Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host, Davide Fasoli.

Oggi vedremo che cos'è la PEC o Posta Elettronica Certificata, in che cosa è diversa da una mail tradizionale e come verrà sempre più utilizzata per ricevere le comunicazioni dalle pubbliche amministrazioni e non solo.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete seguirci su Instagram a @dentrolatecnologia, iscrivervi alla newsletter e ascoltare un nuovo episodio ogni sabato mattina su Spotify, Apple Podcast, Google Podcast oppure direttamente sul nostro sito.

Dopo il lancio avvenuto lo scorso marzo in Stati Uniti e Regno Unito, e rilascio in più di 180 paesi il mese successivo, il chatbot basato sull'intelligenza artificiale di Google, Bard è stato attivato la settimana scorsa anche in Europa, e di conseguenza anche in Italia.

Il motivo per cui il rivale di ChatGPT è stato reso disponibile dopo tutti questi mesi è dovuto alla presenza di stringenti regole in materia di privacy del Garante europeo, il rifatto ha ritenuto indispensabile continuare le conversazioni con Google per verificare che fossero rispettate tutte le garanzie del merito.

A differenza del chatbot di OpenAI addestrato su informazioni risalenti fino a qualche anno fa, Bard può accedere direttamente a Internet per generare risposte esattamente come Bing Chat di Microsoft, anche se, a differenza di quest'ultimo, non è ancora stato integrato nel motore di ricerca di Google, e di conseguenza è necessario recarsi all'indirizzo bard.google.com per poterlo utilizzare.

Come segnalato sulla pagina della piattaforma, Bard in realtà è ancora una tecnologia sperimentale, infatti Google ci tiene a ricordare che le affermazioni del chatbot su qualsiasi argomento possono risultare imprecise e persino sbagliate, tuttavia viene sempre garantita all'utente la possibilità di effettuare una segnalazione e di scrivere un commento.

La scorsa settimana il Senato ha dato il via libera definitivo al disegno di legge antipirateria, mirato a prevenire e reprimere la diffusione illecita di contenuti protetti dal diritto d'autore su Internet.

Questo provvedimento prevede l'inasprimento delle sanzioni, fino a tre anni di reclusione per chi trasmette i contenuti e sanzioni che possono arrivare fino a 5000 euro per chi ne usufruisce.

Allo stesso tempo l'autorità garante delle comunicazioni AGCOM vedrà incrementati i suoi poteri, consentendo un intervento più deciso nella lotta alla pirateria informatica incluse anche le trasmissioni di contenuti in diretta.

Tra le nuove competenze dell’AGCOM vi è la possibilità di oscurare i siti colti in flagrante durante la diffusione di contenuti pirata entro 30 minuti.

Gli utenti connessi a questi siti riceveranno un avviso che li informerà dell'intervento dell'autorità e la possibilità di essere segnalati alle autorità competenti.

La tracciabilità verrà attraverso l'indirizzo IP, rendendo più difficile evitare l'identificazione.

In seguito a delle segnalazioni arrivate dal Dipartimento di Stato americano, Microsoft ha a metà giugno avviato delle indagini interne ai suoi servizi di posta che secondo le segnalazioni sarebbero stati compromessi e avrebbero permesso l'accesso ad un gruppo di hacker cinesi, lo Storm-0558, di accedere a scambi di email di dipendenti o persone collegate da diverse organizzazioni statunitensi.

In seguito ad opportune verifiche, Microsoft ha confermato l'attività di cyber spionaggio e ha bloccato l'attività illecita del gruppo cinese e incrementato ulteriormente la sicurezza dei suoi servizi.

Gli hacker infatti si sono serviti di token contraffatti, ossia di codici di accesso per poter entrare e uscire liberamente dai diversi account.

Negli ultimi giorni, Microsoft ha reso poi pubblici tutti i dettagli relativi all'attacco e ha coinvolto circa 25 organizzazioni, tra cui agenzie pubbliche come il Dipartimento di Stato, che per primo ha segnalato la presenza di attività anomale, e il Dipartimento del Commercio.

Dal 6 luglio di quest'anno è ufficialmente attivo in Italia l'INAD, l'Indice Nazionale dei Domicili Digitali, ossia un indice consultabile pubblicamente sia dai cittadini che dalle aziende e pubbliche amministrazioni che mostra gli indirizzi PEC dei cittadini o dei liberi professionisti che si sono spontaneamente registrati al portale.

In questo modo le pubbliche amministrazioni potranno inviare le comunicazioni ufficiali come rimborsi, detrazioni o multe direttamente all'indirizzo PEC del cittadino, risparmiando sulle spese di spedizione e riducendo l'utilizzo della carta.

