La Posta elettronica certificata diventa una realtà anche per il cittadino. Il 25 maggio 2009, infatti, è stato pubblicato nella Gazzetta Ufficiale, il Decreto del Presidente del Consiglio dei Ministri (Dipartimento per l’innovazione e le tecnologie) che attua la previsione contenuta nell’art. 16-bis, comma 5 e 6 della Legge 2/2009 (legge di conversione del D.l. 29 novembre 2008, n. 185), individuando le modalità con cui ogni cittadino, direttamente o tramite l’affidatario del servizio [1], potrà richiedere un indirizzo di posta elettronica certificata (PEC) per interagire con la Pubblica Amministrazione. 

La PEC, rappresenta il darwiniano erede della tradizionale raccomandata cartacea con Ricevuta di Ritorno. L’esigenza di una modalità attraverso la quale assicurare valenza giuridica ed efficacia probatoria ad un documento informatico inviato telematicamente (cosa che non assicura l’e-mail tradizionale) ha spinto, infatti, il Legislatore a stimolare l’entrata nel mercato nazionale dello strumento tutto italiano della posta elettronica certificata. Non esistono, infatti, standard internazionali ma il servizio in questione si serve dello strumento sempre tutto italiano della firma digitale che consente di attribuire data certa all’invio ed alla ricezione di un documento. Unica falla del sistema è rappresentata dal fatto che in tale modalità di trasmissione non può essere garantita l’integrità del documento inviato telematicamente; integrità che può essere garantita soltanto attraverso la crittografia asimmetrica, cifrando il documento di testo in chiaro da inviare attraverso la chiave privata dello stesso titolare.

Tornando al sistema PEC, la valenza giuridica delle operazioni è di invio e ricezione del file di testo attraverso uso di un dominio PEC è assicurata dalle ricevute digitali fornite dagli stessi Gestori del servizio. Il Ministro Brunetta, nell’ottica della lotta agli sprechi e di un’Amministrazione sempre più snella e dematerializzata, ha dunque previsto la possibilità per lo stesso cittadino di fruire gratuitamente (almeno così si spera!) del servizio PEC. Se, infatti,  già con il D.l. 185 del 29  novembre 2008 (cd. Decreto anticrisi), convertito con la legge 28 gennaio 2009 n. 2, la posta elettronica certificata (PEC) diventa  obbligatoria per professionisti ed imprese e pubblica amministrazione, con il DPCCM del 6 giugno 2009 vengono definite le modalità di rilascio e di utilizzo della casella di posta elettronica certificata anche per i cittadini. Prima di analizzare il decreto in questione e le linee guida che costituiranno oggetto di normazione futura, occorre in maniera sintetica analizzare da un punto di vista tecnico-informatico come opera il servizio di PEC in questione.

La normativa di riferimento è rappresentata dal D.P.R. dell’11 febbraio 2005 n. 68 (“Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3) e dalle regole tecniche [2] emesse successivamente. Per utilizzare la Posta Elettronica Certificata è necessario abbonarsi al relativo servizio presso un Gestore iscritto in un apposito elenco gestito dal CNIPA (Centro nazionale per l’informatica nella pubblica amministrazione) [3].

I Gestori [4] di PEC, possono essere soggetti pubblici e privati [5] e per esercitare tale attività, devono presentare apposita domanda, anche in formato elettronico, al CNIPA secondo le modalità stabilite con la circolare n. 49 del 24 novembre 2005 [6]. L’elenco Pubblico dei Gestori di Posta Elettronica Certificata, ai sensi dell’art. 14 del DPR 11 febbraio 2005, n. 68 è tenuto dal CNIPA con la relativa indicazione della denominazione sociale, sede legale, rappresentante legale, indirizzo internet, data di iscrizione all’elenco, data di cessazione ed eventuale gestore sostitutivo, ed è consultabile in rete [7]. L’utilizzo della PEC, al posto della tradizionale posta mediante raccomandata con ricevuta di ritorno cartacea, è reso di fatto possibile proprio attraverso ricevute elettroniche rilasciate dai gestori, sottoscritte mediante la loro firma digitale[8]. Attori istituzionali di questo servizio sono: 1) il mittente, cioè il soggetto che invia un documento informatico; 2) il destinatario, il soggetto al quale è inviato il documento informatico; 3) il gestore del mittente, il soggetto che rilascia caselle e domini PEC al mittente; 4)  il gestore del destinatario, il soggetto che rilascia caselle e domini PEC al destinatario; 5) la rete di comunicazione, ossia Internet; 6) il documento informatico, documento realizzato dal mittente e inviato al destinatario.

