POSTA ELETTRONICA CERTIFICATA E FIRMA DIGITALE

0
1282

di ENZO DONZELLI

Cosa sono e perché spesso vengono confuse

Negli ultimi anni si è sempre più diffusa la Posta Elettronica Certificata (PEC) e la “firma elettronica” o digitale.

Con l’emanazione delle nuove norme dettate dal Codice dell’Amministrazione Digitale (CAD – testo unico che riunisce e riorganizza le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese), l’utilizzo di questi due strumenti informatici è ormai all’ordine del giorno. È diventato quasi impossibile partecipare ad un concorso, gestire una pratica o attivare un contratto informatico, senza usare la PEC o la “firma elettronica” nelle sue varie forme.

Sotto la spinta di motivazioni di natura economica e per ottimizzare le risorse, questi strumenti si sono diffusi in modo capillare nelle nostre attività. Il fine è rendere più efficiente la gestione dei documenti in formato elettronico, che implica costi minori e un maggiore risparmio di tempo e di risorse materiali e immateriali. Basti pensare, ad esempio, alla diminuzione del consumo di carta che si ottiene automatizzando le procedure di gestione dei dati.

Utilizziamo questi strumenti in modo consapevole?

In questo articolo cercherò di fare chiarezza su tale aspetto. Iniziamo con la “firma elettronica” che esiste in forme diverse divisibili in due tipologie: “firma debole” e “firma forte”.

La “firma debole” è “l’insieme dei dati in forma elettronica utilizzati come metodo di identificazione informatica”. Quindi, anche le credenziali di accesso, come nome utente e password o il “pin”, riconducono all’autore che ha richiesto un servizio o una risorsa informatica. Non va dimenticato che lo scopo di una firma, anche quella classica autografa, è il cosiddetto non ripudio. Con l’apposizione della nostra firma, infatti, accettiamo le condizioni illustrate in un contratto, oppure confermiamo di essere gli autori di una lettera o di un documento che abbiamo sottoscritto senza possibilità di negarlo a posteriori, ossia, di ripudiarlo.

Nel caso di un account, se scriviamo su un forum cui siamo iscritti, o se usiamo la nostra e-mail per inviare notizie e documenti, il contenuto dei messaggi è automaticamente attribuito a noi, perché la password personale e segreta non può essere utilizzata da altri. Di conseguenza, nel caso la firma sia falsa (furto d’identità) o sia stata estorta, per dimostrarlo dobbiamo accendere una causa giudiziaria.

La “firma forte” è “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.

In questo caso la firma non soltanto identifica l’autore in modo inconfutabile, ma assicura che il documento non sia stato successivamente modificato a sua insaputa. Ciò è realizzabile utilizzando metodi di cifratura associati a certificati informatici rilasciati da enti terzi, riconosciuti ed accreditati.

L’altro strumento, ancora più diffuso negli ultimi anni, è la PEC (Posta Elettronica Certificata), che garantisce la consegna al destinatario tramite una “ricevuta di ritorno” in formato elettronico, gestita dai server che smistano la posta, la quale sostituisce la raccomandata cartacea con avviso di ricevimento, avente analogo valore legale.

Procedura valida in Italia. La PEC nel mondo non è usata, o viene utilizzata con modalità diverse

La PEC è un fenomeno italiano. Essa è stata introdotta con il DPR 68/2005 come strumento di certificazione imposto per legge, esportato vanamente anche in altri Paesi, alcuni dei quali lo hanno rifiutato perché ritenuto inutile. Di fatto, è un meccanismo farraginoso che funziona solo tra caselle e-mail speciali. Lo stesso risultato è ottenibile con una normale casella e-mail, cui basterebbe aggiungere dei certificati simili alla” firma elettronica” (certificati s/mime) a garanzia sia dell’identità del mittente, sia dell’avvenuta ricezione.

Il panorama europeo è attualmente disomogeneo su questo fronte. Da un lato, esiste una variegata tipologia di sistemi simili alla PEC nostrana adottati negli Stati dell’Unione Europea, dall’altro lato, vi sono sistemi non interoperabili in quanto sviluppati e predisposti per essere utilizzati esclusivamente nell’ambito dei singoli territori nazionali. Per superare questo problema l’Unione Europea ha emanato il Regolamento (UE) n. 910 del 2014 (2014/910/UE) denominato eIDAS. Si tratta di un approdo normativo importante verso l’unificazione delle transazioni elettroniche certificate.

PEC usata come “firma elettronica”

A complicare ulteriormente la questione è l’accesso alla “posta elettronica”, che avviene tramite un account personale, certificato da un Ente terzo che provvede all’identificazione. Per cui, è plausibile ritenere che una casella email certificata funzioni anche come “firma debole”. Ultimamente, infatti, si sta utilizzando la PEC anche con la funzione di “firma elettronica” che identifica il mittente come responsabile del contenuto della mail.

Tale aspetto genera ancora più confusione negli utenti, abituati ad utilizzare la raccomandata con avviso di ricevimento solo per certificare l’accettazione del plico consegnato da parte del destinatario. Va ricordato che la responsabilità del contenuto dei documenti è del sottoscrittore di questi ultimi non del mittente. In altre parole, la “vecchia” raccomandata cartacea contenente, ad esempio, la domanda di partecipazione ad un concorso, avrebbe potuto spedirla anche un familiare o altri, senza per questo inficiare la validità della domanda stessa, sottoscritta e firmata dal partecipante. La PEC, invece, poiché identifica anche il mittente, costringe chi firma il documento ad utilizzare un proprio indirizzo per evitare ambiguità.

Considerazioni conclusive

Nel futuro prossimo, quando ci sarà una convergenza dei vari sistemi, la nostra “identità digitale” diventerà fondamentale. Senza questa, in una società informatizzata, in cui il mondo virtuale si sovrappone sempre più a quello reale, rischiamo di perdere la nostra “identità reale”.

I problemi nell’adozione delle nuove tecnologie non si risolvono con un’imposizione normativa, soprattutto in un settore come quello informatico in continua evoluzione, dove la convergenza degli strumenti può generare confusione nelle generazioni precedenti (basta pensare che fino a qualche decennio fa il telefono serviva solo per telefonare, mentre il televisore e la radio erano due oggetti ben distinti e separati).

Non bisogna aver paura dei cambiamenti ma l’uso degli strumenti informatici può generare equivoci e ambiguità. Persino i cosiddetti “nativi digitali” possono avere difficoltà a seguire i rapidi cambiamenti imposti dalle TIC (Tecnologie dell’Informazione e della Comunicazione), soprattutto quando il loro uso viene continuamente rivisto e riadattato, sovrapponendo strumenti e metodi.

Einstein soleva affermare: “Ognuno è un genio, ma se si giudica un pesce dall’abilità di arrampicarsi sugli alberi, passerà la vita a sentirsi uno stupido