La PEC come strumento di identificazione di individui ?

Interessante riflessione del notaio Genghini (Chairman del gruppo di standardizzazione sulla firma digitale (ESI) dell’ ETSI – European Telecommunications Standards Institute)

Da leggere: “Non sub homine, sed sub Deo et lege”: Identità Digitali.

In una mailing list si è ipotizzato di utilizzare la PEC come strumento
di identificazione.
La PEC per identificare le aziende e le altre organizzazioni sicuramente
è attuabile.
Per identificare i privati sono dubbioso…

If you like this post, please consider sharing it.

6 thoughts on “La PEC come strumento di identificazione di individui ?”

  1. Mi sono occupato di PEC per la redazione di alcuni regolamenti tecnici nonchè di norme inerenti l’uso della PEC e della firma digitale all’interno della P.A., per questo espongo la mia opinione.
    Ritengo che occorra distinguere l’elemento tecnico di identificazione della PEC dall’elemento giuridico teso a rivenicare la volontà inerente il riconoscimento/paternità delle informazioni racchiuse in un supporto digitale trasmesso con PEC.
    Le credenziali di autorizzazione della PEC non sono connesse al contenuto del messaggio (testo) e non garantiscono nel tempo una corretta archiviazione; bensì le credenziali sono connesse al protocollo di “trasmissione” (smtp) inerente la busta di trasporto (PEC) che all’interno contiene un documento informatico inteso come: “la rappresentazione informatica di dati e fatti giuridicamente rilevanti” (CAD definizione)
    L’argomento è dibattuto da tempo in ambito giuridico, tuttavia credo che l’adozione di un doppio canale di autorizzazione (PEC) e autenticazione (firma digitale applicata al documento) possa – seppur in un’ottica più complessa – garantire forme di validità al supporto digitale contenente le volontà del sottoscrittore (ovvero di colui che ha generato l’hash di fd)
    Le riflessioni di Riccardo Genghini sono corrette in linea di principio ma ci troviamo in un Paese dove i furbi sono tantissimi e dove il complesso/antico sistema normativo impone garanzie diverse.
    Sarò grato di leggere opinioni, anche contrarie, che mi aiuteranno a riflettere sull’argomento.
    Serena tecnologia a tutti

  2. Riflessione interessante, in effetti. Però merita forse un approfondimento: è importante definire cosa si intende per identificazione dell’individuo.
    Se si intende, accertamento che il ricevente ha ricevuto nella sua casella un documento da un mittente certo, il problema non si pone: è la funzione della PEC e in linea di massima si può pensare che vi assolva meglio di qualsiasi raccomandata reale.
    Se si intende accertamento che , una volta ricevuta nella popria mailbox, il destinatario sia informato con assoluta certezza che una missiva vi giace, allora c’è un ordine di aleatorietà maggiore, ma imho rientra nella responsabilità del ricevente (ed al limite del fornitore della PEC per quanto riguarda la conservazione del documento fino alla consultazione)
    Se si intende identificazione tout-court, allora certamente la PEC da sola non è il massimo. Molto meglio un documento di firma digitale su supporto smart card, anche se, anche quest’ultimo può ovviamente essere smarrito o, come succede, usato in modo improprio (penso ai commercialisti che “firmano” i bilanci per i propri clienti usando la loro smart-card).
    Per l’identificazione digitale tout-court penso che a livello tecnico si possa fare ancora molto: se il problema è riprodurre nel modo più possibile “certo” l’id-entità dell’individuo, allora non può essere una singola chiave, ma un insieme di chiavi derivate anche dai dati fisiologici reperibili dal vivo tramite scansione. Ci vorrebbe un apparecchio “consumer” su porta usb che facesse scansione iride + scansione impronta digitale + analisi timbro voce + riconoscimento facciale (serio), tanto per cominciare, tutto in un solo colpo.

  3. Allo stato attuale delle cose aprire un account PEC a nome altrui (furto di identità) è molto semplice. Le procedure di identificazione dei provider sono molto leggere (basta un FAX), senza parlare di quelle degli ordini professionali che in alcuni casi hanno creato automaticamente caselle con password facilmente identificabile (es. codice fiscale) o hanno inviato le credenziali per posta ordinaria in un unico invio.

