January 21, 2024 • 26 mins
La Posta Elettronica Certificata è uno strumento di uso ormai piuttosto comune. Da quest’anno verrà introdotta la REM (Registered Electronic Mail) che si baserà sulla PEC e aggiungerà alcune importanti caratteristiche.
Ringrazio tantissimo Francesco Tucci di Pillole di bit per avermi aiutato ad imbastire la puntata e aver collaborato in questa modalità di registrazione asincrona. Se non lo conosci già, non puoi non iscriverti al suo podcast! Ogni settimana un nuovo episodio che parla di software, hardware e tecnologia in generale.
Pensieri in codice
Pillole di bit
Sostenitori di oggi:
Edoardo Secco, Carlo Tomas
Codice sconto agli eventi del GrUSP: community_PIC
https://www.grusp.org/
Fonti:
https://www.agid.gov.it/sites/default/files/repository_files/leggi_decreti_direttive/dpr_11-feb-2005_n.68.pdf
https://www.agid.gov.it/sites/default/files/repository_files/leggi_decreti_direttive/pec_regole_tecniche_dm_2-nov-2005.pdf
PEC, come funziona la posta elettronica certificata. Guida agli aspetti meno noti | IlSoftware.it
https://www.ictpower.it/normative/posta-elettronica-certificata-riferimenti-normativi-e-funzionamento-della-pec.htm
Entra a far parte della community
Canale TelegramGruppo Telegram
Sostieni il progetto
Sostieni tramite SatispaySostieni tramite Revolut
Sostieni tramite PayPal (applica commissioni)
Sostieni utilizzando i link affiliati di Pensieri in codice: Amazon, Todoist, Readwise Reader, Satispay
Partner
GrUSP (Codice sconto per tutti gli eventi: community_PIC)Schrödinger Hat
Crediti
Sound design - Alex RaccugliaVoce intro - Maria Chiara Virgili
Voce intro - Spad
Musiche - Kubbi - Up In My Jam, Light-foot - Moldy Lotion, Creativity, Old time memories
Suoni - Zapsplat.com
Cover e trascrizione - Francesco Zubani
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:00):
A volte ci sono degli strumenti che utilizziamo ogni giorno per abitudine o per lavoro, dei
(00:07):
quali però conosciamo ben poco sia dal punto di vista tecnico ma anche solo della loro
storia e a volte così facendo ci perdiamo qualcosa di interessante.
Nell'episodio di oggi, dunque, con l'aiuto di un amico che sono sicuro già conoscerai
facciamo un bel viaggio nella storia e nel funzionamento di quella che comunemente tutti
(00:32):
noi chiamiamo PEC.
Nell'ultimo periodo questo servizio ha fatto da punto di partenza per una versione più
avanzata estesa all'intera Europa con il nome di REM ed è quindi bene secondo me conoscerne
caratteristiche e differenze rispetto alla normale posta elettronica.
(00:54):
Senza induggiare oltre quindi passo la parola a Francesco Tucci del podcast Pillole di Bit
ma non prima di aver lanciato la sigla.
Benvenuti su Pensieri in Codice, il podcast dove si ragiona da informatici, con Valerio Galan.
(01:14):
Tanto tempo fa per inviare una comunicazione ufficiale era necessario andare in posta, fare
la coda, sopportare il blatterare dell'agente, compilare il modulo della raccomandata con
ricevuta di ritorno a mano, pagare, spedirla, aspettare che questa venisse consegnata e poi
(01:40):
aspettare che il cartoncino firmato dal destinatario tornasse fino nella vostra buca
delle lettere. Dopo tutto questo giro c'era la certezza che questa comunicazione aveva
ufficialità di consegna e sarebbe potuta essere usata anche in caso di un contenzioso legale.
I puristi dicevano di non imbustare ma di spedirla piegata in modo che il timbro postale
(02:02):
risultasse direttamente sulla lettera. I premi della raccomandata in posta sono oltre al tempo
di spedizione e di attesa della consegna anche altri. La corrispondenza potrebbe andare persa,
il destinatario potrebbe rifiutare di riceverla e allungare ancora di più questi tempi oppure
potrebbe non essere in casa allungando i tempi e diventando un disagio per lui che dovrà andare a
(02:28):
ritirarla in un ufficio postale. Non c'è identificazione ufficiale dimittente e destinatario,
quando spedisco e quando mi arriva la lettera nessuno verifica il mio documento. Con i tempi
moderni e tecnologici era necessario creare qualcosa di adatto a rimpiazzare la raccomandata
ed ecco che nel 2005 con presidente della repubblica Ciampi e presidente del consiglio Berlusconi nasce
(02:55):
la PEC, acronimo che sta per posta elettronica certificata. La PEC è nata per sostituire il
giro di carta della raccomandata tutto in digitale. Per il dettaglio tecnico aspettate
la seconda parte di questa puntata, Valerio approfondirà ogni singolo aspetto di certificati,
firme e buste. Per poter fornire il servizio PEC i fornitori devono accreditarsi ed essere
(03:20):
validati da un ente pubblico, per questo non ci sono tanti fornitori PEC quanti fornitori di
posta elettronica. Per essere ritenuta valida ai fini legali una PEC deve partire da un server
PEC e arrivare a un server PEC, ma non basta. È necessario che sia validata tutta la catena di
creazione e consegna di cui fanno parte anche i log dei sistemi di invio e ricezione che per
(03:43):
legge devono essere mantenuti per 30 mesi. Oltre a questo periodo è vostra cura archiviare la PEC
con contenuto, hash, certificato, firme e marche temporali in quella che viene chiamata archiviazione
sostitutiva. Modalità di archiviazione che non sono valide ai fini legali sono le seguenti e so
che in un modo o nell'altro voi credevate di sì. Scaricare la PEC su un cliente di posta, stamparla
(04:09):
e metterla in un faldone anche se stampate sia il contenuto che il certificato. Vale solo se è sui
server del gestore e solo per i primi 30 mesi, pari a due anni e mezzo. Un'altra nota interessante
della PEC a cui molti non fanno caso è la ricevuta di consegna che attenzione non è di lettura ma è
valida ai fini del definire l'hai ricevuta e non puoi ignorare di averlo fatto. Se la raccomandata
