Archivio della categoria: Diritto digitale

Cloud e GDPR: come funziona la nomina del fornitore quale responsabile?

A worried man uses his cell phone and you feel surrounded by secret agents
L’art. 28 del GDPR prevede che

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (…).

Quando un titolare (impresa, p.a. o professionista) si avvale di servizi cloud (basta pensare a alla suite di Google) il fornitore della nuvola diventa di fatto un responsabile del trattamento, poiché esegue dei trattamenti per conto del titolare: così quando si memorizzano dati dei clienti su Google Drive (per rimanere in tema) Google diventa responsabile del trattamento. Lo deve diventare anche di diritto.

Primo problema: la nomina a responsabile deve essere fatta con un contratto o altro atto giuridico: come faccio a fare un contratto con Mister Google?

Soluzione: il comma 9 prevede:

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

Questo non significa solo che si può fare attraverso un documento informatico (che non avrebbe un gran valore aggiunto rispetto all’equivalente cartaceo) ma in una forma contrattuale elettronica. Quindi anche stipulando il contratto a mezzo web.

Se andiamo a leggere le dichiarazioni di Google, in effetti, notiamo che l’azienda si auto-dichiara responsabile del trattamento (la traduzione Italia del termine data processsor) per conto del titolare.

termg

Dunque si potrebbe ritenere che il titolare, nel momento in cui crea un account su Google, accetta le condizioni alle quali il servizio viene reso: il tutto contrattando via internet. La stessa regola su cui si reggono gran parte delle transazioni commerciali elettroniche.

Secondo problema: il contratto con cui si nomina un responsabile deve avere un contenuto minimo per legge; deve cioè contenere almeno quanto segue:

a) istruzioni documentate del titolare del trattamento,
b) garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adozione di tutte le misure richieste ai sensi dell’articolo 32;
d) rispetto delle condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) assistenza al titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assistenza al titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36,
g) su scelta del titolare del trattamento, cancellazione o  restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellazione delle copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
h) messa a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo nonché consenso e contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Per alcuni di questi adempimenti Google fornisce informazioni nel suo “Data Processing Amendment to G Suite and/or Complementary Product Agreement” precise e aderenti al dettato normativo. Ma.. c’è sempre un ma..

Le informazioni di cui al punto a) –  ad esempio –  sono fornite in modalità per così dire “indiretta” poiché il titolare potrà fornire le istruzioni :

  • agendo sulle diverse funzionalità dei Servizi, ivi incluse le opzioni previste nell’ Admin Console
  • come indicato nel documento stesso (?)
  • “…come documentato ulteriormente in qualsiasi altra istruzione scritta fornita dal Cliente e riconosciuta da Google come costituente istruzioni…

Non mi pare però di aver trovato una casella di posta elettronica cui inviare queste istruzioni e mi chiedo, quindi, come fare in concreto ad inviarle…

Ammesso e non concesso che si trovi tale indirizzo email: cosa fare se Google non le riconosce come istruzioni?

Le istruzioni, infatti, andrebbero inviate e riconosciute come tali prima del 25 maggio 2018.

Anche per tutti gli altri adempimenti, il contenuto è determinato da Google e non poteva essere diversamente. Probabilmente se un’impresa come Google si è preoccupata di allinearsi al GDPR avrà fatto le sue brave valutazioni.

Ora però è il “nostro” turno. Come titolari (o consulenti di titolari) dovremmo fare le nostre valutazioni: non credo ci siano problemi nel caso in cui le istruzioni che il titolare vuol dare al suo responsabile siano già comprese nei termini & condizioni di Google, ma in caso contrario?

Se ad esempio  il titolare volesse-dovesse istruire il responsabile affinché proceda alla crittografia dei dati  o alla pseudonimizzazione?

Se il nominando responsabile non è stato trasparente come Google? Esistono grandi fornitori di servizi cloud che pur essendo al di fuori dell’UE non risultano nel Privacy Shield e quindi, a’ termini di GDPR, non possono essere utilizzati da chi effettua trattamenti in Europa, se non chiedendo un consenso esplicito all’interessato, il che per un titolare con molti clienti (per non parlare della pubblica amministrazione..) non sarebbe affatto agevole o addirittura impossibile.

