale
─ il tipo di evento (accettazione, ricezione, consegna, emissione
ricevute, errore, ecc.)
─ il codice identificativo (Message-ID) dei messaggi correlati
generati (ricevute, errori, ecc.)
─ il gestore mittente
15
Obblighi di conservazione
• L’utente è tenuto a conservare le ricevute relative all’invio
dei messaggi
• Se le ricevute vengono smarrite è possibile richiedere ai
gestori le informazioni contenute nei log, per ricostruire il
processo di consegna
• I gestori sono tenuti a conservare i log per almeno 30 mesi
• I gestori sono anche tenuti a conservare anche i messaggi di
cui non è stata possibile la consegna per 30 mesi
• I gestori sono tenuti a procedere al salvataggio del log dei
messaggi con periodicità non superiore alle 24 ore
• Le copie salvate del log devono essere marcate
temporalmente
16
La PEC come strumento di validazione
• Il nuovo CAD introduce norme più rigorose per
l’identificazione dei titolari di caselle PEC
• Ciò consentirà di associare univocamente la casella al
titolare, ed è importante ai fini della valutazione
• La PEC svolgerà una doppia funzione di valutazione:
─ Validazione temporale, perché è certo il tempo di invio
─ Validazione del contenuto, perché il fatto di inviarlo
dalla propria casella equivale ad assumerne l
responsabilità
• Questo sarà valido per gli invii verso la PA
• Negli altri casi è liberamente valutabile in giudizio
17
Ma è l’unico modo?
•
•
•
•
L’uso della PEC è diventato abuso (anche maniacale)
È un problema che condivide con la firma elettronica
Qualcuno ha dovuto iscrivere i figli all’asilo tramite PEC!
Uno si chiede: ma come fanno gli altri Paesi a sopravvivere
senza PEC?
• In alcune circostanze la PEC può essere senza dubbio uno
strumento utile, ma occorre evitare generalizzazioni
• Tuttavia è inadatta a gestire altre situazioni, per esempio
molti servizi di e-government (soprattutto verso il cittadino)
Il difetto della PEC è di replicare un paradigma di comunicazione
epistolare che nella moderna gestione delle transazioni e del
workflow sta diventando obsoleto
18
L’alternativa
• Per effettuare un bonifico bancario da 100.000 Euro faccio i
seguenti passi:
a) Vado sul sito della mia banca con il browser
b) Mi autentico con userid e password
c) Effettuo l’operazione
d) Confermo tramite un dispositivo OTP
• E se invece dovessi mandare una e-mail certificata alla banca?
• È senz’altro possibile applicare questo paradigma anche a
transazioni con la PA
Si noti, tra l’altro, che alcune transazioni tra cittadino ed Agenzia
delle Entrate già si svolgono senza firma digitale, posta certificata
e altri orpelli ( e stiamo parlando di soldi!)
19
Servizi tramite portali
• L’alternativa è l’interazione tramite portali certificati
─ Autenticazione sicura dell’utente
─ Garanzia dell’integrità delle informazioni scambiate
─ Registrazione delle azioni (non ripudio)
• Interazione tramite form
─ Immissione diretta delle informazioni
─ Controlli preliminari dei dati
Paradigma ormai entrato nella quotidianità degli
utenti e largamente utilizzato per altri servizi (anche
con esigenze critiche) : bancari, e-commerce, etc.
20
Transazioni su portali certificati
PORTALE WEB
DB
Estrazione
dati
Generazione
domanda
01011010
11010100
11101101
00101011
10010011
Generazione
risposta
WORKFLOW
01011010
11010100
11101101
00101011
10010011
Archiviazione
ARCHIVIO
Se necessario l’interazione può anche generare documenti
21

Scarica il modulo in formato pdf

Transcript

Documenti analoghi

WebSite X5 FREE Una soluzione software che

istituto di istruzione superiore "angelo frammartino"

Modulo di prenotazione della Casella di posta elettronica certificata

Attivazione posta elettronica certificata

• Pappardelle al ragù di cinghiale • Spezzatino di cinghiale con

POSTA ELETTRONICA CERTIFICATA

CORALE PISANA” IN CONCERTO

Obbligatorietà Posta Elettronica Certificata (PEC)

Posta Elettronica Certificata (PEC)