(04:33):
si poteva in qualche modo rifiutare la PEC non può essere respinta e la ricevuta di consegna
arriva quando la comunicazione atterra sui server del ricevente, indipendentemente dal fatto che
questi controlli la casella di posta. Facciamo un esempio banale, mi arriva via PEC una notifica di
un pagamento da fare entro 30 giorni, io non guardo la PEC per più di 30 giorni, al quarantesimo giorno
(04:58):
la guardo e vedo il pagamento sarà già scaduto perché i 30 giorni sono passati da quando la
PEC è arrivata sul server e non da quando io l'ho aperta. Se avete una casella di posta PEC
dovete controllarla in modo regolare mi raccomando. Banalmente con la raccomandata non arriva pubblicità
come potrebbe arrivare nella buca normale, la teoria è che con la PEC dovrebbero arrivare solo
(05:23):
messaggi legittimi, niente pubblicità o altre schifezze magari. In realtà la PEC è funestata
da pubblicità spam ed è un veicolo di ransomware pazzesco, la gente si fida di quello che arriva
via PEC e clicca su ogni cosa molto più che sulla posta normale. I gestori PEC che noi conosciamo
sono prevalentemente italiani ma già dall'inizio non c'era alcun vincolo al fatto che potessero
(05:48):
essere europei, anche se il sistema di comunicazione è valido ai fini legali solo in Italia. Poi le
cose si sono evolute e anche la PEC ha fatto qualche passo in avanti, è arrivata la REM che
sta per registered electronic mail, primo segnale l'acronimo è in inglese, questo vuol dire che il
sistema passa ad avere valore legale solo in Italia, ad averlo in tutta Europa, già interessante. Poi
(06:14):
passa ad essere SERC, servizio elettronico di recapito certificato, a SERC, servizio elettronico
di recapito certificato qualificato, c'è una Q al fondo del secondo acronimo, vuol dire che
finalmente è garantito chi è l'intestatario della casella di posta. Questa cosa va fatta
obbligatoriamente su ogni casella PEC entro il primo trimestre di quest'anno 2024. Per fare
(06:41):
questo è necessario abilitare l'identificazione della propria casella PEC con SPID, CIE o altro
sistema, in modo che si sia certi chi sia il vero proprietario della casella. Con questa attivazione
diventa obbligatorio anche attivare l'autenticazione a due fattori, con il mio gestore non si può fare
con app standard TOTP ma con app proprietaria, questo ha creato un po' di malumori tra i vari
(07:05):
puristi che vorrebbero usare app open source, cosa attualmente impossibile. Con la questione
dell'autenticazione a due fattori diventa anche scomodo scaricare la posta sui client standard,
in quanto va generata una password che scade regolarmente e va cambiata sui sui sistemi di
provider e poi sul client di posta che usate. Una seccatura in più è una roba che va fatta
(07:31):
per avere un sistema più sicuro e certificato. Mi astengo dal commentare. A questo punto per
i dettagli tecnici, ma proprio scavando nel profondo, passo la palla a Valerio.
Francesco ci ha appena spiegato che uno strumento come la PEC, e la cosa varrà ancora di più per la
(08:01):
futura RAM, nasce per avere il cosiddetto valore probatorio legale, al pari della posta raccomandata
tradizionale. Ciò vuol dire che le comunicazioni inviate tramite questi strumenti, al contrario
di quelle spedite, con una normale email, possono essere utilizzate per sostenere eventuali dispute
(08:24):
in tribunale. Certificano l'effettiva consegna di documenti o avvisi, nonché la data in cui il
messaggio è stato inviato e recapitato. Ma cosa differenzia PEC o RAM dalla comune posta elettronica
al punto di poter garantire un tale grado di affidabilità? Da un punto di vista legale,
(08:45):
il fattore dirimente risiede nel fatto che la posta certificata permette di stabilire,
con approssimazione buona almeno quanto una tradizionale posta raccomandata, l'identità
del mittente e del destinatario di una missiva, nonché il fatto che il destinatario l'abbia
(09:06):
ricevuta o meno. Da un punto di vista informatico, invece, la chiave è nell'utilizzo di una serie di
concetti, per la verità abbastanza basilari e ampiamente diffusi, ma che assicurano innanzitutto
l'inalterabilità della comunicazione e poi permettono un controllo automatico della
(09:27):
corrispondenza tra mittente e destinatario e i vari messaggi scambiati, siano essi il messaggio
originale o le varie notifiche. Questi concetti in particolare sono l'incapsulamento, l'hashing
e la firma digitale. Prima però di scendere subito nel dettaglio, ci conviene ripassare il
(09:49):
processo di scambio di messaggi tra caselle di posta elettronica certificate, perché seppur
molto simile a quello tra normali caselle email, presenta alcune differenze fondamentali. Chiariamo
innanzitutto che i soggetti coinvolti in tale processo sono teoricamente gli stessi, cioè il
(10:12):
mittente, il destinatario, il gestore del mittente ed il gestore del destinatario, a differenza di
come accade per una qualsiasi email. Però nel caso dell'AppEc, quando si parla di gestori non
si fa genericamente riferimento ai soliti noti come Gmail o Microsoft o chiunque altro fornisca
(10:34):
caselle email, ma ad un particolare elenco di soggetti registrati ed approvati dall'AGID,
l'Agenzia per l'Italia Digitale. Esempio di gestori certificati sono Aruba, Tim, Poste
Registere e vari altri. L'elenco completo è disponibile sotto la voce elenco-gestori-ipec
(10:56):
sul sito dell'AGID. In descrizione troverai il link. Tornando a noi però, il processo di
trasmissione si svolge dunque in questo modo. Quando un utente invia una email certificata,
questi la compone tramite il software desktop o la webmail che ha a disposizione e la affida
(11:17):
al proprio gestore affinché la recapiti al destinatario. Qui c'è già la prima differenza