  4. L’art. 39 dello SCHEMA DI DECRETO LEGISLATIVO RECANTE MODIFICHE AL CODICE DELL’AMMINISTRAZIONE DIGITALE approvato il 19 febbraio scorso dal Consiglio dei Ministri (rubricato “Modifiche all’articolo 65 del decreto legislativo 7 marzo 2005, n. 82”) riporta:
    1. All’articolo 65 del decreto legislativo 7 marzo 2005, n. 82, sono apportate le seguenti modificazioni:
    a) al comma 1, lett. c) le parole: “e fermo restando il disposto dell’articolo 64, comma 3” sono sostituite dalle seguenti: “nonché quando le istanze e le dichiarazioni sono inviate con le modalità di cui all’articolo 38, comma 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.”;
    b) al comma 1, la lettera c-bis) è sostituita dalla seguente: “c-bis) se trasmesse mediante la propria casella di posta elettronica certificata.”;
    c) dopo il comma 1 è inserito il seguente:”1-bis. Con decreto del Ministro per la pubblica amministrazione e l’innovazione e del Ministro per la semplificazione normativa, su proposta dei Ministri competenti per materia, possono essere individuati i casi in cui è
    richiesta la sottoscrizione mediante firma digitale.”;
    d) al comma 2, le parole da “resta salva” fino alla fine, sono soppresse;
    e) il comma 3 è abrogato.
    2. All’articolo 38, comma 3, terzo periodo, del decreto del Presidente della Repubblica 28 dicembre 200, n. 445, le parole: “Le istanze e la copia fotostatica” sono sostituite dalle seguenti: “La copia dell’istanza sottoscritta dall’interessato e”.
    Forse al notaio è “sfuggito” il nuovo art.65 comma 1 c-bis del CAD (non voglio mica credere che stia difendendo gli interessi della sua categoria…, no, per carità… non voglio crederlo… :-).
    Per sgombrare il campo da equivoci e fraintendimenti, sul problema relativo alla “identificazione” la PEC non è diversa dagli altri sistemi e dagli altri standards. Per tutti c’è la identificazione preventiva da parte del “certificatore” (per la firma digitale, al momento della richiesta e del rilascio dei certificati X.509v3; per la PEC, al momento della richiesta e del rilascio delle credenziali di accesso; per la CIE e per la CNS, al momento della richiesta e del rilascio delle stesse). Se ci pensiamo bene il rapporto inversamente proporzionale fra il bene-comodità ed il bene-sicurezza è la stesso anche per attività che compiamo abitualmente nella vita quotidiana. Se lascio il mio cellulare incustodito e senza richiesta di PIN all’accensione, qualcuno che ne venga abusivamente in possesso potrebbe commettere degli illeciti telefonando con la mia SIM (ed io potrei risponderne). Se dimentico la mia carta di credito al ristorante, qualcuno che ne venga abusivamente in possesso potrebbe utilizzarne i numeri per fare acquisti online o trasferimenti di denaro (ed io potrei subire un danno patrimoniale). Come dice il notaio tutto questo già accade e lo dice anche Riccardo riferendosi alla cattiva abitudine della delega ai commercialisti per la firma dei bilanci. Ma lamentarsi per i rischi di sicurezza della PEC e rivendicare il primato dei propri tradizionali poteri certificatori significa, a mio modesto avviso, da un lato voler mantenere privilegi e prerogative di casta e dall’altro non rendere un utile servizio informativo sull’importanza dell’adozione di comportamenti improntati ad adeguati livelli di sicurezza.
    La PEC è una neonata promettente, non possiamo buttarla con l’acqua sporca.

  5. Velocemente.
    La rilevanza di ETSI nel processo di standardizzazione di protocolli di Internet è assai dubbia.
    Trovo molto positivo che un altro giurista definisca “finzione giuridica” la prova di consegna alla mailbox, che è quello che il buon senso suggerisce da sempre… Altrettanto positivo è riconoscere che la standardizzazione dovrebbe essere lasciata al mercato e non a un protocollo calato dall’alto e di dubbia qualità.
    Il ragionamento finale mi pare un ennesimo caso di identificazione contro reputazione.

Leave a Reply to Marco d'Itri Cancel Reply

Your email address will not be published. Required fields are marked *