PEC: come funziona internamente la Posta Certificata?

PEC: come funziona internamente la Posta Certificata?

La PEC è uno degli standard più utilizzati all’interno del mondo delle comunicazioni digitali; il suo funzionamento è piuttosto avanzato dal punto di vista tecnico, e permette di realizzare delle vere e proprie ricevute di ritorno, rendendo le mail simili alle raccomandate con notifica di consegna. In questo articolo cercheremo di capire meglio come funzioni, come utilizzarla in modo corretto e quanto, alla prova dei fatti, questo meccanismo sia diffuso nel mondo.

PEC vs. raccomandate A/R

Da un punto di vista formale, la Posta Certificata si differenzia dalla posta elettronica classica per una serie di ragioni: quasi tutte sono prettamente tecniche e relative al tipo di invio, altre invece sono legate alla logica interna con cui l’invio funziona. Per capire bene di che cosa stiamo parlando, e spiegare le cose in modo più semplice, possiamo pensare a come vengono inviate le raccomandate con ricevuta di ritorno, quelle che abbiamo sfruttato un po’ tutti almeno una volta nella vita:

  1. preparo una lettera cartacea, la stampo e la metto in busta;
  2. vado alle Poste e compilo un cartoncino sul quale c’è scritto il nome del destinatario ed il mio; tale cartoncino mi sarà recapitato in seguito, al momento della consegna della raccomandata al destinatario, firmata dallo stesso come prova della ricezione (questo è il punto base del paragone che sto proponendo);
  3. infine la raccomandata viene inviata, arriva a destinazione, e dopo qualche giorno il cartoncino con la conferma ha valore legale del fatto che io abbia inviato davvero quella comunicazione.

Le raccomandate con ricevuta di ritorno A/R, come sappiamo, sono molto utilizzate nel caso di cause, questioni burocratiche, richieste di pagamenti, tasse e via dicendo; fino a qualche tempo fa, erano l’unico modo per poter dare valore legale ad un documento, almeno ricorrendo alle poste tradizionali e a cartaceo.

A livello di Posta Elettronica Certificata, similmente, passiamo tutto al mondo digital ed abbiamo che:

  1. mediante il client di posta PEC, vado a scrivere il messaggio e specifico il nome del destinatario, che deve a sua volta avere per forza una Posta Certificata. Questo primo aspetto è molto importante da capire: la PEC funziona secondo lo standard ed ha valore legale soltanto se avviene tra due indirizzi di questo tipo. Se mandate una Posta Elettronica Certificata ad un indirizzo normale, di default tornerà indietro senza essere consegnato; per superare questo limite, che produce l’errore generato tecnicamente dal MAILER-DAEMON, molti gestori consentono, mediante apposita spunta, di abilitare le caselle all’invio ed alla ricezione di mail ordinarie, ovvero rinunciando a tutto il processo di autenticazione, certezza di consegna e validità legale. Le mail ordinarie, invece, sono filtrate e non notificate al proprietario di casella PEC in tutti i casi, senza eccezioni.
  2. Invece di andare alle Poste, fare la fila e seguire la procedura di cui sopra, dovrò semplicemente inviare la mail certificata, da casa o dall’ufficio, attraverso il client che questi servizi forniscono, ovviamente sfruttando la mia connessione ad internet; l’operazione è semplice e sicura, del tutto simile ad un invio ordinario di email e protetta da certificati digitali che garantiscono, oltre alla riservatezza ed all’integrità del messaggio, la data e l’ora in cui stanno avvenendo.
  3. Finalmente la PEC viene inviata (e viene salvata dal sistema la data e l’ora di invio), arriva a destinazione (e, anche qui, il sistema registra data e ora di ricezione), e la prova dell’invio stesso è stata già inclusa in automatico dalla procedura. All’utente non serve fare null’altro, anche perchè dopo ogni invio vengono recapitati due messaggi di conferma, come la conferma di invio e quella di ricezione.

Registro operazioni posta certificata e marca temporale

Sono due le caratteristiche che rendono una PEC diversa dall’invio di una mail tradizionale; i gestori di PEC, che in molti casi sono servizi di hosting e in altri sono interamente dedicati a questo genere di servizi, registrano in un log tutti gli eventi che vengono effettuati mediante i loro servizi: questo contribuisce a rendere tracciabili l’invio e la ricezione di posta certificata, anche perchè il loro orario è allineati con quello degli istituti che forniscono l’ora esatta. Secondo le indicazioni del Decreto Ministeriale del 2 novembre 2005 che fa riferimento alla formalizzazione dello standard di comunicazione, gli “attori” che operano in un invio di PEC sono mittente, destinatario, messaggio PEC, gestore del mittente e gestore del destinatario (questo perché, nel caso più generale, non è detto che usino lo stesso servizio entrambi). In termini più generali, per inciso la disciplina e le regole burocratiche della PEC fanno riferimento al Decreto del presidente della Repubblica 11 febbraio 2005 n. 68 e al D.lg 7 marzo 2005 n. 82 (il pluri-citato codice dell’Amministrazione Digitale).