Cloud è bello, ci solleva da tanti problemi, è comodo, però forse ne pone degli altri. Bisogna scegliere con cura. Viste le sanzioni, con molta cura.

La “Bibbia”(3 o 4.0). Dove il diritto non arriva, la sanzione della rete.

bibbbiaLa sorte o gli uomini sanno essere talvolta davvero beffardi.

Utilizzare il nome di un testo sacro (almeno per qualcuno) per una raccolta di atrocità, però batte qualsiasi record.

Probabilmente in ottica di marketing sull’illegale mercato della pedopornografia, il nome vuole evocare un qualcosa di definitivo che lascia basiti. Ovviamente non è una questione di religione, ma di reati e della specie peggiore.

Anzi non è una questione solo di reati: rinchiudere la vicenda nelle maglie della legge rischia, infatti, di lasciar passare comportamenti ed atteggiamenti assolutamente inaccettabili. Almeno per un uomo o una società che vogliono ritenersi civili.

Da quanto ho potuto ricostruire esite un corposo (circa 4 GB) archivio che contiene immagini porno e pedoporno che ciclicamente riappare sulla rete grazie all’uso del dark o deep web o a diversi sistemi di anonimizzazione ed alla disponibilità delle strutture e infrastruttre di archiviazione on line.

L’anello debole di questa  catena sono i fornitori di spazio per l’archiviazione e la condivisione: ovviamente non possono conoscere in tempo reale tutto quello che viene immesso nei loro sistemi, però possono reagire ad una segnalazione.

Ed il problema è tutto qui: come reagiscono?

C’è che di fronte ad una segnalazione si attiva in 15 minuti rimuovendo tutto, chi ci mette 24 ore e chi chiede documenti d’identità, dichiarazioni giurate ed “ulteriori informazioni” facendo passare giorni e non ore. Quest’ultimo approccio è quello seguito da Dropbox, secondo la segnalazione di Matteo Flora ed una taggata di Andrea Lazzari.

Un approccio corretto, appropriato, soddisfacente, legittimo?

Ad ogni aggettivo corrisponde un dominio: appropriato o soddisfacente in che termini? Etici, legali, umani?

Legittimo è un termine che introduce direttamente all’ordinamento giuridico e forse la risposta del diritto protrebbe non piacerci come esseri umani. Soprattutto come esseri etici.

Se al caso di Dropbox fosse applicabile la legge italiana (sto solo ipotizzando) potrebbe anche risultare che il suo approccio non sia fonte di responsabilità penale. Magari non verrà dimostrata la consapevolezza (che rileva in termini generali, ma anche particolari, ossia per il singolo reato v. art. 600 ter e quater c.p.).

Ma in termini semplicemente umani e – quindi – di mercato?

La parola magica, è benchmark: come si è comporatata Dropbox rispetto ai suoi diretti competitor? O ancora c’è un competitor che si dimsotra più sensibile di un altro?

A questi livelli il diritto non arriva. Però ci possiamo arrivare io, voi e chiunque altro abbia necessità di spazio di archiviazione e sia per puro caso (mai sottovalutare il caso) venuto a conoscenza di questa vicenda.

Un discorso utopistico? Forse, ma neanche tanto: se alcuni provider fanno scomparire tutto in 15 minuti, significa che si preoccupano della loro immagine/reputazione digitale. Ed anche ognuno di noi contribuisce a creare o distruggere questa reputazione.

Grande cosa la meta-comunicazione: in questo caso non un messaggio esplicitio del genere “Io sono direttamente impegnato nella lotta alla pedo-pornografia  e quindi ho attivato un sistema che mi permettere di reagire in pochi minuti ad ogni segnalazione“.

Un messaggio attraverso i comportamenti (molto efficace): rimuovere effettivamente il materiale contestato in brevissimo tempo.

Altri provider, invece, non danno lo stesso messaggio in termini espliciti, ma anche in questo caso attraverso i comportamenti: il tempo che ci mettono a reagire (e se lo fanno davvero..).