rispetto ad una normale email perché il gestore certificato inserisce il messaggio scritto dall'utente
all'interno di un altro messaggio che prende il nome di busta di trasporto. Questa operazione,
(11:38):
definita incapsulamento, permette di allegare tutta una serie di informazioni utili e aggiuntive
rispetto a quelle del messaggio originale. Subito dopo, il gestore genera una stringa di testo di
tale busta, chiamata codice hash, ed utilizza la propria firma digitale per firmare entrambi
(12:01):
gli artefatti busta e hash. Come vedremo a breve, ciò permetterà in seguito di verificare e garantire
la veridicità di una serie di fattori come la provenienza, la marca temporale e l'integrità
del messaggio. Una volta ultimate queste prime operazioni, il gestore invia indietro al mittente
(12:25):
la notifica di presa in carico del messaggio, che altro non è che la prima delle due ricevute
che il mittente riceve ogni volta che invia una PEC. Se fino ad ora tutto è andato per il verso
giusto, nella ricevuta comparirà un messaggio di successo, altrimenti sarà presente una descrizione
(12:46):
del problema verificatosi. Nel frattempo il gestore del mittente invia la busta e l'hash firmati
al gestore del destinatario, il quale avvia i propri protocolli di verifica per accertarsi che
tutto sia in ordine prima di procedere al recapito. Affinché il messaggio superi le verifiche, la firma
(13:10):
deve essere innanzitutto valida e poi deve appartenere ad uno dei gestori PEC autorizzati
dall'AGID. Dopodiché, se la busta corrisponde correttamente all'hash, allora si può concludere
che il suo contenuto sia arrivato inalterato. Una volta effettuate tutte le verifiche con successo,
(13:33):
il gestore del destinatario può aprire la busta, estrarne il messaggio email e consegnarlo nella
casella del soggetto destinatario. Solo a questo punto il gestore del destinatario invia una
notifica al mittente iniziale per avvisarlo che il messaggio è stato recapitato al destinatario,
(13:54):
vada bene recapitato, non letto. Questa notifica detta ricevuta di consegna è il secondo messaggio
che normalmente il mittente riceve automaticamente quando invia una PEC ed è sufficiente anche agli
occhi della legge per confermare che il processo è andato a buon fine. Da protocollo esistono anche
(14:19):
delle notifiche riguardanti la lettura dei messaggi da parte degli utenti, ma non sono obbligatorie e
non molti gestori le implementano. Legalmente parlando è responsabilità del destinatario
presidiare regolarmente la propria casella e leggere le comunicazioni ricevute. Ad ogni modo,
(14:39):
già da queste poche informazioni possiamo trarre alcune conclusioni importanti sul
funzionamento della PEC, che valgono in parte anche per la RAM. Innanzitutto possiamo
tranquillamente affermare che grazie alla tecnologia impiegata di hashing e firma
digitale il contenuto di un messaggio non può essere in alcun modo alterato, a differenza
(15:04):
ad esempio di come accade per la raccomandata, servizio al quale spesso la PEC viene paragonata.
In secondo luogo, il processo di trasmissione è reso sicuro in modo automatico dal protocollo
tecnologico, ma la verifica della vera identità di emittente e destinatario, cioè proprio delle
(15:25):
persone che acquistano le caselle, viene demandata al gestore. Questo fattore è importante se pensiamo
che il nuovo standard europeo che è nato come estensione della PEC, cioè appunto la RAM,
risolve proprio questo problema, imponendo il riconoscimento dell'utente tramite sistema sicuro
(15:47):
come lo speed, la CIE, la firma digitale o il riconoscimento in video. Fatte queste prime
osservazioni proviamo dunque ad approfondire un po' quelli che sono gli aspetti più tecnici
della questione, andando ad osservare il funzionamento dei concetti su cui si basano
le peculiari caratteristiche della posta certificata. Abbiamo innanzitutto detto che
(16:12):
il messaggio inviato nel primo passaggio viene incapsulato in un secondo messaggio
chiamato busta di trasporto. L'incapsulamento è una pratica molto diffusa nel mondo del software,
un paradigma potente quanto in realtà semplice che consiste nell'inglobare un oggetto software
(16:35):
all'interno di un altro oggetto software. A seconda dell'ambito in cui viene applicato,
l'incapsulamento può avere forme diverse. Ad esempio se si parla di protocolli di trasmissione
dei dati, come quelli che sono alla base delle reti o dei servizi internet, incapsulare vuol dire
(16:55):
inserire pacchetti di dati all'interno di altri pacchetti leggermente più grandi che possono
trasportare, oltre al pacchetto originale, anche altre informazioni aggiuntive. Se invece parliamo
di programmazione basata sugli oggetti, l'incapsulamento si manifesta nello sfruttare
(17:17):
delle classi per sviluppare altre classi che implementino funzionalità più complesse ma
basate su quelle della classe originale. Nel nostro caso invece l'incapsulamento della busta
di trasporto consiste nel far diventare il messaggio originale una parte di un nuovo
messaggio, il quale contiene anche informazioni aggiuntive come l'hash, il nominativo dell'ente
(17:44):
certificante e la sua chiave pubblica. Un altro concetto ampiamente diffuso e utilizzato anche
dalla PEC è poi dunque quello di hashing. Lo abbiamo ripetuto tante volte ma in effetti non
abbiamo ancora spiegato cosa sia. In pratica l'hash è una stringa alfanumerica di lunghezza ben definita
(18:08):
che può essere calcolata tramite una funzione matematica e quindi un algoritmo detta appunto
funzione di hashing. L'algoritmo di hashing è implementato in modo che se si calcola più volte
l'hash di un testo si ottiene come risultato sempre la stessa identica stringa a patto che il testo sia