Presupposto affinché due utenti possano scambiarsi messaggi di posta elettronica certificata è che entrambi utilizzino una casella di posta appartenente ad un dominio di posta certificata, gestita dallo stesso gestore o da due gestori differenti iscritti nell’elenco pubblico tenuto dal CNIPA. Come funziona materialmente tale sistema?

Il mittente si identifica nel proprio sistema di posta elettronica certificata (attraverso userid e password) ed invia il messaggio all’indirizzo di posta certificata del destinatario. Il messaggio inoltrato, viene preso in consegna dal gestore del dominio certificato (punto di accesso) che lo racchiude in una busta di trasporto e vi appone la propria firma digitale. Successivamente il messaggio viene indirizzato al gestore di PEC del destinatario (punto di ricezione) che verifica la firma e lo consegna al destinatario (punto di consegna). Per ogni messaggio inviato il gestore del servizio di posta certificata fornisce alla casella del mittente una ricevuta che costituisce prova legale dell’avvenuta accettazione della spedizione e, successivamente, una seconda ricevuta a riprova dell’avvenuta consegna del messaggio. Le ricevute [9] riportano la firma digitale del gestore, contengono anche il riferimento temporale e costituiscono la prova legale dell’avvenuta trasmissione del messaggio. Nel caso in cui il messaggio inviato dal mittente sia formalmente non corretto, il gestore invia al mittente un avviso di mancata accettazione per vincoli formali.Nel caso in cui il gestore del mittente rilevi nel punto di accesso la presenza di un virus nel messaggio, invia al proprio utente un avviso di mancata accettazione per virus. L’integrità del contenuto del messaggio inviato, invece, può essere assicurata al mittente solo mediante la crittografia, ossia cifrando il documento in chiaro con la propria firma digitale.

Orbene la novità tutta italiana introdotta con il DPCM 6 maggio 2009 è quella di donare una casella personale di PEC a qualunque cittadino ne faccia richiesta per dialogare con la stessa Pubblica amministrazione. In un futuro non troppo lontano, dunque, dopo che verrà individuato attraverso una procedura ad evidenza pubblica l’affidatario del servizio in questione, il cittadino che vorrà ottenere un dominio gratuito di PEC non dovrà far altro, come si legge nell’allegato A dello stesso DPCM 6 maggio 2009, che richiedere l’attivazione dell’utenza personale di posta elettronica certificata accedendo ad un sito (non si sa ancora quale) previa compilazione di un form. Successivamente, lo stesso, dovrà recarsi personalmente e munito di valido documento di riconoscimento presso uffici pubblici o aperti al pubblico (il cui elenco sarà reperibile sul medesimo sito) dotati di connessione telematica. L’ufficio abilitato, effettuerà la verifica della correttezza dei dati identificativi inseriti dal soggetto richiedente sul sito e, in caso di esito positivo, provvederà alla stampa della richiesta che verrà poi firmata dal richiedente. L’attivazione del servizio si concretizzerà attraverso la contestuale consegna materiale delle credenziali di accesso al dominio di PEC assegnato.

