M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 673

ICT E DIRITTOICT E DIRITTO

Rubrica a cura diAntonio Piva, David D’Agostini

Scopo di questa rubrica è di illustrare al lettore, in brevi articoli, le tematiche giuridichepiù significative del settore ICT: dalla tutela del domain name al copyright nella rete, dallelicenze software alla privacy nell’era digitale. Ogni numero tratterà un argomento,inquadrandolo nel contesto normativo e focalizzandone gli aspetti di informatica giuridica.

1. INTRODUZIONE

D al 1° gennaio 2006 è in vigore il Codice del-l’amministrazione digitale (approvato con

d.lgs. 82/05), provvedimento, che accorpa lanormativa sull’utilizzo delle tecnologie infor-matiche nella pubblica amministrazione, desti-nato a definire i caratteri futuri dell’impiego in-tensivo delle nuove tecnologie1. Dal testo deldecreto emerge il “diritto all’uso delle tecnolo-gie”, ovvero il diritto riconosciuto a cittadini eimprese di richiedere e ottenere l’uso della te-lematica nelle comunicazioni con le pubblicheamministrazioni.La via maestra attraverso la quale si esplicatale diritto è rappresentata dalla posta elet-tronica, soprattutto se certificata, ovvero seconferisce prova della comunicazione come fi-nora è avvenuto con la raccomandata postalecon ricevuta.Infatti la posta elettronica o e-mail (abbrevia-zione di electronic mail) risulta ormai lo stru-mento di comunicazione elettronica più utiliz-zato per lo scambio di comunicazioni via Inter-net, il cui principale vantaggio è l'immediatezzadi trasmissione; i messaggi possono includeretesto, immagini, audio, video o qualsiasi tipo difile. La Posta Elettronica Certificata (PEC) è unsistema di posta elettronica nel quale è fornitaal mittente documentazione elettronica, con

valenza legale, attestante l'invio e la consegnadi documenti informatici.In particolare il menzionato Codice agli articoli45 e 48 dispone che il documento informaticotrasmesso per via telematica si intende speditodal mittente se inviato al proprio gestore e si in-tende consegnato al destinatario se reso dispo-nibile all'indirizzo elettronico da questi dichiara-to, nella casella di posta elettronica del destina-tario messa a disposizione dal gestore. La tra-smissione telematica di comunicazioni che ne-cessitano di una ricevuta di invio e di una ricevu-ta di consegna avviene mediante la posta elet-tronica certificata ai sensi del decreto del Presi-dente della Repubblica 11 febbraio 2005, n. 68;la trasmissione del documento informatico pervia telematica, effettuata nei casi consentiti dal-la legge in ottemperanza a tale normativa, equi-vale alla notificazione per mezzo della posta.La garanzia dell'invio e della ricezione di do-cumenti elettronici tra Pubbliche Amministra-zioni, cittadini e imprese si avvia quindi a di-ventare realtà: con il DPR n.68/05 l'e-mail cer-tificata acquista infatti valore legale, grazie alfatto che la trasmissione del messaggio e la ri-cezione da parte del destinatario sono atte-state dai Gestori di posta elettronica certifica-ta. Tale decreto (Regolamento recante le di-sposizioni per l’utilizzo della posta elettronicacertificata) stabilisce le procedure tecnicheper la certificazione dell’avvenuto invio e con-segna di posta tramite e-mail.La PEC, quindi, consente l’invio di messaggi lacui trasmissione è valida agli effetti di legge; a

La Posta Elettronica CertificataMaurizio Blancuzzi, David D’Agostini, Antonio Piva

1 Le innovazioni del codice dell’amministrazione digitalesono stati oggetto di trattazione nella presente rubricadel numero di dicembre 2005 di Mondo Digitale.