(18:32):
sempre esattamente identico. Se il testo originale cambia anche solo di una virgola o di uno spazio
l'hash calcolato risulterà completamente differente. Inoltre sempre a causa delle caratteristiche della
funzione di hashing da un qualsiasi codice hash è impossibile risalire all'originale testo utilizzato
(18:58):
per generarlo. Algoritmi di questo tipo sono largamente utilizzati in criptografia ad esempio
per memorizzare le credenziali o i dati biometrici perché conservare nei database l'hash di una
password, dell'impronta digitale o del viso è molto più economico e sicuro che memorizzare il dato
(19:22):
originale per intero. Nel caso in cui qualcuno dovesse sottrarre il database a partire dagli
hash non sarebbe in grado di calcolare i dati originali e al tempo stesso quando è necessario
utilizzare tali dati basta ricalcolare l'hash a partire dal nuovo input fornito dall'utente. Quando
(19:44):
l'utente inserisce una nuova password o fa scansionare il proprio viso ad esempio il sistema
genera nuovamente l'hash e lo confronta con quello memorizzato nel proprio database. Se coincide
allora l'utente è verificato altrimenti no. Facile, veloce e funziona nonostante l'impossibilità di
(20:08):
ricostruire il dato originale e proprio sfruttando un principio del genere i gestori dell'APEC possono
verificare che i messaggi non siano stati alterati durante il percorso volontariamente o meno. Al
momento dell'invio infatti il gestore del mittente crea la busta e vi inserisce oltre al messaggio
(20:32):
anche alcune informazioni aggiuntive come ad esempio la marca temporale e altri dati che
possono risultare utili. Poi calcola l'hash e inserisce anche quello nella busta. Quando il
messaggio arriva al gestore del destinatario il sistema estrae l'hash e poi calcola a sua volta
(20:55):
l'hash della busta che ha ricevuto. Se i due hash coincidono ne può dedurre che il messaggio è
arrivato inalterato. Ora però ti starai chiedendo se io intercetto un messaggio, lo altero, calcolo
il nuovo hash e lo sostituisco al vecchio nella busta. In tal modo posso tranquillamente far
(21:17):
credere al sistema che la mia modifica fosse parte dell'invio originale. Beh, in realtà questo
non si può fare grazie all'ultimo concetto chiave menzionato prima, quello che assicura che tutta la
trasmissione avvenga in modo sicuro e dal sicuro da occhi indiscreti, cioè la firma digitale. Prima
(21:41):
di inviare la busta infatti il gestore del mittente la firma con la propria chiave privata e la cifra
con quella pubblica del gestore del destinatario. Ora, la criptografia tramite chiave pubblico
privata è un sistema semplice quanto geniale per assicurare la sicurezza delle comunicazioni in
(22:06):
generale. Viene utilizzata in moltissimi ambiti come ad esempio il protocollo HTTPS. In questo
momento non abbiamo tempo per spiegarne il funzionamento in dettaglio, per questo ti
consiglio di ascoltare l'episodio di Pensieri in Codice numero 20 intitolato l'algoritmo della
(22:28):
criptografia chiave pubblica. Ma quel che ci interessa oggi è il seguente concetto. Quando
si codifica un'informazione utilizzando una chiave privata la si può decodificare utilizzando la
relativa chiave pubblica e viceversa. La busta della PEC quindi che è stata criptografata
(22:51):
utilizzando la chiave pubblica del gestore del destinatario può essere decriptata solo da
quest'ultimo in quanto è unico detentore della propria chiave privata. Questa caratteristica
assicura il fatto che il messaggio una volta spedito non possa essere aperto né tantomeno
(23:12):
modificato da altri se non dal gestore legittimo del destinatario. Al tempo stesso poi la firma
applicata utilizzando la chiave privata del gestore emittente potrà essere verificata con la relativa
chiave pubblica liberamente distribuita che assicurerà che il messaggio arriva effettivamente
(23:35):
dal gestore in questione. Essendo infatti la chiave privata in possesso solo e unicamente
del gestore emittente nessun altro soggetto potrà utilizzarla per criptare un messaggio
allo stesso modo. Se utilizzando la giusta chiave pubblica il messaggio potrà essere decriptato
(23:55):
allora il gestore destinatario avrà la conferma che esso arriva dal gestore emittente altrimenti
il messaggio verrà considerato illegittimo e verrà scartato. Utilizzando questi meccanismi
di codifica e decodifica in combinazione viene preservata sia l'autenticità che la segretezza
(24:17):
dell'intera comunicazione. Bene anche oggi siamo giunti al termine dell'episodio ringrazio Francesco
per aver accettato la collaborazione era già un po' che volevo farne una con lui e finalmente
sono riuscito ad organizzarla. In descrizione trovi il link a pillole di bit che se già non
(24:43):
conosci ovviamente devi andare a recuperare. Per inciso ho in mente altri argomenti che potremmo
trattare insieme quindi se l'episodio ti è piaciuto faccelo sapere su telegram o scrivendo
una mail a valerio-pensierincodice.it. A questo proposito sul sito pensierincodice.it trovi
(25:06):
anche tutti i modi per contattarmi ed entrare a far parte della community del podcast. Detto questo
poi ringrazio i soliti Carlo ed Edoardo per la loro donazione ricorrente e ti ricordo che se
vuoi unirti a loro trovi tutte le informazioni sempre sul sito alla sezione sostieni. Ah e quasi
(25:27):
dimenticavo sul nuovo sito c'è anche il nuovo feed del podcast senza pubblicità e senza
tracciamento lesivo della privacy quindi ti consiglio di andarlo a recuperare e aggiungerlo
alla tua app. Dunque direi che per il momento non c'è altro io ti do semplicemente appuntamento
al prossimo episodio ma ti ricordo sempre che un informatico risolve problemi a volte anche
(25:53):
usando il computer.