Una questione di cautela che questi temi meritano. Nel dubbio, rimuovere. Anche se forse la legge non lo richiede. Lo richiede la nostra umanità.

Condividire può essere utile.

 

 

Garante, privacy, cookies, analytics e… Google

Quesito: Google Analytics usato per la sola ottimizzazione del sito e non per profilazione può rientrare nella categoria di “cookies tecnici” ed essere quindi usato senza necessità di darne comunicazione nel banner?

Norme: il “dato normativo” è costituito dal provvedimento del Garante dell’ 8 maggio 2014 e (indirettamente, quasi a mo’ di interpretazione autentica) dalle FAQ.

Interpretazione: esistono (ai fini che interessano in questa sede: si escludono dunque i cookies espressamente ed effettivamente utilizzati per profilazione) diverse categorie di cookies:
cookies
Possono dunque verificarsi le seguenti ipotesi:

  • solo cookies tecnici= obbligo banner se di terze parti, no obbligo banner se proprietari
  • cookie di terze parti (tecnici o analytics non fa differenza giacché comunque di terzi)= obbligo banner
  • cookies proprietari= no obbligo banner
  • cookies anaytics= obbligo banner se di terze parti, no obbligo banner se proprietari

Google Analytics appartiene in ogni caso alla categoria “cookies di terze parti” ed è irrilevante che sia in concreto usato per fini di profilazione o come cookie tecnico: io non posso detenere un’arma in casa senza denunciarla indipendentemente dal fatto che la usi per sparare o come fermacarte. Irrilevante anche il fatto che sia anonimizzato perché questo attiene alla funzione, ma non muta la sua natura.

Si ricorda che ai sensi dell’art. 15 del Codice, l’attività di trattamento dati è pericolosa e quindi il titolare è chiamato ad una diligenza particolare: nel dubbio deve astenersi da qualsiasi uso che possa comportare un trattamento illecito o non consentito. Ora considerato che GA è di Google, il titolare del sito non potrà probabilmente sapere tutti gli effetti che produce in concreto l’uso di GA.
A tal fine è del tutto insufficiente il richiamo, il rinvio o il link alla policy o alle informative fornite da Google considerato che questi non chiariscono affatto che uso verrà fatto dei dati ottenuti con l’uso di tali cookies.
Anzi questo meccanismo potrebbe svolgere effetti controproducenti per il titolare del sito: egli pur sapendo di non sapere cosa in concreto Google possa fare con i dati, ha omesso di segnalarlo nel banner: da cosa sarebbe giustificata questa omissione?

A questo punto bisogna ricordare il principio del bilanciamento che opera su due livelli:

A) Perché non usare cookies analytics proprietari ? (ad esempio Piwik , richiamato espressamente nella Guida Cookies disponibile sul sito dell’ANORC ). Le FAQ del Garante consentono infatti l’uso di cookies analytics senza banner, solo se usati “direttamente dal titolare del sito”. Probabilmente si usa GA per comodità o per risparmio, ma la legge non ragiona in termini economici e seppure fosse assai più costoso rivolgersi a cookies proprietari, questo non giustificherebbe la violazione, poiché nella gerarchia dei valori gli aspetti patrimoniali sono in posizione subordinata rispetto a quelli personali (trattamento dati).

B) Perché non mettere il banner usando GA? Qual è il costo del banner rispetto al diritto di tutti gli utenti?

Conclusioni: per il principio del “cuius commoda eius et incommoda” (colui che gode dei privilegi, ne paga anche il relativo prezzo) chi vuol usare GA può ovviamente farlo, dandone comunicazione, però, nel banner; se non lo fa rischia di pagarne le conseguenze.
La ratio del provvedimento del Garante sembra proprio quella della massima trasparenza e non si intravedono ragioni legittime per pregiudicare tale trasparenza.
Il titolare del sito è infatti in chiara posizione intermedia tra l’utente e Google ed ha il dovere si segnalare l’uso di cookies non proprietari.
La trasparenza si fonda – e nel contempo è travolta – sull’atteggiamento degli intermediari: sono costoro che pagano le conseguenze della sua violazione e non Google.
A livello strategico, infine, si segnala che il beneficio derivante dalla comodità pare pregiudicato dall’entità della sanzione: a meno che il posizionamento del banner non implichi costi paragonabili all’entità della sanzione… (da 10.000 a 120.000 euro)
Un dato incerto è quello relativo alla probabilità di essere colpiti dalla sanzione, per cui ognuno è libero di fare le proprie stime….