M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 6

1

0

0

0

1

74

tal fine, dev’essere utilizzato l’indirizzo espres-samente dichiarato dai cittadini ai fini di cia-scun procedimento con le pubbliche ammini-strazioni o di ogni singolo rapporto intrattenutotra privati e pubbliche amministrazioni. Le im-prese, nei rapporti tra loro intercorrenti, posso-no dichiarare l’esplicita volontà di accettarel’invio di PEC mediante indicazione nell’atto diiscrizione al registro delle imprese.L’Utilizzo della PEC, al posto della tradizionaleposta mediante raccomandata con ricevuta diritorno cartacea, è reso possibile attraverso lericevute elettroniche rilasciate dai gestori diposta che sono da questi sottoscritte medianteuna firma elettronica avanzata generata in au-tomatico dal sistema di posta e basata su chia-vi asimmetriche a coppia, una pubblica e l'altraprivata, assicurando così la provenienza, l'inte-grità e l’autenticità del messaggio di PEC2.L’elenco pubblico dei gestori di Posta Elettroni-ca Certificata, previsto dall’art. 14 del DPR 11febbraio 2005, n. 68 tenuto dal CNIPA (Centronazionale per l’informatica nella Pubblica Am-ministrazione) è reso disponibile attraverso larete Internet3. I gestori di PEC, per essere inclu-si nell’elenco pubblico gestito e controllato dalCNIPA, devono possedere determinati requisitisia di adeguatezza del personale, di sicurezza edi esperienza nell’erogazione di servizi analo-ghi, che per quanto riguarda la natura giuridicadella società e il suo capitale sociale. Sono inol-tre tenuti a garantire la riservatezza, la sicurez-za (anche per quanto concerne i virus informa-tici) e l’integrità nel tempo delle informazioni dicertificazione conservandole per trenta mesi.

2. IL FUNZIONAMENTO DELLA PEC

Il processo di invio e ricezione del messaggio diPEC è il seguente: il mittente spedisce il mes-saggio al suo gestore di PEC (punto di accesso)che gli inoltra la ricevuta di accettazione e con-temporaneamente invia il messaggio al gestoredel destinatario (punto di destinazione) assicu-rando l'interoperabilità dei servizi offerti.Come per una raccomandata con ricevuta di ritor-

no un’e-mail certificata si ritiene “ricevuta” dal de-stinatario se consegnata nella casella di posta elet-tronica (un tanto è comprovato dalla ricevuta cheinvia il gestore di posta di quest’ultimo) indipen-dentemente dal fatto che sia stato o meno letta.Nella figura 1 viene mostrato il flusso informati-co del processo di invio e ricezione di un mas-saggio di PEC includente le ricevute previstedal Decreto Ministeriale, contenente le “Regoletecniche per la formazione, la trasmissione e lavalidazione, anche temporale, della PEC” (tutti irequisiti tecnico-funzionali che devono essererispettati dalle piattaforme utilizzate per eroga-re il servizio), pubblicato nella Gazzetta Ufficia-le del 15 novembre 2005, n. 266.La PEC, quindi, è un sistema di posta elettronicanel quale è fornita al mittente documentazioneelettronica, con valenza legale, attestante l’invioe la consegna di documenti informatici. “Certifi-care” l’invio e la ricezione (i due momenti fonda-mentali nella trasmissione dei documenti infor-matici) significa fornire al mittente, da parte delproprio gestore di posta, una ricevuta che atte-sta l’avvenuta spedizione del messaggio e del-l’eventuale allegata documentazione. Allo stes-so modo, quando il messaggio perviene al desti-natario, il gestore invia al mittente la ricevuta diavvenuta (o mancata) consegna con precisa in-dicazione temporale. Se il mittente smarrisce lericevute, la traccia informatica delle operazionisvolte, conservata per legge per un periodo di30 mesi, consente la riproduzione, con lo stessovalore giuridico, delle ricevute stesse.La valenza legale di tutte le operazioni è garan-tita dall’utilizzo delle firme elettroniche: su tut-te le tipologie di messaggi PEC ed in particolaresulle buste di trasporto e sulle ricevute vengo-no apposte in modo automatico delle firme di-gitali da parte dei gestori al fine di assicurarel’integrità e l’autenticità del messaggio.Il CNIPA ha i compiti di effettuare le attività divigilanza e controllo assegnategli dalla normae, con un apposito Centro di competenza, disupportare le PA ai fini dell'introduzione dellaPEC nei procedimenti amministrativi.