Il cittadino, così facendo, invece, non avrà modo di perdere o non ricevere le comunicazioni a causa di ritardi o errori nella consegna, e inoltre potrà accedere a tutte le comunicazioni ricevute ovunque anche se non è a casa.

Ma perché si è deciso di utilizzare proprio la PEC e non, ad esempio, l'app IO o le mail tradizionali, che fra l'altro sono soluzioni gratuite? La motivazione sta proprio nel funzionamento della posta elettronica certificata, che proprio, come suggerisce il nome, riesce a rispondere a diverse esigenze di sicurezza, privacy e garanzia dell'autenticità del mittente e del destinatario, e di conseguenza a un valore probatorio.

Tant'è che il suo utilizzo è attualmente obbligatorio per imprese, partite IVA, liberi professionisti o associazioni, per scambiare comunicazioni ufficiali e firmate tra altri professionisti o pubbliche amministrazioni, ricevere fatture o spedire digitalmente raccomandate con ricevuta di ritorno.

E tra l'altro, e forse in pochi lo sanno, la PEC è stata inventata e viene utilizzata solo in Italia, ma proprio per le sue caratteristiche è stata adottata anche a livello europeo con la cosiddetta REM, Registred Electronic Mail, andando a creare uno standard valido per tutta l'Unione Europea, che integra le identità digitali dei cittadini, come SpiD o CIE nel

caso dell'Italia, aggiungendo così un livello di certificazione ulteriore sul mittente, e renderà inoltre obbligatoria l'autenticazione a due fattori per incrementarne la sicurezza.

Nella puntata di oggi, dunque, andremo proprio ad approfondire il tema della posta elettronica certificata, andando a vedere come e quando è nata, e cercando di capire anche dal punto di vista tecnico, come funziona e come è diversa da una mail tradizionale.

Iniziamo dunque ripercorrendo la storia della PEC, per poi approfondire il funzionamento tecnico: l'idea della posta elettronica certificata nasce infatti vent'anni fa, nel 2003, quando con una legge viene introdotto il concetto di innovazione tecnologica nella pubblica amministrazione, in cui tra le altre cose viene posto come obiettivo l'uso della email per quanto riguarda lo scambio di comunicazioni tra pubbliche amministrazioni e privati.

Le regole tecniche per quanto riguarda la gestione delle email, poi, sono state definite due anni dopo, con il DPR 68 del 2005, dove vengono identificati i tre soggetti principali che permettono lo scambio di email certificate.

Questi sono il mittente, il destinatario e un terzo soggetto che è il gestore del servizio, che si occupa appunto di garantire il corretto funzionamento e di certificare lo scambio delle comunicazioni.

A differenza di un email tradizionale, dunque, dove il gestore può ad esempio essere Google per Gmail o Microsoft per Outlook, che però si limitano solo a ricevere e inviare email, eventualmente applicando filtri per lo spam, nel caso della posta elettronica certificata i gestori hanno un ruolo centrale fondamentale, ossia quello di garanti, che firmano e assicurano che le email vengono consegnate e ricevute intatte.

Per questo motivo, i garanti sono tenuti in un registro, gestito attualmente dall'Agenzia per l'Italia Digitale, che verifica che i vari gestori abbiano le caratteristiche minime necessarie per poter garantire un servizio sicuro e perfettamente funzionante.

Alcuni di questi garanti al momento sono Aruba, che di gran lunga è il servizio più utilizzato e conosciuto per la gestione della PEC, ma anche TIM, Poste Italiane o Register.it.

Sempre nel 2005, poi, vengono definite le regole tecniche di funzionamento della PEC, e successivamente viene effettivamente riconosciuta la validità probatoria, paragonando la posta elettronica certificata a una comunicazione postale, come la raccomandata con ricevuta di ritorno.

Nasce così la PEC.

Negli anni successivi, questo tipo di e-mail viene utilizzata inizialmente per scambi tra pubbliche amministrazioni, ma poi diventa sempre più diffusa, in seguito ad ulteriori leggi che obbligano imprese, partite IVA e liberi professionisti a comunicare il proprio indirizzo certificato al momento della registrazione nel registro delle imprese, in modo da essere

consultabile liberamente grazie all'Indice Nazionale degli Indirizzi di Posta Elettronica Certificata, o INIPEC, che è stato sostituito e integrato dall'INAD di cui abbiamo parlato nell'introduzione.

