Lo scorso 3 aprile Il Fatto Quotidiano ha pubblicato un articolo a pagina 9 a firma di Daniele Martini sul tema della PEC dal titolo “ Chi l’ha vista la PEC? Il mezzo bluff della Posta Elettronica Certificata” (con un richiamo nel titolo a “Le eredità di Brunetta”).
L’articolo sostanzialmente descrive la PEC come il solito pasticcio all’italiana, “non interopeabile” e quindi “l’esatto contrario della filosofia della rete” a detta di Sandro Mari, tecnico dello l’Istituto superiore delle Comunicazioni e Tecnologie dell’Informazione (ISCTI), dipartimento del Ministero dello Sviluppo. Meno male che “La IETF (International Engineering Task Force) ha elaborato un sistema per la posta elettronica che garantisce l’integrità del contenuto, la data e l’ora dell’invio e della ricezione delle comunicazioni e non implica la creazione di un sistema centralizzato per la sicurezza”. Insomma esisterebbe quindi “..un sistema alternativo alla PEC, sicuro, meno farraginoso e per di più non oneroso”. Ed ecco la sentenza del giornalista de il Fatto Quotidiano: “La PEC non solo è autarchica, ma pure inutile”.
La sensazione, dopo aver letto questo articolo, è che si sia voluto in qualche modo attaccare l’operato del passato Governo , e d'altronde questa è l’unica spiegazione che ci siamo dati del fatto che un tema così specifico quale quello della PEC sia stato ritenuto meritorio di pubblicazione su un giornale non specializzato. Tuttavia, abbiamo delle idee diverse sulla tematica della PEC che avrà pure i suoi limiti ma che non può essere, secondo noi, additata di mancanze che non ha.
Proprio per questo, Andrea Caccia, Chief Information Officer di Hub2Hub, ha scritto al Fatto Quotidiano una mail di replica alle affermazioni contenute nell’articolo,che riportiamo integralmente qui di seguito.
"Ho letto l'articolo sulla PEC sul Fatto Quotidiano del 3 aprile e lo trovo poco aderente alla realtà dei fatti.
Lascio stare le considerazioni su Brunetta: sono fuori luogo dato che la PEC ha attraversato tanti governi e legislature. Dare un indirizzo elettronico certificato a imprese e PA è un passo avanti importante ed in linea con quanto si sta facendo in Europa per la rete dei Punti Unici di Contatto telematico previsti dalla Direttiva Servizi e di cui si sta occupando il progetto europeo SPOCS (http://www.eu-spocs.eu/).
Entro invece nel merito delle considerazioni attribuite a ISTCTI (in particolare all'ing. Sandro Mari, che non si capisce se parli a nome proprio o dell'Istituto) e delle conclusioni cui giunge l'articolo: le trovo inesatte e fuorvianti.
1) “La Pec non è interoperabile e, proprio perché non basata su uno standard internazionale, non è integrata in alcuni software di gestione”.
Di cosa stiamo parlando? Personalmente leggo la PEC utilizzando lo stesso software con cui leggo la posta elettronica ordinaria, non ho bisogno di altro. Allo stesso modo, proprio perché la PEC si basa su standard internazionali, è integrabile tanto quanto la posta elettronica classica.
Non si tratta di un'esigenza solo italiana e non è vero che non è interoperabile: in Europa, oltre all'Italia, ci sono altri 5 sistemi funzionalmente simili in altri paesi europei che già interoperano: Austria, Germania, Grecia, Lituania, Polonia. Portogallo e Slovenia si aggiungeranno a brevissimo. Romania e Svezia si aggiungeranno nel corso del 2012. In totale arriveremo a 10 nazioni europee interconnesse nell'ambito SPOCS per snellire la burocrazia richiesta ad attivare la fornitura di nuovi servizi al di là dei confini nazionali, secondo quanto previsto dalla Direttiva Servizi.
Questi sistemi fino a non molto tempo fa non interoperavano direttamente in quanto sono stati progettati e realizzati indipendentemente ma, grazie ai lavori in ambito ETSI, uno degli enti dove si scrivono standard internazionali e riconosciuto ufficialmente dalla Commissione Europea (a differenza dello IETF).
Tanto per capire di che si parla ETSI è stata la culla degli standard di telefonia mobile che hanno consentito lo sviluppo delle reti cellulari nel mondo così come le conosciamo oggi e ne fanno parte tutti i giganti mondiali che hanno a che fare con la telefonia come Apple, Microsoft e Nokia tanto per citarne alcuni.
In ambito ETSI è stato riconosciuta l'esigenza di un'attività di normazione per rendere interoperabili i sistemi di posta certificata europei. Le attività sono cominciate nel 2006 ed hanno portato alla nascita di norme tecniche note come REM (Registered Electronic Mail) sulla base delle quali il progetto SPOCS ha realizzato una soluzione che garantisce l'interoperabilità dei diversi sistemi.
Questa soluzione è stata presentata il mese scorso al CEBIT (la manifestazione europea più importante dell'ICT) dalla Commissione Europea
Infine ai lavori dell'ETSI ha partecipato anche l'UPU (Unione Postale Universale, l'ente di normazione di tutti i servizi postali a livello mondiale) che ha scelto la REM per l'equivalente elettronico del servizio di Raccomandata elettronica internazionale.
La conclusione che viene tratta nell'articolo (la Posta elettronica certificata è un sistema autarchico, valido solo entro i confini nazionali e non si interfaccia con il resto del mondo, dialoga solo con un'altra Pec o con gli uffici pubblici nazionali, quelli abilitati, naturalmente, e quelli dove la sanno adoperare) è smentita dai fatti.