A volte ci sono degli strumenti che utilizziamo ogni giorno per abitudine o per lavoro, dei
(00:07):
quali però conosciamo ben poco sia dal punto di vista tecnico ma anche solo della loro
storia e a volte così facendo ci perdiamo qualcosa di interessante.
Nell'episodio di oggi, dunque, con l'aiuto di un amico che sono sicuro già conoscerai
facciamo un bel viaggio nella storia e nel funzionamento di quella che comunemente tutti
(00:32):
noi chiamiamo PEC.
Nell'ultimo periodo questo servizio ha fatto da punto di partenza per una versione più
avanzata estesa all'intera Europa con il nome di REM ed è quindi bene secondo me conoscerne
caratteristiche e differenze rispetto alla normale posta elettronica.
(00:54):
Senza induggiare oltre quindi passo la parola a Francesco Tucci del podcast Pillole di Bit
ma non prima di aver lanciato la sigla.
Benvenuti su Pensieri in Codice, il podcast dove si ragiona da informatici, con Valerio Galan.
(01:14):
Tanto tempo fa per inviare una comunicazione ufficiale era necessario andare in posta, fare
la coda, sopportare il blatterare dell'agente, compilare il modulo della raccomandata con
ricevuta di ritorno a mano, pagare, spedirla, aspettare che questa venisse consegnata e poi
(01:40):
aspettare che il cartoncino firmato dal destinatario tornasse fino nella vostra buca
delle lettere. Dopo tutto questo giro c'era la certezza che questa comunicazione aveva
ufficialità di consegna e sarebbe potuta essere usata anche in caso di un contenzioso legale.
I puristi dicevano di non imbustare ma di spedirla piegata in modo che il timbro postale
(02:02):
risultasse direttamente sulla lettera. I premi della raccomandata in posta sono oltre al tempo
di spedizione e di attesa della consegna anche altri. La corrispondenza potrebbe andare persa,
il destinatario potrebbe rifiutare di riceverla e allungare ancora di più questi tempi oppure
potrebbe non essere in casa allungando i tempi e diventando un disagio per lui che dovrà andare a
(02:28):
ritirarla in un ufficio postale. Non c'è identificazione ufficiale dimittente e destinatario,
quando spedisco e quando mi arriva la lettera nessuno verifica il mio documento. Con i tempi
moderni e tecnologici era necessario creare qualcosa di adatto a rimpiazzare la raccomandata
ed ecco che nel 2005 con presidente della repubblica Ciampi e presidente del consiglio Berlusconi nasce
(02:55):
la PEC, acronimo che sta per posta elettronica certificata. La PEC è nata per sostituire il
giro di carta della raccomandata tutto in digitale. Per il dettaglio tecnico aspettate
la seconda parte di questa puntata, Valerio approfondirà ogni singolo aspetto di certificati,
firme e buste. Per poter fornire il servizio PEC i fornitori devono accreditarsi ed essere
(03:20):
validati da un ente pubblico, per questo non ci sono tanti fornitori PEC quanti fornitori di
posta elettronica. Per essere ritenuta valida ai fini legali una PEC deve partire da un server
PEC e arrivare a un server PEC, ma non basta. È necessario che sia validata tutta la catena di
creazione e consegna di cui fanno parte anche i log dei sistemi di invio e ricezione che per
(03:43):
legge devono essere mantenuti per 30 mesi. Oltre a questo periodo è vostra cura archiviare la PEC
con contenuto, hash, certificato, firme e marche temporali in quella che viene chiamata archiviazione
sostitutiva. Modalità di archiviazione che non sono valide ai fini legali sono le seguenti e so
che in un modo o nell'altro voi credevate di sì. Scaricare la PEC su un cliente di posta, stamparla
(04:09):
e metterla in un faldone anche se stampate sia il contenuto che il certificato. Vale solo se è sui
server del gestore e solo per i primi 30 mesi, pari a due anni e mezzo. Un'altra nota interessante
della PEC a cui molti non fanno caso è la ricevuta di consegna che attenzione non è di lettura ma è
valida ai fini del definire l'hai ricevuta e non puoi ignorare di averlo fatto. Se la raccomandata
(04:33):
si poteva in qualche modo rifiutare la PEC non può essere respinta e la ricevuta di consegna
arriva quando la comunicazione atterra sui server del ricevente, indipendentemente dal fatto che
questi controlli la casella di posta. Facciamo un esempio banale, mi arriva via PEC una notifica di
un pagamento da fare entro 30 giorni, io non guardo la PEC per più di 30 giorni, al quarantesimo giorno
(04:58):
la guardo e vedo il pagamento sarà già scaduto perché i 30 giorni sono passati da quando la
PEC è arrivata sul server e non da quando io l'ho aperta. Se avete una casella di posta PEC
dovete controllarla in modo regolare mi raccomando. Banalmente con la raccomandata non arriva pubblicità
come potrebbe arrivare nella buca normale, la teoria è che con la PEC dovrebbero arrivare solo
(05:23):
messaggi legittimi, niente pubblicità o altre schifezze magari. In realtà la PEC è funestata
da pubblicità spam ed è un veicolo di ransomware pazzesco, la gente si fida di quello che arriva
via PEC e clicca su ogni cosa molto più che sulla posta normale. I gestori PEC che noi conosciamo
sono prevalentemente italiani ma già dall'inizio non c'era alcun vincolo al fatto che potessero
(05:48):
essere europei, anche se il sistema di comunicazione è valido ai fini legali solo in Italia. Poi le
cose si sono evolute e anche la PEC ha fatto qualche passo in avanti, è arrivata la REM che
sta per registered electronic mail, primo segnale l'acronimo è in inglese, questo vuol dire che il
sistema passa ad avere valore legale solo in Italia, ad averlo in tutta Europa, già interessante. Poi
(06:14):
passa ad essere SERC, servizio elettronico di recapito certificato, a SERC, servizio elettronico