Non si intravedono ragioni di differenziare tra siti privati e siti delle pubbliche amministrazioni, per cui mi viene qualche dubbio quando scorrazzo nei siti di comuni, province, ministeri:

  • il sito del Comune di Milano non ha il banner, ma dichiara l’uso di cookies di terze parti, a Napoli invece compare il banner.
  • il Ministero dell’economia (www.tesoro.it) mette il banner (ma nn specifica che cookies usa..).
  • il Ministero della Salute non mette il banner  e dichiara: “Il portale si avvale di un prodotto di mercato per la rilevazione degli accessi al proprio sito. Esso ricorre all’utilizzo di cookies permanenti, allo scopo di raccogliere informazioni statistiche sui “visitatori unici” (persone diverse) del sito. Questi cookies, definiti come “Unique Visitor Cookies”, contengono un codice alfanumerico che identifica i computer di navigazione, senza tuttavia alcuna raccolta di dati personali.“. Sarà di terze parti?
  • la Regione Marche ha il banner, l’Emila Romagna no, e pubblica una dichiarazione simile a quella del Ministero della Salute.

Il mondo è bello perchè è vario…

N.B. Si potrebbe ritenere che quanto prospettato sopra sia  formalistico o meccanicistico e che le norme del Garante così come intepretate siano eccessive magari perché Google non associa i dati all’IP (sarà vero..?) o perché i dati sono trattati solo in forma aggregata  e non sarà mai possibile risalire nemmeno indirettamente all’utente (sarà vero..?).

L’articolo ha quindi una funzione  difensiva; se poi qualcuno vuole ingaggiare una battaglia legale per la modifica di norme ritenute ingiuste, no problem. Basta che sappia cosa rischia. Io personalmente direi di mettere il banner e poi di contestare…

P.S. Potendo (con l’ausilio dell’informatico) conoscere  le caratteristiche del singolo cookie si potrebbe essere più precisi…

Posta elettronica certificata, firma elettronica (avanzata) e forma scritta.

pecHo sempre pensato che la PEC non consentisse di imputare direttamente  un atto giuridico al titolare della casella stessa a meno che costui non usasse la sua firma digitale per sottoscrivere un eventuale allegato incluso nel messaggio. ( avevo già affrontato il tema: http://dirittodigitale.com/a-proposito-di-identificazione-e-pec-e-davvero-cosi-importante/ e http://dirittodigitale.com/pec-e-identificazione-personale/ ). Ed ho sempre pensato che una PEC non potesse equivalere ad un documento scritto.

E’ vero che il mittente è “identificato” dal fornitore di servizi PEC, ma questa circostanza non crea una connessione univoca con l’atto giuridico contenuto nel messaggio e soprattutto non soddisfa il requisito della forma scritta, posto che il CAD (art. 21, comma 2 bis d. lgs. 82/2005) prevede che il documento informatico sia sottoscritto con firma avanzata, qualificata o digitale a seconda della tipologia di atti. Tale disposizione prevede infatti che:

Salvo quanto previsto dall’articolo 25, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale.

Dunque per stare tranquilli era meglio utilizzare la PEC con dentro un allegato sottoscritto con firma digitale.

Da un po’, però  è entrato in vigore Il DPCM 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71) che  prevede all’art. 61:

L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.

Quindi ai sensi di tale disposizione, il privato può avanzare telematicamente istanze alla p.a. (di questo si occupa il citato art. 65 CAD) semplicemente attraverso la PEC e senza necessità di usare una firma avanzata.

C’è anche un’ altra conseguenza.

L’art. 21 comma 2 bis citato qualche riga sopra, prevede che soddisfa il requisito della forma scritta il documento informatico sottoscritto con firma avanzata.