2.1. Formato dei messaggi generatidal sistemaIl sistema di PEC genera i messaggi (ricevute,avvisi e buste) in formato MIME. I messaggi so-no composti da una parte di testo descrittivo,per l’utente, e da una serie di allegati (messag-

2 La tematica della firma elettronica stata trattata nellapresente rubrica del numero di marzo 2005 di MondoDigitale.

3 Si veda in www.cnipa.gov.it l’elenco pubblico dei gestoridi Posta Elettronica Certificata.

M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 6

1

75

0

0

0

1

gio originale, dati di certificazione ecc.) variabi-li a seconda della tipologia del messaggio.Il messaggio (composto dall’insieme delle partidescritte nelle specifiche sezioni del presenteallegato) è inserito in una struttura S/MIME v3,firmata con la chiave privata del gestore di po-sta certificata. Il certificato associato alla chia-ve usata per la firma è incluso in tale struttura eil formato S/MIME usato per la firma dei mes-saggi generati dal sistema è il “multipart/si-gned” (formato .p7s).Tutti i messaggi generati dal sistema di postacertificata sono identificabili per la presenza diun header specifico.Durante le fasi di trattamento del messaggiopresso i punti di accesso, ricezione e consegna, ilsistema mantiene traccia delle operazioni svol-te. Tutte le attività sono memorizzate su un regi-

stro riportante i dati significativi dell’operazione: ❑ il codice identificativo univoco assegnato almessaggio originale (Message-ID);❑ la data e l’ora dell’evento;❑ il mittente del messaggio originale;❑ i destinatari del messaggio originale;❑ l’oggetto del messaggio originale;❑ il tipo di evento (accettazione, ricezione, con-segna, emissione ricevute, errore ecc.);❑ il codice identificativo (Message-ID) dei mes-saggi correlati generati (ricevute, errori ecc.);❑ il gestore mittente.Viene garantita la possibilità di reperire, a ri-chiesta, le informazioni contenute nei log.

2.2. Punto di accessoIl punto di accesso consente all’utente di acce-dere ai servizi di posta certificata resi disponi-

FIGURA 1Busta di trasporto corretta e valida con consegna avente esito positivo:1a - L’utente invia una e-mail al destinatario attraverso il Punto di Accesso del Gestore; 1b - Viene restituita all’utente una Ricevuta di

Accettazione; 2a - Viene inoltrata la Busta di Trasporto e inoltrata al Punto di Ricezione del Gestore destinatario; 2b - Il Punto di Ricezio-

ne genera la Ricevuta di Presa in Carico che viene inoltrata al Punto di Ricezione del Gestore mittente; 2c - Il Punto di Ricezione del mit-

tente inoltra la Ricevuta di Presa in Carico al Punto di Consegna: 2d - Il Punto di Consegna salva la Ricevuta di Presa in Carico nello sto-

re delle ricevute del Gestore; 3 - Il Punto di Ricezione inoltra la Busta di Trasporto al Punto di Consegna; 4a - Il Punto di Consegna inseri-

sce la Busta di Trasporto nella mailbox del destinatario; 4b - Viene inviata una ricevuta di Avvenuta Consegna al Punto di Ricezione del

Gestore mittente; 4c - Il Punto di Ricezione inoltra la Ricevuta al Punto di Consegna; 4d - Il Punto di Consegna salva la Ricevuta di Avve-

nuta Consegna nella mailbox del mittente; 5 - L’utente destinatario ha a disposizione la e-mail inviata da mittente

Ricevutadi accettazione

Ricevutadi presa in carico

Punti di accesso

Messaggiooriginale Utente (invio) Store

1b

1a

4a

4b4c4d

2d 2c

2a

2b3

5

Utente(ricezione)