di recapito certificato qualificato, c'è una Q al fondo del secondo acronimo, vuol dire che
finalmente è garantito chi è l'intestatario della casella di posta. Questa cosa va fatta
obbligatoriamente su ogni casella PEC entro il primo trimestre di quest'anno 2024. Per fare
(06:41):
questo è necessario abilitare l'identificazione della propria casella PEC con SPID, CIE o altro
sistema, in modo che si sia certi chi sia il vero proprietario della casella. Con questa attivazione
diventa obbligatorio anche attivare l'autenticazione a due fattori, con il mio gestore non si può fare
con app standard TOTP ma con app proprietaria, questo ha creato un po' di malumori tra i vari
(07:05):
puristi che vorrebbero usare app open source, cosa attualmente impossibile. Con la questione
dell'autenticazione a due fattori diventa anche scomodo scaricare la posta sui client standard,
in quanto va generata una password che scade regolarmente e va cambiata sui sui sistemi di
provider e poi sul client di posta che usate. Una seccatura in più è una roba che va fatta
(07:31):
per avere un sistema più sicuro e certificato. Mi astengo dal commentare. A questo punto per
i dettagli tecnici, ma proprio scavando nel profondo, passo la palla a Valerio.
Francesco ci ha appena spiegato che uno strumento come la PEC, e la cosa varrà ancora di più per la
(08:01):
futura RAM, nasce per avere il cosiddetto valore probatorio legale, al pari della posta raccomandata
tradizionale. Ciò vuol dire che le comunicazioni inviate tramite questi strumenti, al contrario
di quelle spedite, con una normale email, possono essere utilizzate per sostenere eventuali dispute
(08:24):
in tribunale. Certificano l'effettiva consegna di documenti o avvisi, nonché la data in cui il
messaggio è stato inviato e recapitato. Ma cosa differenzia PEC o RAM dalla comune posta elettronica
al punto di poter garantire un tale grado di affidabilità? Da un punto di vista legale,
(08:45):
il fattore dirimente risiede nel fatto che la posta certificata permette di stabilire,
con approssimazione buona almeno quanto una tradizionale posta raccomandata, l'identità
del mittente e del destinatario di una missiva, nonché il fatto che il destinatario l'abbia
(09:06):
ricevuta o meno. Da un punto di vista informatico, invece, la chiave è nell'utilizzo di una serie di
concetti, per la verità abbastanza basilari e ampiamente diffusi, ma che assicurano innanzitutto
l'inalterabilità della comunicazione e poi permettono un controllo automatico della
(09:27):
corrispondenza tra mittente e destinatario e i vari messaggi scambiati, siano essi il messaggio
originale o le varie notifiche. Questi concetti in particolare sono l'incapsulamento, l'hashing
e la firma digitale. Prima però di scendere subito nel dettaglio, ci conviene ripassare il
(09:49):
processo di scambio di messaggi tra caselle di posta elettronica certificate, perché seppur
molto simile a quello tra normali caselle email, presenta alcune differenze fondamentali. Chiariamo
innanzitutto che i soggetti coinvolti in tale processo sono teoricamente gli stessi, cioè il
(10:12):
mittente, il destinatario, il gestore del mittente ed il gestore del destinatario, a differenza di
come accade per una qualsiasi email. Però nel caso dell'AppEc, quando si parla di gestori non
si fa genericamente riferimento ai soliti noti come Gmail o Microsoft o chiunque altro fornisca
(10:34):
caselle email, ma ad un particolare elenco di soggetti registrati ed approvati dall'AGID,
l'Agenzia per l'Italia Digitale. Esempio di gestori certificati sono Aruba, Tim, Poste
Registere e vari altri. L'elenco completo è disponibile sotto la voce elenco-gestori-ipec
(10:56):
sul sito dell'AGID. In descrizione troverai il link. Tornando a noi però, il processo di
trasmissione si svolge dunque in questo modo. Quando un utente invia una email certificata,
questi la compone tramite il software desktop o la webmail che ha a disposizione e la affida
(11:17):
al proprio gestore affinché la recapiti al destinatario. Qui c'è già la prima differenza
rispetto ad una normale email perché il gestore certificato inserisce il messaggio scritto dall'utente
all'interno di un altro messaggio che prende il nome di busta di trasporto. Questa operazione,
(11:38):
definita incapsulamento, permette di allegare tutta una serie di informazioni utili e aggiuntive
rispetto a quelle del messaggio originale. Subito dopo, il gestore genera una stringa di testo di
tale busta, chiamata codice hash, ed utilizza la propria firma digitale per firmare entrambi
(12:01):
gli artefatti busta e hash. Come vedremo a breve, ciò permetterà in seguito di verificare e garantire
la veridicità di una serie di fattori come la provenienza, la marca temporale e l'integrità
del messaggio. Una volta ultimate queste prime operazioni, il gestore invia indietro al mittente
(12:25):
la notifica di presa in carico del messaggio, che altro non è che la prima delle due ricevute
che il mittente riceve ogni volta che invia una PEC. Se fino ad ora tutto è andato per il verso
giusto, nella ricevuta comparirà un messaggio di successo, altrimenti sarà presente una descrizione
(12:46):
del problema verificatosi. Nel frattempo il gestore del mittente invia la busta e l'hash firmati
al gestore del destinatario, il quale avvia i propri protocolli di verifica per accertarsi che
tutto sia in ordine prima di procedere al recapito. Affinché il messaggio superi le verifiche, la firma
(13:10):
deve essere innanzitutto valida e poi deve appartenere ad uno dei gestori PEC autorizzati
