ItalianJob: PEC

[27 GENNAIO 2016] La parola “eccezionale” copre una vasta gamma di sensazione che oscillano tra la meraviglia per qualcosa di straordinario fino al sospetto per qualcosa che appare quanto meno singolare. La PEC, la posta elettronica certificata, è un “eccezione” utilizzata attualmente solo da Italia ed Hong Kong. Una soluzione “tecnica” che ha origine da una spinta “governativa”: come oscillano ora le vostre sensazioni?

La Posta Elettronica Certificata (PEC) è un sistema nel quale al mittente viene fornita documentazione elettronica, con valenza legale, attestante l’invio e la consegna di documenti informatici. La PEC è nata con l’obiettivo di trasferire su mezzi di comunicazione digitale il concetto di Raccomandata con Ricevuta di Ritorno. Come mezzo di trasporto si è scelto di utilizzare l’email che garantisce, oltre alla facilità di utilizzo e alla larga diffusione, una velocità di consegna non paragonabile alla posta tradizionale. Attraverso la PEC chi invia una email ha la certezza della avvenuta (o mancata) consegna del proprio messaggio e dell’eventuale documentazione allegata.

Per certificare l’avvenuta consegna vengono utilizzate delle ricevute che costituiscono prova legale dell’avvenuta spedizione del messaggio e dell’eventuale documentazione allegata. Le operazioni sono inoltre siglate con riferimenti temporali che “timbrano” in modo inequivocabile gli istanti di invio e ricezione. Come garanti del servizio vengono costituiti dei Gestori accreditati da parte del DIGITPA (già CNIPA). I Gestori possono essere sia Enti Pubblici che soggetti privati. La traccia informatica delle operazioni svolte durante le trasmissioni viene conservata dai Gestori, per un periodo di tempo previsto dalla normativa ed ha lo stesso valore giuridico delle ricevute consegnate dal sistema. L’utente che avesse smarrito le ricevute, può richiedere al proprio Gestore un estratto della suddetta traccia. I messaggi possono includere testo, immagini, audio, video o qualsiasi altro tipo di file.

In pieno stile “Fallout” il protocollo SMTP è concepito per raggiungere il proprio scopo: consegnare un messaggio indipendentemente dagli sconvolgimenti o dai problemi tecnici che possono sussistere. Oggi siamo abituati a considerare gli MX record in modo piuttosto semplice: primario, secondario e morta lì. Tuttavia, volendo, si può coordinare DNS ed MTA affinchè la consegna di un messaggio possa avvenire attraverso un’ampia gamma di “percorsi” diversi. Questo perchè in origine ogni elemento di una catena di MTA godeva di una propria autonomia ed autorevolezza.  “Retaggi da guerra fredda” verrebbe da pensare, tuttavia siamo tutti figli di ArpaNet.

Quello che più mi ha inizialmente stupito della PEC è l’introduzione di un garante esterno, un Gestore Accreditato, che deve essere necessariamente coinvolto, che coordini e controlli lo “scambio”: in pratica viene introdotta nella posta elettronica la figura del “notaro”. La cosa non stupisce molto visto che il “notaio” è un invenzione prettamente italiana che risale Longobardi ed in forma minore addirittura all’impero romano.

Lo scambio di un messaggio non avviene più attraverso MTA indipendenti ed autonomi, non è più un processo dinamico definito dai DNS, ma prevede invece percorsi e modalità consolidate individuando elementi come “punto d’accesso”, “punto di consegna”, “punto di ricezione” e tutta una lunga serie di “ricevute”  e “controricevute” che non hanno uguali nel panorama SMTP.

Se tutto questo sistema fosse un circuito chiuso, tipo la chat di FaceBook, probabilmente non avrei molte obiezioni da sollevare. Vuoi utilizzare uno strumento di comunicazione gestito e monitorato da una third-party? E’ una tua libera scelta e sei libero di comunicare come meglio credi con coloro che hanno fatto la stessa libera scelta. Non sta a me giudicare nè te nè il gestore del tuo servizio o la sua affidabilità.

Tuttavia nel panorama della posta elettronica la PEC non è un circuito chiuso, anzi, prevede lo scambio con caselle email tradizionali e lo fa appoggiandosi al buon vecchio SMTP. Leggiamo insieme da un manuale di utilizzo di una PEC.