Puntodi consegna

Puntodi consegna

Puntodi ricezione

Ricevute(presa in carico

Ricevutadi avvenuta consegna

Punti di ricezione

Busta di trasporto

Dominio di postacertificata

Dominio di postacertificata

M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 6

1

0

0

0

1

76

bili dal proprio gestore. La possibilità da partedi un utente di accedere ai servizi di PEC preve-de necessariamente l’autenticazione dellostesso da parte al sistema. Alla ricezione di unmessaggio originale, il punto di accesso:❑ effettua dei controlli formali sul messaggio iningresso;❑ genera una ricevuta di accettazione; ❑ imbusta il messaggio originale in una bustadi trasporto.La ricevuta di accettazione indica al mittente cheil suo messaggio è stato accettato dal sistema ecertifica la data e l’ora dell’evento. All’interno del-la ricevuta è presente un testo leggibile dall’uten-te, un allegato XML con i dati di certificazione informato elaborabile ed eventuali altri allegati perfunzionalità aggiuntive offerte dal gestore.Il punto di accesso, utilizzando i dati dell’indicedei gestori di posta certificata, effettua un con-trollo per ogni destinatario del messaggio origi-nale per verificare se appartengono all’infra-struttura di posta certificata o sono utenti ester-ni (esempio, posta Internet). Tale controllo è rea-lizzato verificando l’esistenza dei domini dei de-stinatari presenti all’interno dell’indice dei ge-stori. La ricevuta di accettazione (ed i relativi da-ti di certificazione) riporta quindi la tipologia deivari destinatari per informare il mittente del dif-ferente flusso seguito dai due gruppi di messag-gi (utenti di posta certificata, utenti esterni).

2.3. Controlli formali sui messaggiin ingressoAl momento dell’accettazione del messaggio ilpunto di accesso deve garantirne la correttezzaformale effettuando delle verifiche sui campi(“From”,”To”…) o sui dati di instradamento.Qualora il messaggio non superi i controlli, ilpunto di accesso non dovrà accettare il messag-gio all’interno del sistema di posta certificataemettendo il relativo avviso di non accettazione.Qualora il punto di accesso non possa provvede-re all’inoltro del messaggio, a causa del manca-to superamento dei controlli formali, viene reca-pitato al mittente uno specifico avviso di non ac-cettazione. Il corpo del messaggio di questa ri-cevuta è composto da un testo che costituisce lavera e propria ricevuta in formato leggibile.

2.4. Busta di trasportoLa busta di trasporto consiste in un messaggiogenerato dal punto di accesso e contiene il

messaggio originale ed i dati di certificazione.Il corpo della busta di trasporto è composto daun testo che costituisce la parte immediata-mente leggibile dal destinatario del messaggiodi posta.All’interno della busta di trasporto è inserito inallegato l’intero messaggio originale immodifi-cato in formato conforme alla RFC 2822 comple-to di header, corpo ed eventuali allegati. Nellastessa busta di trasporto è inoltre incluso un al-legato XML che specifica i dati di certificazionegià riportati nel testo ed informazioni aggiuntivesul tipo di messaggio e tipo di ricevuta richiesta.

2.5. Punto di ricezioneIl punto di ricezione permette lo scambio dimessaggi di posta certificata tra diversi gestoridi posta certificata, ed è anche il punto attra-verso il quale messaggi di posta elettronica or-dinaria possono essere inseriti nel circuito del-la posta certificata.Lo scambio di messaggi tra diversi gestori av-viene tramite una transazione basata sul proto-collo SMTP come definito dalla RFC 2821.Il punto di ricezione, a fronte dell’arrivo di unmessaggio, effettua una serie di controlli edoperazioni quali la verifica della correttezza/na-tura del messaggio in ingresso, l’integrità e lacorrettezza delle busta di trasporto o delle rice-vute. La ricevuta di presa in carico è emessa dalgestore ricevente il messaggio, nei confronti delgestore mittente. Il suo fine è quello di consen-tire il tracciamento del messaggio nel passag-gio tra un gestore ed un altro.

