PEC: allegati nn certificati?

pecMi taggano in una questione relativa al fatto che secondo qualcuno la “genuinità” degli allegati di un messaggio di posta certificata non sarebbe garantita dal Gestore PEC. Di conseguenza non  “avrebbe alcuna valida prova scritta in mano chi invii, alla propria controparte, una Pec che riporti il seguente messaggio: “Si invia comunicazione come da allegato” e poi il testo vero e proprio è contenuto in un pdf.

La cosa nn mi suona e per sicurezza prima di postare il mio commento, mi rinfresco le norme.

Sia la legge (http://www.agid.gov.it/…/posta-elettronica-certificata) che le norme tecniche (http://www.agid.gov.it/…/pec_regole_tecniche_dm_2-nov…) prevedono che qualora si usi la ricevuta completa il gestore debba inviare il messaggio in originale il che significa che se il messaggio originale conteneva un allegato anche questo verrà inserito nella ricevuta completa (comunque anche quella breve usa gli hash invece che i file originali ed il risultato nn cambia di molto.. ma non vorrei complicare le cose..)

Inoltre non dimentichiamo che il messaggio viaggia in rete dentro ad una busta crittografata con la firma del gestore che noi in realtà non vediamo perché gli editor di posta elettronica (via web o desktop) la “scartano” per noi, rendendo intellegibile il messagio e gli altri dati.

In particolare il punto 6.5.2.2 delle norme tecniche prevede che:

1) “Alla ricevuta breve di avvenuta consegna è allegato il messaggio originale nel quale rimane inalterata la struttura MIME” ;

2) “Per permettere la verifica dei contenuti trasmessi è indispensabile che il mittente conservi gli originali immodificati degli allegati inseriti nel messaggio orig inale, a cui gli hash fanno riferimento“.

A livello empirico, inoltre, potete controllavre voi stessi nelle vostre ricevute di consegna che ci sia effettivamente il messaggio in originale completo degli allegati: siccome questi allegati viaggiano nella stessa busta con il contenuto del messaggio ed il file XML, non vedo come potrebbero essere sforniti della firma eletrtonica del gestore.

Certo qualcuno potrebbe contestare.. ma a questo punto due cose:

  • a livello legale e teoricio spiegare come funziona il sistema (come ho tentato di fare sopra)
  • a livello pratico si deposita in giudizio il messaggio in originale (in formato .msg o .eml entrambio tollerati dal PCT) e si chiede al giudice di verificare o se vuole, di farlo verificare ad un CTU.

Poi se vogliamo mettere il contenuto nel testo del messaggio invece che nell’allegato per evitare problemi, questo è un altro discorso.

Come altro discorso – corretto – è che l’allegato non contiene la firma digitale del mittente (a meno che non sia un doc appositamente firmato.. ma chi lo fa?) e quindi non è direttamente riferibile (rectius imputabile) al mittente stesso, ma indirettamente lo è 😉

Il mio amico “acaro” (non quello della polvere, ma l’ informatico esperto di sicurezza) mi dice che “Tecnicamente l’allegato della PEC è PARTE INTEGRANTE dell’envelope S/MIME che viene firmato dal gestore il quale garantisce l’integrità del messaggio durante il transito nella sua interezza

Voi che ne dite?

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *