PEC, firme, certificati…

Posta KodakOramai ci siamo: tutte le aziende costituite in forma societaria devono dotarsi di un indirizzo PEC entro martedì 29 novembre p.v.

Nell’ultimo mese ho, però, notato che c’è molta confusione in merito al valore probatorio della PEC; le improvvide affermazioni esternate qualche tempo fa da qualche (ora ex) Ministro della Repubblica in qualche trasmissione televisiva non hanno fatto che peggiorare la situazione, dal momento che qualcuno ha dato valore di legge a quelle affermazioni tirate a caso.

Partiamo dal mondo reale. Una raccomandata con avviso di ricevimento è formata da tre documenti cartacei distinti: la lettera vera e propria, il tagliando con la ricevuta di presentazione della raccomandata allo sportello e l’avviso di ricevimento timbrato dall’ufficio postale e firmato dal destinatario.

Nell’analogia PEC, la lettera è il messaggio di posta elettronica, tagliando e avviso trovano i loro omologhi nell’avviso di accettazione e consegna.

Ma qual è  il valore probatorio di tutto questo cinema? Solamente il fatto che il tal giorno alla tal ora un messaggio con un tal oggetto è stato spedito dall’utente di PEC tale all’utente di PEC tal altro, il quale ha ricevuto il messaggio. Punto.

La PEC non certifica il contenuto o il mittente (inteso come persona fisica) del messaggio. La PEC non è un sostituto della firma digitale forte (o qualificata, o estesa, o pesante che dir si voglia, grazie alla schizofrenia dei legislatori).

Per fare in modo che abbia un valore probatorio il fatto che Luigi Rosa abbia spedito un documento non passibile di alterazione ad un destinatario definito, Luigi Rosa deve dotarsi di un sistema di firma digitale forte, ovvero quella che si basa su un token fisico (smart card, chiavetta USB).

Quindi io prendo il mio documento e lo firmo con una firma digitale forte. Questa azione consente di dimostrare che io sono l’autore del documento e che ogni sua successiva alterazione provocherebbe un errore di verifica dell’integrità del file.

Immaginiamo che io voglia spedire il mio documento alle Poste Italiane. Vado su Registro Imprese, cerco il profilo di Poste Italiane S.p.A. e controllo il suo indirizzo di PEC. Ciò fatto, compongo un messaggio di PEC da me all’indirizzo PEC delle Poste, allego il documento firmato e invio il messaggio.

Questa azione garantisce al destinatario che il messaggio inviato in quel momento provenga effettivamente da Luigi Rosa e che il file non è stato modificato dopo l’apposizione della firma digitale.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “PEC, firme, certificati…”

  1. Io non sono molto addentro alle questioni legali, ma trovo sconcertante che si continui a dare valore legale a sistemi che non sono affatto “certi”, come una firma su un fax o aberrazioni simili. Ho la netta impressione che il nostro sistema legale non voglia avere a che fare con nulla di “certo e non equivocabile”, altrimenti non avremmo piu` processi, avvocati, e interpretazioni artistiche delle leggi o dei documenti.

    1. Piu’ aberrante e’ chi da’ smart card e PIN della firma digitale alla segretaria o al commercialista.
      Il problema non sta nella tecnologia, ma nei comportamenti delle persone e il sistema giudiziario esiste principalmente perche’ ci sono persone che si comportano in modo anomalo.

Spazio per un commento