Ora, se la firma avanzata è sostituita a sua volta dalla PEC, se ne potrebbe dedurre che l’uso della PEC consenta di produrre atti scritti….

L’art.61 del DPCM 22.2.2013, però pone due condizioni:

  1. contempla il caso delle istanze inviate alla p.a.
  2. contiene l’incinso “nei confronti della pubblica amministrazione

Due interrogativi emergono:

1) può un DPCM (che è norma secondaria, proveniente da un’autorità amministrativa e non da una legislativa) introdurre una nuova forma di equiparazione tra documento informatico e documento cartaceo non prevista – nè espressamente “delegata” – dalla legge?

Il CAD infatti non prevede che la PEC possa sostituire la firma avanzata. Forse chi ha scritto il DPCM non ha pensato o non ha voluto questa ulteriore conseguenza, ma – se la logica non m’inganna – questo è l’effetto che si verifica….

2) ammesso e non concesso che tale innovazione (niente affatto irrilevante) sia ammissibile in termini di gerarchia delle fonti, si tratterebbe di effetto limitato ai rapporti tra cittadino e p.a.?

Se si, da cosa sarebbe giustificata tale disparità di trattamento?

O al contrario, proprio perché si verificherebbe una disparità di trattamento, quel che vale per la p.a. deve valere anche nei rapporti tra privati?

O, ancora, quel che vale nei confronti della p.a. deve valere  a maggior ragione nei confronti dei privati?

Di fronte a tale scenario, il collega Marco Cuniberti si è chiesto se sia possibile utilizzare una soluzione FEA (Firma Elettronica Avanzata) utilizzando la PEC, fornendo una risposta positiva. Condivido le conclusioni ed anche il percorso argomentativo: la mia però è una domanda un po’ più radicale. Io mi chiedo infatti se l’uso della PEC sia di per sè equivalente all’uso di una FEA sul piano squisitamente giuridico e non su quello operativo.

Mettendo da parte per un momento il quesito pregiudiziale di cui al punto 1 che precede (muovendo dalla considerazione circa la deregulation che “vige” in materia), l’equivalenza mi sembra perfetta nei rapporti tra cittadino e p.a., mentre è più problematica nei rapporti tra privati o tra p.a. e p.a.

A tale ultimo riguardo, nella circolare n. 3 della Ragioneria dello Stato (http://www.rgs.mef.gov.it/_Documenti/VERSIONE-I/CIRCOLARI/2014/Circolare_del_20_gennaio_2014_n_3.pdf) può leggersi (pag. 3 terzultimo paragrafo) che la previsione di cui all’art. 61 DPCM 22.2.2013 “è limitata alla trasmissione mediante casella di posta elettronica certificata personale di cui all’art. 65, comma lett. c-bis del CAD. Con la conseguenza che può escludersi dalla predetta fattispecie l’invio effettuato tramite casella di posta elettronica certificata rilasciata a soggetto diverso da persona fisica, ivi incluse le pubbliche amministrazioni”.

E’ un’interpretazione che rispetta – a mio parere in modo eccessivamente rigoroso  – il solo dato letterale della disposizioni (sia dell’art 61 DPCM 22.2.2013 che dell’art. 65 del CAD).

L’interprete deve infatti considerare anche la ratio della norma e il profilo sistematico, nonchè l’analogia ed i principi generali (art. 12 preleggi).

Quali particolarità possiede allora la comunicazione da un cittadino verso la p.a. che non possiede la comunicazione tra privati o tra p.a.?

Cosa ostacola il ricorso all’analogia?

Una risposta è certamente presente nell’art. 14 delle stesse preleggi che vieta l’interpretazione estensiva o analogica di leggi che “fanno eccezione a regole generali”. Tale disposizione parrebbe confortare il tenore letterale, poiché l’art. 61 DPCM 22.2.2013 deroga effettivamente alle disposizioni di legge (CAD) che consentono l’equiparazione del documento informatico al documento scritto solo se viene usata la firma digitale o la FEA, ma non anche la sola PEC.