Ma come avviene quindi da un punto di vista tecnico lo scambio di e-mail tra due PEC? In che modo è possibile garantire l'autenticità e la sicurezza delle comunicazioni e certificare emittente e destinatari? In breve, il flusso è abbastanza semplice, ed è in tutto e per tutto paragonabile all'invio di una raccomandata. Quando inviamo una PEC verso un altro indirizzo, sempre di Posta Certificata, infatti, il messaggio e tutte le informazioni vengono racchiuse in una busta di trasporto virtuale, così come nel caso di una raccomandata il messaggio viene inserito in una busta fisica.

Successivamente, il gestore dell'e-mail firma elettronicamente la busta di trasporto, per poter garantire la provenienza, la marca temporale e l'inalterabilità del messaggio.

Facendo sempre il paragone con l'invio postale, anche in questo caso, questo passaggio lo possiamo paragonare al timbro o alla marca da bollo che l'ufficio postale applica alla busta prima di inviarla.

Una volta spedita, il gestore della PEC del destinatario verifica automaticamente che la firma applicata alla busta sia valida e sia di proprietà di un gestore PEC autorizzato, e che il contenuto non sia in alcun modo stato alterato durante l'invio.

Una volta fatto ciò, il messaggio arriva al destinatario, che lo vede al pari di una e-mail tradizionale, e viene inviata al mittente una ricevuta di consegna, sempre firmata e autenticata indipendentemente dal fatto che l'e-mail venga letto o meno, anche se alcuni gestori implementano anche la conferma di avvenuta lettura.

Tornando al paragone con l'invio per posta fisica, una volta consegnata la busta al destinatario, l'ufficio postale spedisce una ricevuta di ritorno al mittente.

Tuttavia, e qui c'è una differenza importantissima con la posta elettronica certificata, nel caso dell'invio per raccomandata il contenuto della busta non è verificato, e quindi potenzialmente potrebbe essere stato manomesso nel tragitto.

Problema che, invece, come abbiamo visto, nel caso della PEC non si verifica, oltre ad altri diversi problemi legati all'invio postale, come i ritardi di consegna, lo smarrimento di buste, o la consegna ad un indirizzo errato o non più aggiornato, nel caso ad esempio di un cambio di residenza o domicilio.

Ovviamente, meglio specificarlo, tutte queste garanzie, come la validità legale dello scambio tra i messaggi, le abbiamo solo nel caso dell'invio da una casella di posta certificata verso un'altra casella di posta certificata.

Rimane da approfondire un'ultima questione a questo punto.

Ossia come la PEC o la firma elettronica possono garantire la sicurezza e l'inalterabilità del messaggio.

E qui viene in aiuto la crittografia, e in particolare un paio di concetti che abbiamo trattato anche altre volte in diverse puntate.

Ossia il concetto di Hash, che abbiamo spiegato ad esempio nella puntata “Come minare il bitcoin e perché non ha senso farlo” e il concetto di chiavi crittografiche pubbliche private, che invece abbiamo spiegato nella puntata “Thor e Mysterium VPN, per navigare il web anonimamente” .

Come spesso accade, infatti, in informatica si tende a riutilizzare spesso protocolli e standard già esistenti e consolidati, piuttosto di inventarne di nuovi da zero.

Quello che succede, quindi, è che quando viene inviato un messaggio via PEC, viene creata un'impronta dell'intero contenuto dell'email, compresi i metadati come emittente, destinatario, oggetto e così via, utilizzando una funzione di Hash.

Questa funzione, in breve, genera una stringa di una lunghezza ben definita di caratteri, e univoca per il contenuto.

Da questa impronta non è possibile risalire al contenuto, e cambiando anche un solo carattere del corpo della mail, questa impronta viene completamente stravolta.

Questo permette, una volta ricevuto il messaggio e la sua impronta, di confrontarli e determinare se il messaggio ricevuto è quello originale o meno.

Dall'impronta, poi, viene generata la firma elettronica, cifrando con la chiave privata del mittente, o meglio, del gestore PEC di riferimento, l'impronta stessa.

Per capire cosa significa questa frase, è doveroso fare un breve riassunto di come funziona la cifratura con chiave pubblica o privata.

Il mittente e il destinatario possiedono una coppia di chiavi, una pubblica, che appunto è visibile a tutti, e una privata, che invece rimane segreta.

Se viene cifrato un messaggio con una chiave privata, questo può essere aperto solamente con la rispettiva chiave pubblica.

Se invece viene cifrato un messaggio con una chiave pubblica, questo può essere aperto solamente con la rispettiva chiave privata.

Se Alice cifra un messaggio con la propria chiave privata, quindi, chiunque può leggerlo, ed è sicuro che il messaggio provenga proprio da Alice.