2.6. Ricevuta di presa in caricoAllo scambio di messaggi di posta certificatacorretti tra differenti gestori di posta certifica-ta, il gestore ricevente emette una ricevuta dipresa in carico nei confronti del gestore mit-tente. Le ricevute di presa in carico emessesono relative ai destinatari ai quali è indirizza-to il messaggio in ingresso. All’interno dei datidi certificazione della singola ricevuta di presain carico sono elencati i destinatari a cui lastessa fa riferimento.L’indirizzo per l’invio delle ricevute al gestoremittente è ricavato dall’indice dei gestori diposta certificata durante l’interrogazione ne-cessaria per il controllo del soggetto che haemesso la firma nella verifica del messaggio iningresso.

M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 6

1

77

0

0

0

1

2.7. Busta di anomaliaQuando un messaggio evidenzia un errore oviene riconosciuto come messaggio non di po-sta elettronica certificata, il gestore effettua lapropagazione verso il destinatario utilizzandoun’apposita busta di anomalia per evidenziareal destinatario detta anomalia.

2.8. Avvisi relativi alla rilevazione di virusinformaticiSia il punto di accesso che quello di destinazio-ne effettuano controlli relativamente alla pre-senza di virus informatici. Qualora il gestore delmittente (destinatario) riceva messaggi con vi-rus informatici è tenuto a non accettarli, infor-mando tempestivamente il mittente (gestoredel mittente) dell’impossibilità di dar corso allatrasmissione ed emettendo un chiaro avviso dinon accettazione (mancata consegna) per virusinformatico.

2.9. Punto di consegnaAll’arrivo del messaggio presso il punto di conse-gna, il sistema del gestore di posta elettronicacertificata ne verifica la tipologia e stabilisce sedeve inviare una ricevuta al mittente. La ricevutadi avvenuta consegna è emessa dopo che il mes-

saggio è stato consegnato nella casella di postadel destinatario. La ricevuta di avvenuta conse-gna indica al mittente che il suo messaggio è sta-to effettivamente consegnato al destinatariospecificato e certifica la data e l’ora dell’eventotramite un testo leggibile dall’utente ed un alle-gato XML con i dati di certificazione. Infatti le ri-cevute di avvenuta consegna sono costituite daun messaggio di posta elettronica inviato al mit-tente che riporta la data e l’ora di avvenuta con-segna, i dati del mittente e del destinatario e l’og-getto. Se il messaggio pervenuto al punto di con-segna non fosse recapitabile alla casella di desti-nazione, il punto di consegna emette un avvisodi mancata consegna (Figura 2). Nel caso si veri-fichi un errore nella fase di consegna del messag-gio, il sistema genera un avviso di mancata con-segna da restituire al mittente con l’indicazionedell’errore riscontrato.

2.10. La provenienza PECLa posta elettronica certificata garantisce laprovenienza del messaggio attraverso l’assi-curazione dell’inalterabilità dell’indirizzo as-sociato alla casella di posta elettronica certifi-cata dalla quale si effettua l’invio del messag-gio; proprio questa particolarità del servizio

Ricevutadi accettazione

Ricevutadi presa in carico

Punti di accesso

Messaggiooriginale

Utente (invio) Store

1b

1a

4a

4b4c4d

2d2c

2a

2b3

Puntodi consegna

Puntodi consegna

Puntodi ricezione

Ricevute(presa in carico

Avvisodi mancata consegna

Punti di ricezione

Busta di trasporto

Dominio di postacertificata

Dominio di postacertificata

FIGURA 2Busta di trasportocorretta e validacon consegnaavente erroredi consegna

M O N D O D I G I T A L E • n . 3 - s e t t e m b r e 2 0 0 6

1

0

0

0

1

78

PEC, risulta essere un valido deterrente controil fenomeno dello SPAM. Inoltre vi è la garan-zia dell’identità del mittente attraverso l’asso-ciazione fra il titolare del servizio e la relativacasella di posta elettronica certificata in quan-to il soggetto che intende richiedere un servi-zio di PEC deve presentare al Gestore (iscrittonell’indice tenuto dal CNIPA), oltre alla richie-sta di attivazione del servizio, anche un docu-mento che attesti la sua identità diventandoquindi titolare del servizio.