Questo regalo annunciato dal Ministro Brunetta, seppure in linea con la rivoluzione digitale in atto e radicata nello stesso Codice dell’amministrazione digitale [10], deve fare i conti con la realtà culturale del nostro paese. Il problema del digital divide vede, infatti, il cittadino, quale fruitore residuale di molti servizi offerti nell’ambito dell’ nformation and Communication Technology (ICT). La maggior parte dei cittadini, infatti, non ha delle competenze informatiche avanzate spendibili nella rivoluzione digitale in atto e pertanto l’attivazione di un servizio del genere rivolto al cittadino stesso potrebbe rivelarsi un vero e proprio insuccesso in termini di denaro pubblico stanziato per la fruizione di detto servizio che viene garantito come gratuito per la sola comunità dei cittadini. Il problema, dunque, rimane ed è sempre lo stesso: quello dell’alfabetizzazione informatica.

Per radicare nel cittadino una cybercultura orientata alla sburocratizzazione dei processi e allo snellimento delle procedure dinanzi alla stessa amministrazione, occorrerà, pertanto, una politica massiccia di alfabetizzazione informatica al fine di realizzare una fruizione stabile da parte dello stesso cittadino dei servizi tecnologici nel rapporto con la Pubblica amministrazione.

Come considerare, dunque, il tecnologico regalo annunciato dal Ministro Brunetta ai cittadini? Un sogno o un’innovativa realtà che ci aspetta dietro l’angolo? La risposta va ricercata sicuramente negli indirizzi politici che verranno presi nel tempo dal Governo. Nelle more, i giuristi filo-informatici, si augurano che al quadro giuridico in itinere venga affiancata una sponsorizzazione capillare ed un’attività formativa specifica nei confronti dell’intera collettività al fine di radicare la nuova cultura digitale del cambiamento. Solo così, le disposizioni contenute nel Codice dell’Amministrazione digitale non rimarranno ambizioni velleitarie ma una realtà possibile anche per il cittadino attualmente meno informatizzato.

_{Note a piè di pagina.}

_{[1] L’art. 5 del Decreto del Presidente del Consiglio dei Ministri 6 maggio 2009 (“Disposizioni in materia di rilascio e di uso della casella di posta  elettronica certificata assegnata ai cittadini”) cosi statuisce: “ 1. Per l’individuazione dell’affidatario, anche costituito in associazione temporanea d’impresa o consorzio, del servizio di PEC ai cittadini, la Presidenza del Consiglio dei Ministri-Dipartimento per l’innovazione e le tecnologie avvia le procedure di evidenza pubblica, anche utilizzando gli strumenti di finanza di progetto ai sensi del decreto legislativo 12 aprile 2006, n. 163, recante «Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE». 2. Nella procedura di cui al comma 1, la Presidenza del Consiglio dei Ministri - Dipartimento per l’innovazione e le tecnologie definisce le caratteristiche tecniche del servizio, i livelli di servizio garantiti, gli obblighi, anche informativi, dell’affidatario nonché gli ulteriori servizi da mettere a disposizione, anche con specifico riferimento alle categorie a rischio di esclusione ai sensi dell’art. 8 del decreto legislativo n. 82 del 2005”.}

_{[[2] Decreto 2 novembre 2005 (“Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”).}

_{[3] Centro Nazionale per l’Informatica nella Pubblica Amministrazione, istituito con le norme contenute nell’art. 176 del D.Lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”), opera presso la Presidenza del Consiglio dei Ministri. Tale centro ha accorpato in sé due organismi preesistenti: l’AIOPA (Autorità Informatica per la Pubblica Amministrazione istituita con il D.Lgs. 39/1993) ed il Centro Tecnico per la R.U.P.A. e contribuisce all’attuazione delle politiche del Ministro per le riforme e le innovazioni nella P.A.}

_{[4] I Gestori svolgono il ruolo di garante per le fasi di invio e di consegna di un messaggio, oltre ovviamente a rilasciare caselle e domini PEC. Secondo quanto previsto dalla Norma, possono svolgere il ruolo di Gestori sia aziende private, con capitale sociale non inferiore ad un milione di euro, sia Pubbliche Amministrazioni, purché presentino regolare domanda di accreditamento presso il CNIPA che, a seguito di un’istruttoria, valuta se il richiedente possiede i requisiti minimi previsti dalla norma per lo svolgimento dell’attività di Gestore. L’elenco pubblico dei Gestori di Posta Elettronica Certificata è disponibile per la consultazione sul sito del CNIPA, come mostrato nella figura seguente. Il CNIPA, nel corso dell’istruttoria di accreditamento, valuta, tra gli altri, i requisiti di onorabilità, l’adeguatezza del personale, i processi atti a garantire la sicurezza dei dati e delle trasmissioni, l’esperienza del proponente nell’erogazione di servizi di analoga natura, la ridondanza ed i servizi messi in atto in caso di emergenza.}