dall'AGID. Dopodiché, se la busta corrisponde correttamente all'hash, allora si può concludere
che il suo contenuto sia arrivato inalterato. Una volta effettuate tutte le verifiche con successo,
(13:33):
il gestore del destinatario può aprire la busta, estrarne il messaggio email e consegnarlo nella
casella del soggetto destinatario. Solo a questo punto il gestore del destinatario invia una
notifica al mittente iniziale per avvisarlo che il messaggio è stato recapitato al destinatario,
(13:54):
vada bene recapitato, non letto. Questa notifica detta ricevuta di consegna è il secondo messaggio
che normalmente il mittente riceve automaticamente quando invia una PEC ed è sufficiente anche agli
occhi della legge per confermare che il processo è andato a buon fine. Da protocollo esistono anche
(14:19):
delle notifiche riguardanti la lettura dei messaggi da parte degli utenti, ma non sono obbligatorie e
non molti gestori le implementano. Legalmente parlando è responsabilità del destinatario
presidiare regolarmente la propria casella e leggere le comunicazioni ricevute. Ad ogni modo,
(14:39):
già da queste poche informazioni possiamo trarre alcune conclusioni importanti sul
funzionamento della PEC, che valgono in parte anche per la RAM. Innanzitutto possiamo
tranquillamente affermare che grazie alla tecnologia impiegata di hashing e firma
digitale il contenuto di un messaggio non può essere in alcun modo alterato, a differenza
(15:04):
ad esempio di come accade per la raccomandata, servizio al quale spesso la PEC viene paragonata.
In secondo luogo, il processo di trasmissione è reso sicuro in modo automatico dal protocollo
tecnologico, ma la verifica della vera identità di emittente e destinatario, cioè proprio delle
(15:25):
persone che acquistano le caselle, viene demandata al gestore. Questo fattore è importante se pensiamo
che il nuovo standard europeo che è nato come estensione della PEC, cioè appunto la RAM,
risolve proprio questo problema, imponendo il riconoscimento dell'utente tramite sistema sicuro
(15:47):
come lo speed, la CIE, la firma digitale o il riconoscimento in video. Fatte queste prime
osservazioni proviamo dunque ad approfondire un po' quelli che sono gli aspetti più tecnici
della questione, andando ad osservare il funzionamento dei concetti su cui si basano
le peculiari caratteristiche della posta certificata. Abbiamo innanzitutto detto che
(16:12):
il messaggio inviato nel primo passaggio viene incapsulato in un secondo messaggio
chiamato busta di trasporto. L'incapsulamento è una pratica molto diffusa nel mondo del software,
un paradigma potente quanto in realtà semplice che consiste nell'inglobare un oggetto software
(16:35):
all'interno di un altro oggetto software. A seconda dell'ambito in cui viene applicato,
l'incapsulamento può avere forme diverse. Ad esempio se si parla di protocolli di trasmissione
dei dati, come quelli che sono alla base delle reti o dei servizi internet, incapsulare vuol dire
(16:55):
inserire pacchetti di dati all'interno di altri pacchetti leggermente più grandi che possono
trasportare, oltre al pacchetto originale, anche altre informazioni aggiuntive. Se invece parliamo
di programmazione basata sugli oggetti, l'incapsulamento si manifesta nello sfruttare
(17:17):
delle classi per sviluppare altre classi che implementino funzionalità più complesse ma
basate su quelle della classe originale. Nel nostro caso invece l'incapsulamento della busta
di trasporto consiste nel far diventare il messaggio originale una parte di un nuovo
messaggio, il quale contiene anche informazioni aggiuntive come l'hash, il nominativo dell'ente
(17:44):
certificante e la sua chiave pubblica. Un altro concetto ampiamente diffuso e utilizzato anche
dalla PEC è poi dunque quello di hashing. Lo abbiamo ripetuto tante volte ma in effetti non
abbiamo ancora spiegato cosa sia. In pratica l'hash è una stringa alfanumerica di lunghezza ben definita
(18:08):
che può essere calcolata tramite una funzione matematica e quindi un algoritmo detta appunto
funzione di hashing. L'algoritmo di hashing è implementato in modo che se si calcola più volte
l'hash di un testo si ottiene come risultato sempre la stessa identica stringa a patto che il testo sia
(18:32):
sempre esattamente identico. Se il testo originale cambia anche solo di una virgola o di uno spazio
l'hash calcolato risulterà completamente differente. Inoltre sempre a causa delle caratteristiche della
funzione di hashing da un qualsiasi codice hash è impossibile risalire all'originale testo utilizzato
(18:58):
per generarlo. Algoritmi di questo tipo sono largamente utilizzati in criptografia ad esempio
per memorizzare le credenziali o i dati biometrici perché conservare nei database l'hash di una
password, dell'impronta digitale o del viso è molto più economico e sicuro che memorizzare il dato
(19:22):
originale per intero. Nel caso in cui qualcuno dovesse sottrarre il database a partire dagli
hash non sarebbe in grado di calcolare i dati originali e al tempo stesso quando è necessario
utilizzare tali dati basta ricalcolare l'hash a partire dal nuovo input fornito dall'utente. Quando
(19:44):
l'utente inserisce una nuova password o fa scansionare il proprio viso ad esempio il sistema
genera nuovamente l'hash e lo confronta con quello memorizzato nel proprio database. Se coincide
allora l'utente è verificato altrimenti no. Facile, veloce e funziona nonostante l'impossibilità di
(20:08):
ricostruire il dato originale e proprio sfruttando un principio del genere i gestori dell'APEC possono
verificare che i messaggi non siano stati alterati durante il percorso volontariamente o meno. Al