• Le email inviate da caselle di PEC a caselle di posta tradizionale vengono recapitate normalmente anche se, in questo caso, il destinatario si vedrà recapitare il messaggio originale “imbustato” all’interno di un altro messaggio (in altre parole come allegato). Nel caso in cui il mail server remoto segnali l’impossibilità di consegnare il messaggio (rimbalzo), il sistema PEC invia al mittente certificato un’anomalia di messaggio contenente, in allegato, il motivo della mancata consegna.
• Messaggi da caselle tradizionali a caselle PEC Per quanto riguarda i messaggi di posta convenzionale (non PEC), il titolare del servizio ha la possibilità di decidere se accettarli oppure scartarli. Nel caso in cui decida di accettarli può scegliere se: inoltrarli verso un’altra casella a sua scelta; spostarli in un’apposita cartella da lui creata (ad esempio “messaggi non certificati”); consegnarli a destinazione come anomalia di messaggio; in questo caso è possibile (ed è consigliato) attivare il filtro antispam

Praticamente una terra di mezzo! Sempre da una guida all’uso della PEC è possibile leggere:

Antispam: Come ben noto non è possibile applicare il servizio antispam ai messaggi di posta elettronica certificata per scongiurare il pericolo di considerare come spamming dei messaggi buoni (falsi positivi). E’ viceversa possibile utilizzare il servizio antispam per filtrare i messaggi di posta tradizionale in arrivo alle caselle PEC del Gestore. In tal caso il titolare ha la possibilità di scegliere l’azione da intraprendere ogni qual volta venga rilevato un possibile caso di spamming: 

• spostare il messaggio sotto un’apposita cartella Spam 
• eliminare l messaggio. 

L’utente esperto ha infine la possibilità di affinare le regole antispam impostando, ad esempio, il grado di sensibilità del filtro, le lingue dalle quali riceve abitualmente le comunicazioni, ecc

Accidenti, non so voi ma la mia testa si è riempita di domande e di scenari curiosi. Parliamo infatti di un sistema complesso, in grado di “confondere” ed “intimorire” la maggior parte degli utenti che ne fanno uso. Un’aspetto che inevitabilmente genera abitudini e consuetudini di natura non tecnologica: il pane del “social engineering”. Inoltre parliamo di un flusso di informazioni altamente sensibili, addirittura di valore legale, che è possibile scambiarsi all’interno di un sistema “assolutamente sicuro (PEC)” che interagisce con un mondo “assolutamente insicuro” come quello SMTP.

Ciliegina sulla torta: è un sistema utilizzato esclusivamente in un contesto territoriale (l’italia) caratterizzato da un idioma assolutamente nazionale (l’italiano) e che per tanto non può avvalersi della supervisione (se non almeno dell’interesse) della comunità tecnica internazionale.  

La domanda che mi frulla in testa è semplice ma decisamente interessante.

Phishing e SpearPhishing: quali sono le modalità di attacco ed i rischi con una Pec?

Sono davvero curioso di scoprire se esistono studi o casistiche in tal senso. Ci sono aspetti del protocollo che sono assolutamente “promettenti” nel senso peggiore del termine:

• Un’altro messaggio sotto forma di allegato assolutamente attendibile inviatomi da quel rompiscatole dell’avvocato con quella “rottura di palle” della PEC? Certo che lo apro e lo prendo per buono! Dovrei dubitare?
• Un’altro messaggio di quello sfigato che non ha neppure i soldi per comprarsi la PEC. Rispondiamogli direttamente che perdiamo meno tempo. Sì, mandagli tutto e buona notte. Speriamo che prima o poi li spenda ‘sti 10 euro all’anno per farsi la PEC.
• Buongiorno, si ricorda di me? Le invio via PEC dei documenti che mi aveva chiesto mesi fa. (Ma purtroppo è uno spoofing, un “man in the middle” o l’abuso di una PEC inutilizzata o in disuso).
• Buongiorno, la chiamo al telefono perchè non ci funziona la PEC. Si succede spesso anche a noi, ci si blocca l’interfaccia e dobbiamo chiamare il tecnico. Visto che è urgente potrebbe mandarmi i dati di cui abbiamo bisogno? Le devo dare le mie credenziali PEC? Vuole darmi le sue per certificare lo scambio? Mi manda un suo messaggio di controllo qui? Grazie mille… è stata gentilissima. Le faccio sapere quando ho fatto.

Queste sono le prime idee che mi sono saltate alla mente prima ancora di aver provato ad utilizzare una PEC: ne ho comprata una economica oggi. Direi che ce nè abbastanza per fare qualche esperimento ed approfondire la ricerca.

Alla fine di questo articolo ho pubblicato la mia email (tradizionale) ed un elenco dei Gestori Accreditati. Se qualcuno di loro avesse interesse o piacere nel raccontarci qualcosa di questi aspetti sono più che disponibile.

Davide “Birillo” Valsecchi

Elenco Gestori PEC:

http://www.agid.gov.it/infrastrutture-sicurezza/pec-elenco-gestori