_{[5] Ai sensi di quanto disposto dall’art. 14 del d.P.R. dell’11 febbraio 2005 n. 68 (“Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3) i richiedenti l’iscrizione nell’elenco dei gestori di posta elettronica certificata diversi dalle pubbliche amministrazioni devono avere natura giuridica di società di capitali e capitale sociale interamente versato non inferiore a un milione di euro. I gestori di posta elettronica certificata o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione devono, inoltre, possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all’articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni. Il richiedente deve inoltre: a) dimostrare l’affidabilità organizzativa e tecnica necessaria per svolgere il servizio di posta elettronica certificata; b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia della posta elettronica e della dimestichezza con procedure di sicurezza appropriate; c) rispettare le norme del presente regolamento e le regole tecniche di cui all'articolo 17; d) applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate; e) utilizzare per la firma elettronica, di cui all'articolo 9, dispositivi che garantiscono la sicurezza delle informazioni gestite in conformità a criteri riconosciuti in ambito europeo o internazionale; f) adottare adeguate misure per garantire l’integrità e la sicurezza del servizio di posta elettronica certificata; g) prevedere servizi di emergenza che assicurano in ogni caso il completamento della trasmissione; h) fornire, entro i dodici mesi successivi all’iscrizione nell’elenco dei gestori di posta elettronica certificata, dichiarazione di conformità del proprio sistema di qualità alle norme ISO 9000, successive evoluzioni o a norme equivalenti, relativa al processo di erogazione di posta elettronica certificata; i) fornire copia di una polizza assicurativa di copertura dei rischi dell’attività e dei danni causati a terzi.}

_{[6] Vedi http://www.cnipa.gov.it/site/_files/Circolare%20CR_49.pdf}

_{[7] L’elenco pubblico è sottoscritto con firma digitale dal Presidente del Cnipa. Attualmente nell’elenco pubblico dei gestori  sono iscritti: Actalis S.p.A. (dal 2005), Amministrazione Provinciale di Nuoro (dal 2008), Ancitel S.p.A. (dal 2007), ARUBA PEC S.p.A. (dal 2006), Cedacri S.p.A. (dal 2006), Consiglio Nazionale del Notariato (dal 2005), EDS Italia S.r.l. (dal 2006), Fastweb S.p.A. (dal 2007), Infocert S.p.A. (dal 2007), IN.TE.S.A. S.p.A. (dal 2006), ITnet S.r.l. (dal 2006), IT Telecom S.r.l. (dal 2005), IWBank S.p.A. (dal 2008), Lombardia Integrata S.p.A. (dal 2007), Namirial S.p.A. (dal 2007), Numera Sistemi e Informatica S.p.A. (dal 2006), Poste Italiane S.p.A. (dal 2006), Postecom S.p.A.  (dal 2005), Regione Marche (dal 2007), Sogei- Società Generale d’Informatica S.p.A. (dal 2006), Innova Puglia S.p.A. (già Tecnopolis Csata S.c.a.r.l.) (dal 2007), TWT S.p.A. (dal 2007).}

_{[8] Ai sensi dell’art. 1 lett. s) del Decreto Legislativo 7 marzo 2005 n. 82 (“Codice dell’Amministrazione digitale”) “un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.}

_{[9] L’archivio delle operazioni svolte (log), dal quale è possibile risalire alle informazioni contenute nelle ricevute, deve essere conservato dal Gestore per trenta mesi.}

_{[10] Decreto Legislativo 7 marzo 2005 n. 82  (G.U.16 maggio 2005, n. 112 - S. O. n. 93}