3. CONCLUSIONI

Con lo stesso valore legale della tradizionaleraccomandata con avviso di ricevimento, il ser-vizio di PEC consente di effettuare l’invio di do-cumenti informatici avendo la garanzia di "cer-tificazione" dell’invio e dell’avvenuta (o man-cata) consegna (scambiato tra il Gestore di PECdel mittente e quello del destinatario), dellaprovenienza, della data e l’ora di ricezione espedizione, l’integrità del contenuto del mes-saggio e degli allegati. Il servizio ha, pertanto,tutti i requisiti della raccomandata con A/R cuisi aggiungono notevoli vantaggi sia in terminidi tempo che di costi:❑ semplicità ed economicità di trasmissione,inoltro e riproduzione; ❑ semplicità ed economicità di archiviazione ericerca; ❑ facilità di invio multiplo, cioè a più destinata-ri contemporaneamente, con costi estrema-mente più bassi rispetto a quelli dei mezzi tra-dizionali; ❑ velocità della comunicazione in quanto non ènecessaria la presenza del destinatario percompletare la consegna;❑ possibilità di consultazione ed uso anche dapostazioni diverse da quella del proprio ufficio oabitazione (basta un qualsiasi PC connesso adInternet e un normale browser web), ed in qua-lunque momento grazie alla persistenza delmessaggio nella casella di posta elettronica;❑ diversamente dalla raccomandata, nella rice-vuta di avvenuta consegna sono presenti an-che i contenuti del messaggio originale.Il Ministero per l’innovazione e le tecnologieha stimato 31 milioni i messaggi di posta elet-tronica inviati tra P.A. e soggetti esterni, 18 € ilrisparmio ottenuto per ogni e-mail rispetto al-la lettera cartacea che, secondo il Ministero,

potranno portare risparmi di circa 360 milionidi euro già da quest’anno. Pertanto, il ricono-scimento giuridico delle comunicazioni pervia telematica anche attraverso la PEC, oltread ottemperare il diritto, per i cittadini e le im-prese, all’uso delle tecnologie ed a riceverequalsiasi comunicazione pubblica per e-mail,come previsto nel Codice dell’amministrazio-ne Digitale, pone le basi affinché la P.A. digi-tale funzioni meglio garantendo efficacia edefficienza.

Bibliografia

[1] Codice dell’amministrazione digitale (D.lgs.82/2005).

[2] Decreto del Presidente della Repubblica 11 feb-braio 2005, n. 68.

[3] Decreto Ministeriale 2 novembre 2005 - Mini-stro per l’Innovazione e le Tecnologie.

[4] www.innovazione.gov.it

[5] www.cnipa.gov.it

ANTONIO PIVA laureato in Scienze dell’Informazione,Vice Presidente dell’ ALSI (Associazione NazionaleLaureati in Scienze dell’Informazione ed Informati-ca) e Presidente della commissione di informaticagiuridica.Docente a contratto di diritto dell’informatica all’Uni-versità di Udine.Consulente sistemi informatici e Governo Elettroniconella PA locale, valutatore di sistemi di qualitàISO9000 ed ispettore AICA ECDL.E-mail: antonio_piva@libero.it

DAVID D’AGOSTINI avvocato, ha conseguito il masterin informatica giuridica e diritto delle nuove tecno-logie, fornisce consulenza e assistenza giudiziale estragiudiziale in materia di software, privacy e si-curezza, contratti informatici, e-commerce, nomi adominio, computer crimes, firma digitale. Ha rap-porti di partnership con società del settore ITC nelTriveneto.Collabora all’attività di ricerca scientifica dell’Univer-sità di Udine e di associazioni culturali.E-mail: david.dagostini@adriacom.it

MAURIZIO BLANCUZZI laureato in Scienze dell’Informa-zione. Responsabile e-government Regione autono-ma FVG. Membro della commissione informatica giu-ridica dell’ALSI (Associazione Nazionale Laureati inScienze dell’Informazione e Informatica). Ha svoltoanche attività didattica e di consulenza in materia diICT ed informatica giuridica.E-mail: maublanc@katamail.com