2) "La IETF (International Engineering Task Force) ha elaborato un sistema per la posta elettronica che garantisce l’integrità del contenuto, la data e l’ora dell’invio e della ricezione delle comunicazioni e non implica la creazione di un sistema centralizzato per la sicurezza"
E' necessario prima di tutto chiarire un punto fondamentale: la PEC sta alla posta elettronica come, nel mondo cartaceo, la Raccomandata sta ad una lettera. Non è una questione di standard tecnici ma della necessità di una terza parte fidata che faccia da garante per avere la certezza che un documento è stato spedito e recapitato: compito volto dal gestore del servizio postale nel caso cartaceo, dai gestori PEC nel caso elettronico*.
Premesso quindi che ci sono differenze funzionali tra i servizi PEC ed email tradizionale, non si capisce comunque l'affermazione dato che la PEC è interamente basata sulle specifiche IETF. Ciò che alle specifiche IETF manca, ed è questo il motivo per cui sono nati i vari servizi in Europa, è la possibilità di associare ad un messaggio delle evidenze, aggiunte dai gestori del servizio, che certifichino quando un certo messaggio è stato spedito e quando recapitato al destinatario.
Ma l'elemento essenziale qui, e anche la ragione per la quale il messaggio fornito dall'articolo è letteralmente fuorviante, non è quello di utilizzare un particolare standard tecnico, ma quello di avere un servizio funzionalmente diverso e che preveda delle terze parti fidate con funzioni ben precise: i gestori PEC, fidati in quanto sono perché sottoposti all'accreditamento e alla vigilanza di DigitPA.
Quanto poi all'interoperabilità, occorre che vi siano norme tecniche comuni: è per questo che è nata la REM dell'ETSI sulla base della quale sono stati realizzati dei gateway che fungono da "ponti" tra i sistemi dei vari stati membri.
La REM ETSI si basa in gran parte sulla PEC: le caratteristiche del servizio italiano sono state ritenute valide dall'ETSI che le ha utilizzate come base per la definizione della REM che rappresenta a tutti gli effetti una generalizzazione ed un miglioramento della PEC.
Non escludo perciò che, in futuro, la PEC possa evolvere verso una maggiore compatibilità con la REM che consentirebbe di avere una migliore integrazione con l'Europa.
Concludo con l'amara osservazione che uno dei difetti peggiori dell'Italia è quello di non saper fare sistema, anche quando c'è un settore dove siamo stati pionieri e siamo all'avanguardia. Penso anche che sarebbe corretto ai fini dell'informazione indicare che Massimo Penco, oltre ad essere presidente dell'associazione "Cittadini di Internet" è anche imprenditore ed amministratore delegato di GlobalTrust, una società che fornisce un servizio denominato "Certified Mail" che viene dichiarato compatibile alla "Posta Elettronica Certificata" ma che, non essendo presente nell'elenco dei gestori PEC pubblicato da DigitPA: http://www.digitpa.gov.it/pec_elenco_gestori non consente alle società che dovessero acquistarlo di mettersi in regola con quanto previsto dalla legge".
*Secondo Vito Umberto Vavalli, Chief Executive Officer di Hub2Hub, “ .. Sotto il profilo gestionale la PEC corrisponde nel mondo “cartaceo” alla forma tecnica della "Raccomandata A. R., senza busta e su foglio unico". In altri termini, la PEC garantisce: (i) autenticità dell'origine; (ii) non ripudio dell'invio; (iii) non ripudio della ricezione; (iv) contenuto del messaggio. In assenza della firma elettronica qualificata del mittente, non potrebbe, di per sé garantire l'esercizio delle deleghe o delle procure aziendali, anche se nel nuovo CAD - a certe condizioni, quali ad esempio un messaggio PEC inviato da un cittadino o da una ditta individuale - l'autenticità dell'origine può essere utilizzata per fornire anche una prova di manifestazione della volontà del mittente. E' per tali motivi di robustezza giuridica attribuita agli atti compiuti via posta elettronica che l'identificazione del soggetto che ottiene un indirizzo PEC è operazione della massima criticità e la Registration Authority deve essere munito di procedure che garantiscano, a tutti gli effetti di legge, il riconoscimento dell'assegnatario di account. Non a caso, la PEC nasce come strumento che servì per ridurre il peso dei costi di notifica degli atti sul bilancio dello Stato".
Paolo Ponte, Sales & Marketing Manager Hub2Hub
(i) autenticità dell'origine --> Falso. Basta avere le credenziali e si impersona un'altra entità di origine. Invece gli standard IETF tra cui S/MIME prevedono sistemi un po' migliori.
RispondiElimina(ii) non ripudio dell'invio ---> Vero. L'unica cosa che non contesto alla PEC.
(iii) non ripudio della ricezione --> Falso. Non è ripudiabile la ricezione da parte del gestore di destinazione, ma non da parte del destinatario. Come escamotage si scarica sul destinatario l'obbligo di lettura della PEC, ma questo è un ONERE per il destinatario che si somma a quelli già esistenti (canoni e procedure di rinnovo).
(iv) contenuto del messaggio --> Falso. Questo fa parte degli standard già esistenti di IETF.
Insomma, un servizio di "non ripudiabilità del mittente" io finora l'ho pagato 20-30€/anno per almeno 4 anni. Ed ho spedito e ricevuto 0 raccomandate. A me sembra una tassa e basta.