Al contrario, se un messaggio viene cifrato con la chiave pubblica di Bob, nessuno potrà conoscerlo il contenuto, ad eccezione di Bob.

Combinando chiave privata di Alice e chiave pubblica di Bob, garantiamo l'autenticità di mittente e destinatario, e nessuno oltre ai due interlocutori potrà leggere il contenuto del messaggio.

Tornando alla mail certificata, dunque, ora abbiamo l'e-mail con il suo contenuto, e la sua impronta cifrata con la chiave privata del mittente, e che quindi ne certifica l'autenticità.

Come dicevamo poco fa, viene quindi generata una busta virtuale, che contiene l'e-mail, la firma e il certificato pubblico del mittente, che contiene anche chi ha emesso il certificato, che può essere un garante pubblico, come l'Agenzia per l'Italia digitale.

Infine, il tutto viene cifrato con la chiave pubblica del destinatario, che quando riceve l'e-mail, gli basterà aprire con la propria chiave privata, verificare la validità del certificato pubblico del mittente e usare quella chiave per decifrare la firma elettronica e ottenere l’hash dell'e-mail.

Infine, generando nuovamente l'impronta della mail e confrontandola con quella ricevuta, si riesce a verificare che il contenuto non è stato alterato.

Rimangono ancora un paio di questioni da sottolineare: la prima riguarda la verifica di mittente destinatario, mentre la seconda riguarda forse l'unico problema della PEC, ossia la sua limitata diffusione a livello geografico.

Partendo dalla prima questione, abbiamo visto come la posta certificata riesca a garantire un valore legale ai contenuti scambiati, garantendo l'autenticità e producendo la ricevuta di consegna.

Tuttavia, chiunque può creare una propria PEC e utilizzarla liberamente, senza dover necessariamente inserire i propri dati reali e di fatto magari creare delle e-mail di phishing.

A questo proposito il problema verrà risolto dunque con la PEC europea, che andrà a sostituire entro il 2024 quella attuale italiana per estenderne l'utilizzo in tutta l'Unione, e che per l'appunto ha introdotto l'obbligo di verifica del proprietario dell'indirizzo e-mail, ad esempio attraverso l'identità digitale come lo SpiD, la carta di identità elettronica, una verifica manuale tramite videochiamata del gestore della PEC o per chi ne è in possesso di una firma digitale.

Per quanto riguarda la seconda problematica, attualmente la PEC è valida solamente in Italia e con l'introduzione della PEC europea anche in Europa.

Questo significa che il valore legale all'interno dell'Unione è garantito, ma per aziende o professionisti che ad esempio devono scambiare comunicazioni con imprese extra UE, queste verrebbero trattate come e-mail tradizionali.

A livello internazionale comunque esistono degli standard analoghi, come la firma elettronica qualificata, e standard che implementano la conferma di ricezione dell'e-mail, che invece sono riconosciuti utilizzati e livello globale.

La PEC dunque è sicuramente uno strumento di grande utilità e che, solo ultimamente, sta venendo sfruttato in maniera sempre più ampia, complici soprattutto l'introduzione dell'INAD, della fatturazione elettronica e sicuramente della PEC europea o REM.

Attualmente, poi, i costi di gestione di una posta elettronica certificata sono veramente irrisori, mediamente 10 euro all'anno per i privati e poco più per imprese o liberi professionisti.

D'altro canto, i benefici rispetto alle classiche raccomandate sono enormi, in termini di velocità, sicurezza, costi, ma anche di impatto ambientale.

L'unica, tra virgolette “sfortuna” è che, in tribunale, nel caso di una raccomandata postale, è possibile fare leva su eventuali problemi di consegna o inaffidabilità del servizio di posta che ha smarrito o non ha consegnato il messaggio, mentre nel caso di una PEC verrà sempre certificata la ricevuta di consegna e sarà considerata solamente quella e non quella di lettura.

Se riceviamo una PEC, quindi, è sempre bene assicurarsi di leggerla attentamente.

Per il resto, questo strumento si aggiunge alla lista di quei piccoli miracoli di innovazione tecnologica nell'ambito soprattutto della pubblica amministrazione, che dall'Italia sono stati esportati verso l'Unione Europea.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia.

Io ringrazio come sempre la redazione e in special modo Matteo Gallo e Luca Martinelli che ogni sabato mattina ci permettono di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it, seguiteci su Instagram a @dentrolatecnologia dove durante la settimana pubblichiamo notizie e approfondimenti.

In qualsiasi caso nella descrizione della puntata troverete tutti i nostri social.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.