Però l’interpretazione deve anche rispettare il principio di ragionevolezza (qui un interessante studio sul punto http://www.cortecostituzionale.it/documenti/convegni_seminari/RI_Cartabia_Roma2013.pdf ).

Credo che se un determinato effetto è ammesso dalla legge in un certo tipo di rapporto tra privato e p.a. non possano esserci ostacoli ad utilizzarlo in senso inverso cioè dalla p.a. al cittadino. E’ perché poi escluderlo tra p.a o tra cittadini?
Forse il legislatore ha voluto effettivamente circoscrivere la norma al rapporto tra cittadino e p.a. (e per giunta solo dal basso verso l’alto), ma temo che tale norma possa non resistere al vaglio di ragionevolezza e coerenza sistematica:  sarà forse necessario un intervento della Corte Costituzionale che espunga del tutto la norma dall’ordinamento o che ne individui un’intepretazione rispettosa dei citati principi ?

PEC: allegati nn certificati?

pecMi taggano in una questione relativa al fatto che secondo qualcuno la “genuinità” degli allegati di un messaggio di posta certificata non sarebbe garantita dal Gestore PEC. Di conseguenza non  “avrebbe alcuna valida prova scritta in mano chi invii, alla propria controparte, una Pec che riporti il seguente messaggio: “Si invia comunicazione come da allegato” e poi il testo vero e proprio è contenuto in un pdf.

La cosa nn mi suona e per sicurezza prima di postare il mio commento, mi rinfresco le norme.

Sia la legge (http://www.agid.gov.it/…/posta-elettronica-certificata) che le norme tecniche (http://www.agid.gov.it/…/pec_regole_tecniche_dm_2-nov…) prevedono che qualora si usi la ricevuta completa il gestore debba inviare il messaggio in originale il che significa che se il messaggio originale conteneva un allegato anche questo verrà inserito nella ricevuta completa (comunque anche quella breve usa gli hash invece che i file originali ed il risultato nn cambia di molto.. ma non vorrei complicare le cose..)

Inoltre non dimentichiamo che il messaggio viaggia in rete dentro ad una busta crittografata con la firma del gestore che noi in realtà non vediamo perché gli editor di posta elettronica (via web o desktop) la “scartano” per noi, rendendo intellegibile il messagio e gli altri dati.

In particolare il punto 6.5.2.2 delle norme tecniche prevede che:

1) “Alla ricevuta breve di avvenuta consegna è allegato il messaggio originale nel quale rimane inalterata la struttura MIME” ;

2) “Per permettere la verifica dei contenuti trasmessi è indispensabile che il mittente conservi gli originali immodificati degli allegati inseriti nel messaggio orig inale, a cui gli hash fanno riferimento“.

A livello empirico, inoltre, potete controllavre voi stessi nelle vostre ricevute di consegna che ci sia effettivamente il messaggio in originale completo degli allegati: siccome questi allegati viaggiano nella stessa busta con il contenuto del messaggio ed il file XML, non vedo come potrebbero essere sforniti della firma eletrtonica del gestore.

Certo qualcuno potrebbe contestare.. ma a questo punto due cose:

  • a livello legale e teoricio spiegare come funziona il sistema (come ho tentato di fare sopra)
  • a livello pratico si deposita in giudizio il messaggio in originale (in formato .msg o .eml entrambio tollerati dal PCT) e si chiede al giudice di verificare o se vuole, di farlo verificare ad un CTU.

Poi se vogliamo mettere il contenuto nel testo del messaggio invece che nell’allegato per evitare problemi, questo è un altro discorso.

Come altro discorso – corretto – è che l’allegato non contiene la firma digitale del mittente (a meno che non sia un doc appositamente firmato.. ma chi lo fa?) e quindi non è direttamente riferibile (rectius imputabile) al mittente stesso, ma indirettamente lo è 😉

Il mio amico “acaro” (non quello della polvere, ma l’ informatico esperto di sicurezza) mi dice che “Tecnicamente l’allegato della PEC è PARTE INTEGRANTE dell’envelope S/MIME che viene firmato dal gestore il quale garantisce l’integrità del messaggio durante il transito nella sua interezza

Voi che ne dite?