Claudio Corbetta, Amministratore Delegato di Gruppo Dada, spiega come gli operatori devono gestire le richieste di attivazione e come assicurano che i messaggi non siano manomessi durante il tragitto dal mittente al destinatario.
Con la Posta elettronica
certificata si testimonia che l’operatore autorizzato alla gestione di una
piattaforma di posta ha l’obbligo di
attestare l’identità dei soggetti che richiedono l’attivazione di una casella.
L’attestazione dell’identità avviene attraverso un processo che ogni operatore effettua
in relazione alla normativa vigente fatta dal soggetto della Pubblica
Amministrazione, la DigitPa.
“La normativa non è specifica – spiega Claudio Corbetta,
Amministratore Delegato di Gruppo Dada -, prevede che l’operatore stabilisca una procedura di attestazione
dell’identità dell’utente che richiede la Pec. La stragrande maggioranza degli
operatori oggi certifica tale identità attraverso un processo offline di stipula,
con un modulo che viene compilato attraverso la fornitura dei dati classici di
intestazione, come nome, cognome, residenza, codice fiscale e così via. Viene inoltre
richiesto l’invio del documento di identità“.
Una volta ricevuti questi
documenti, l’operatore si limita a
verificare che quanto scritto nel modulo di richiesta di attivazione della casella
di posta corrisponda ai dati presenti sul documento di identità. Nel caso dell’attivazione
per persone giuridiche, società, imprese e partita Iva si richiede anche di compilare la dichiarazione di
notorietà, dove il soggetto dichiara di essere il rappresentante legale
dell’azienda per la quale sta richiedendo l’attivazione della Pec.
Nel caso delle imprese, l’avvenuta
attivazione deve essere comunicata al Registro
delle imprese ed è onere del richiedente farne comunicazione. Il Registro,
a sua volta, esegue ulteriori verifiche sull’attivazione della casella e sull’identità
del soggetto richiedente.
“Più che l’identità del destinatario certificato – precisa Corbetta
-, la Pec documenta che la comunicazione
avvenga in maniera certa e che sia possibile dimostrare in modo inequivocabile
il fatto che un messaggio sia stato inviato e quindi ricevuto. In pratica, si
tratta di una replica in formato digitale della raccomandata cartacea e come
tale non certifica effettivamente l’identità di chi la invia o di chi la riceve“.
L’invio e la ricezione avvengono attraverso un sistema di marcatura temporale elettronica, anch’esso certificato, dalla
cosiddetta time stamp authority (sono
una decina in Italia). Tale certificato fornisce agli operatori uno strumento per
cui, nel momento in cui parte, alla Pec viene allegata una certificazione e lo
stesso accade nel momento in cui viene ricevuta, per essere sicuri che non sia stata
manomessa.
“La sicurezza che viene
garantita al trasporto del messaggio è dovuta a diversi fattori – afferma
Corbetta -: innanzitutto l’ambiente dove
si trova questa piattaforma di gestione dei messaggi deve essere certificato
Iso 9001. Ciò presuppone che all’interno di tale ambiente ci sia un meccanismo
che prende in consegna i messaggi in entrata e in uscita e li richiude come all’interno
di una busta“.
Nella realtà, vengono siglati
attraverso un sistema di firma digitale
(Hsm). Se durante il processo il messaggio viene intercettato da un hacker che
ne cambia i contenuti, il sistema
segnala l’avvenuta violazione e viene inviata una comunicazione di
decodifica illegale a chi invia e al destinatario.
“Gli operatori Pec hanno una serie di regole a cui sottostare e processi
da rispettare – conclude Corbetta -. Oltre
ai controlli che eseguiamo internamente, siamo periodicamente sottoposti a ispezioni
dei processi digitali e analogici da parte della DigitPa. Register.it non è operatore
certificato, ma opera a sua volta attraverso un operatore certificato: in
pratica, è un rivenditore di un operatore certificato. Va però sottolineato che
per qualsiasi tipologia di contratto forniamo lo stesso livello di sicurezza come
previsto dalla normativa“.