momento dell'invio infatti il gestore del mittente crea la busta e vi inserisce oltre al messaggio
(20:32):
anche alcune informazioni aggiuntive come ad esempio la marca temporale e altri dati che
possono risultare utili. Poi calcola l'hash e inserisce anche quello nella busta. Quando il
messaggio arriva al gestore del destinatario il sistema estrae l'hash e poi calcola a sua volta
(20:55):
l'hash della busta che ha ricevuto. Se i due hash coincidono ne può dedurre che il messaggio è
arrivato inalterato. Ora però ti starai chiedendo se io intercetto un messaggio, lo altero, calcolo
il nuovo hash e lo sostituisco al vecchio nella busta. In tal modo posso tranquillamente far
(21:17):
credere al sistema che la mia modifica fosse parte dell'invio originale. Beh, in realtà questo
non si può fare grazie all'ultimo concetto chiave menzionato prima, quello che assicura che tutta la
trasmissione avvenga in modo sicuro e dal sicuro da occhi indiscreti, cioè la firma digitale. Prima
(21:41):
di inviare la busta infatti il gestore del mittente la firma con la propria chiave privata e la cifra
con quella pubblica del gestore del destinatario. Ora, la criptografia tramite chiave pubblico
privata è un sistema semplice quanto geniale per assicurare la sicurezza delle comunicazioni in
(22:06):
generale. Viene utilizzata in moltissimi ambiti come ad esempio il protocollo HTTPS. In questo
momento non abbiamo tempo per spiegarne il funzionamento in dettaglio, per questo ti
consiglio di ascoltare l'episodio di Pensieri in Codice numero 20 intitolato l'algoritmo della
(22:28):
criptografia chiave pubblica. Ma quel che ci interessa oggi è il seguente concetto. Quando
si codifica un'informazione utilizzando una chiave privata la si può decodificare utilizzando la
relativa chiave pubblica e viceversa. La busta della PEC quindi che è stata criptografata
(22:51):
utilizzando la chiave pubblica del gestore del destinatario può essere decriptata solo da
quest'ultimo in quanto è unico detentore della propria chiave privata. Questa caratteristica
assicura il fatto che il messaggio una volta spedito non possa essere aperto né tantomeno
(23:12):
modificato da altri se non dal gestore legittimo del destinatario. Al tempo stesso poi la firma
applicata utilizzando la chiave privata del gestore emittente potrà essere verificata con la relativa
chiave pubblica liberamente distribuita che assicurerà che il messaggio arriva effettivamente
(23:35):
dal gestore in questione. Essendo infatti la chiave privata in possesso solo e unicamente
del gestore emittente nessun altro soggetto potrà utilizzarla per criptare un messaggio
allo stesso modo. Se utilizzando la giusta chiave pubblica il messaggio potrà essere decriptato
(23:55):
allora il gestore destinatario avrà la conferma che esso arriva dal gestore emittente altrimenti
il messaggio verrà considerato illegittimo e verrà scartato. Utilizzando questi meccanismi
di codifica e decodifica in combinazione viene preservata sia l'autenticità che la segretezza
(24:17):
dell'intera comunicazione. Bene anche oggi siamo giunti al termine dell'episodio ringrazio Francesco
per aver accettato la collaborazione era già un po' che volevo farne una con lui e finalmente
sono riuscito ad organizzarla. In descrizione trovi il link a pillole di bit che se già non
(24:43):
conosci ovviamente devi andare a recuperare. Per inciso ho in mente altri argomenti che potremmo
trattare insieme quindi se l'episodio ti è piaciuto faccelo sapere su telegram o scrivendo
una mail a valerio-pensierincodice.it. A questo proposito sul sito pensierincodice.it trovi
(25:06):
anche tutti i modi per contattarmi ed entrare a far parte della community del podcast. Detto questo
poi ringrazio i soliti Carlo ed Edoardo per la loro donazione ricorrente e ti ricordo che se
vuoi unirti a loro trovi tutte le informazioni sempre sul sito alla sezione sostieni. Ah e quasi
(25:27):
dimenticavo sul nuovo sito c'è anche il nuovo feed del podcast senza pubblicità e senza
tracciamento lesivo della privacy quindi ti consiglio di andarlo a recuperare e aggiungerlo
alla tua app. Dunque direi che per il momento non c'è altro io ti do semplicemente appuntamento
al prossimo episodio ma ti ricordo sempre che un informatico risolve problemi a volte anche
(25:53):
usando il computer.
Popular Podcasts
On Purpose with Jay Shetty
I’m Jay Shetty host of On Purpose the worlds #1 Mental Health podcast and I’m so grateful you found us. I started this podcast 5 years ago to invite you into conversations and workshops that are designed to help make you happier, healthier and more healed. I believe that when you (yes you) feel seen, heard and understood you’re able to deal with relationship struggles, work challenges and life’s ups and downs with more ease and grace. I interview experts, celebrities, thought leaders and athletes so that we can grow our mindset, build better habits and uncover a side of them we’ve never seen before. New episodes every Monday and Friday. Your support means the world to me and I don’t take it for granted — click the follow button and leave a review to help us spread the love with On Purpose. I can’t wait for you to listen to your first or 500th episode!
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Special Summer Offer: Exclusively on Apple Podcasts, try our Dateline Premium subscription completely free for one month! With Dateline Premium, you get every episode ad-free plus exclusive bonus content.
24/7 News: The Latest
The latest news in 4 minutes updated every hour, every day.