Tornando alla formalizzazione degli aspetti tecnici, poi, esiste una marca temporale che garantisce di allegare ad ogni invio, e ad ogni ricezione, la data e l’ora esatta in cui sono avvenuti, e fanno da “arbitri” nella risoluzione dell’ambiguità sull’effettivo invio che, con la mail normale, sarebbe stata inevitabile e non risolvibile. Il discorso, per la verità, è molto più articolato: ci limitiamo, in questa sede, a mettere in evidenza come certe procedure legate alle PEC, di fatto obbligatoria per legge, siano spesso legate a servizi di webmail non sempre al top come qualità, e poco chiari come uso e come funzionamento. Del resto quanta gente, ancora oggi (sbagliando), invia mediante PEC comunicazioni che potrebbe tranquillamente affidare alle mail tradizionali? Ed in quanti casi, verrebbe da chiedersi, la PEC fornisce un supporto ed un’utilità realmente percepita come tale?

In questo senso, le PEC superano il limite imposto dalle mail ordinarie, che possono essere quelle gratuite (meno professionali e con minori servizi) ma quelle aziendali a pagamento rimangono preferibili per l’uso quotidiano, un utilizzo che richiede semplicità d’uso, massima praticità ed un senso di autorevolezza derivante ad esempio dall’uso di una mail con il dominio dell’azienda  (ad esempio le mail tuonome@tuazienda.it di Truemail di Seeweb, una delle più diffuse e popolari in questo periodo, e che vengono altresì utilizzate dalle varie SRL, SAS, e dai liberi professionisti. In questo caso, pero’, parliamo di una mail tradizionale, non PEC, solida, sicura, veloce nel recapito e protetta da antispam e antivirus). Utilizzando quindi sia l’una, la PEC, per necessità, che l’altra (la mail aziendale) si finisce per fornire all’utente uno strumento duplice, sicuro e comodo per evitare la trafila descritta per l’invio di raccomandate A/R, di invio di cartaceo in generale e via dicendo. Il servizio di marca temporale, in alcuni casi, viene venduto come servizio a parte da applicare su documenti digitali di ogni genere, in modo da poter associare data e ora legalmente valide a file che, diversamente, sarebbero stati facili da manipolare sia come data di modifica che come contenuti.

Cosa fanno i gestori delle PEC

I gestori del servizio sono ufficializzati nel sito dell’AGID, l’agenzia governativa per l’Italia Digitale, e sono i soli a cui è necessario rivolgersi per avere una casella PEC, che in genere ha un canone annuale e, ad oggi, è diventata obbligatoria per aziende e liberi professionisti. I gestori di posta certificata, dal canto loro, sono obbligati a registrare tutti i principali eventi che riguardano la trasmissione per 30 mesi, e successivamente dovranno fornire la prova dell’invio alle autorità che ne faranno richiesta, oppure agli interessati di una qualsiasi controversia. I gestori sono anche tenuti ad utilizzare sempre un riferimento orario allineato con gli istituti ufficiali che garantiscono l’ora esatta, in modo da evitare ambiguità ed imprecisione sulla data e sull’ora di invio e su quella di ricezione.

Funzionamento PEC lato tecnico

Entrando nei dettagli interni, la PEC utilizza i protocolli tipici delle mail, ma sfrutta un meccanismo di elaborazione dell’invio più complesso, e si limita a considerare i metodi di comunicazione sicuri, certificati e protetti da eventuale spionaggio dall’esterno. Essi sono, tipicamente:

  • HTTPS, che viene usato per la PEC via browser, quindi protocollo sicuro per inviare PEC da browser, senza un client di posta come Outlook o Mail;
  • SMTPS, che viene usato per l’invio sicuro di mail certificate;
  • POP3S e IMAPS, che invece vengono usati per la ricezione sicura di mail certificate;

Le mail tradizionali, da specifiche originali, sono – come sappiamo – falsificabili nel mittente (cosiddetto spoofing): significa che io, utente malizioso, avrei la possibilità di modificare manualmente l’indirizzo del mittente (il campo FROM) e metterci qualsiasi altro indirizzo, anche esterno dal dominio da cui sto inviando, mostrando così al destinatario della posta un indirizzo qualsiasi. Questa pratica è alla base dei casi di phishing e di truffe di ogni genere, e nelle specifiche della PEC (che sono formalizzate dallo standard RFC 6109, per quanto il documento non sia ancora stato ufficialmente validate e sia, ad oggi, solo un draft ovvero una bozza) è formalmente vietata. Questo fornisce un ulteriore strato di sicurezza che, nel complesso, ha reso la PEC uno standard adottato da tutte le aziende per le loro comunicazioni formali, ma anche per la formalizzazione di contratti (nel mondo del calcio, ad esempio, le firme dei giocatori acquistati vengono spesso effettuate più rapidamente, dato che i tempi sono spesso molto ristretti, mediante PEC).

Funzionamento PEC in breve

Riassumendo, l’invio di una PEC viene certificato e firmato digitalmente da un gestore del servizio, che allega data e ora di invio in modo inequivocabile; il messaggio viene recapitato con garanzia di integrità (cosiddetta busta di trasporto), cioè con la certezza che non siano state effettuate modifiche di alcun genere sul messaggio originale (sempre grazie ad un’ulteriore firma digitale); la consegna viene, infine, anch’essa autenticata in modo non manipolabile, in modo da dare garanzia di conoscere ufficialmente l’ora e la data in cui essa è avvenuta.

Attualmente la PEC viene utilizzata massivamente soltanto in Italia, in Svizzera e ad Hong Kong; sono in corso varie attività, al momento in cui scriviamo, per adeguare lo standard almeno a livello europeo, e renderla così utilizzabile in modo estensivo anche in altri stati.


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

PEC: come funziona internamente la Posta Certificata?

Votato 10 / 10, da 1 utenti