giovedì 19 gennaio 2023

PEC sei alla fine.

 

 

Dopo circa 11 anni in cui vengono emesse leggi per cercare di far funzionare la posta politica italiana,
dopo un ulteriore ammasso di leggi,
dopo leggi semestrali per cercare di farla fuzionare,
dopo l'uccisione della versione PACco,
dopo aver visto che neanche il processo telematico vuole utilizzare la PEC, perché si sa che altrimenti non funziona un cazzo,
dopo aver visto che comunque rimane tutt'oggi impossibile per un'azienda italiana mandare e ricevere comunicazioni, attraverso la presunta certificata italiana, soprattutto se inviate all'estero, la domanda sorge spontanea: perché non la facciamo finita?

mi chiuderanno il blog ma non mi interessa una sega in quanto..

La PEC è destinata a diventare uno strumento del passato e per gli utenti finali, tuttavia, la migrazione alla REM sarà un semplice aggiornamento.

Breve storia...

La posta elettronica certificata o PEC è nata nel 2005 con la pubblicazione di un Decreto Ministeriale che ne definiva le regole tecniche.

Non è utilizzata solamente in ambito business: gli utenti privati che se ne servono sono infatti in continua crescita.

Basti pensare che già nel 2020 il 43% di tutti gli utenti PEC erano persone fisiche.

Un aspetto importante, infatti, è quello legato alla mancata certificazione dell'identità del mittente: i gestori PEC non sono chiamati a verificare l'identità di chi attiva una casella di posta elettronica certificata come invece avviene nel caso di SPID, per esempio. (sebbene questa sembra sia destinata a soccombere sotto la scure della Giorgia).

Inoltre gli allegati a un messaggio PEC possono essere valutati in sede di giudizio come privi di sottoscrizione a meno che l'utente non decida di apporre anche la sua firma digitale.

Diversamente da ciò che ritengono in molti, la PEC non accerta in maniera inoppugnabile l'autenticità e l'integrità dei documenti trasmessi e deve essere quindi considerata come un mezzo di comunicazione, sebbene sia certificato nell'attuale implementazione rimasta sostanzialmente invariata dal 2005 - non soddisfa appieno i requisiti previsti dal Regolamento per il servizio elettronico di recapito certificato qualificato e fissati dal legislatore europeo.

Il Regolamento eIDAS (Regolamento europeo per l'identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno ha introdotto i Servizi Elettronici di Recapito Certificato (SERC) come servizi fiduciari (trust services).

Negli ultimi anni, quindi, un gruppo di lavoro si è occupato di individuare una base operativa comune e, in Italia, mettere a fuoco le modalità per il passaggio dalla PEC a un nuovo sistema di recapito certificato qualificato.

AgID in particolare ha provveduto a recepire l'applicazione degli standard individuati da ETSI, Istituto europeo per le norme di telecomunicazione, definendone i criteri di adozione e redigendo le regole tecniche per i servizi di recapito certificato a norma del regolamento eIDAS.

Per farla breve, lo strumento che colma le lacune della PEC, sara' la REM (Registered Electronic Mail).

La buona notizia è che il lavoro svolto con la PEC non verra' cestinato, anzi, può essere considerato come parte di un percorso virtuoso verso la migrazione alla REM e il passaggio da PEC a REM sarà "indolore" per tutti gli utenti... chi ha un account PEC attivo dovrà seguire il percorso di migrazione della propria utenza previsto dal gestore poiché adesso vi sarà il passaggio in più della verifica e della certificazione dell'identità.

Sul lato utente l'interfaccia per l'utilizzo della REM dovrebbe rimanere la stessa dell'attuale PEC (con l'aggiunta dell'obbligo circa l'attivazione dell'autenticazione a due fattori, ciò che cambia sono, a monte, le interconnessioni con il sistema CSI e la puntuale adozione delle nuove regole tecniche da parte dei singoli gestori.

La data di migrazione da PEC a REM sarà nei primi mesi del 2024 e si sa solamente che i prestatori di servizi fiduciari basati su REM dovranno avere un capitale sociale di 5 milioni di euro contro il milione di euro dell'attuale PEC.

Voi sapete che partecipo alle domande/risposte del Quora e la lunga esposizione inerente alla PEC è quella dell'amico (lo considero tale) Claudio Monza.. troppo bella, veritiera, sagace, futuristica e soprattutto oggettiva e non cambio una virgola.. eccovela (vi consiglio i link finali)...

Claudio Monza

Che la pec vada chiusa lo dico da prima che fosse varata perché rendere ufficiale una posta fallace e spacciarla per certificata nel nome ha causato montagne di danni.

Potevano chiamale PEnC (posta elettronica non certificata) che sarebbe stato piu' chiaro sulla funzionalita'.

Vedremo di leggere cosa e' la REM e se e' sicura.


aggiorno la risposta per quelli che anche qui contestano il sottoscritto quando dico che la PEC non e' certificata:

pec peeec pec pec

Ora a distanza di 15 anni da quando dico che la PEC e' una posta senza certificazione ci si accorge... che non e' una posta certificata!

La botta e' stata ricevuta anche ufficialmente, la Agid ha scoperto che....
La PEC nazionale è carente della certificazione sull’identità di mittenti e destinatari, un fattore che non consente la qualifica di posta certificata

WoW

in un altro documento

Inoltre gli allegati a un messaggio PEC [in realta' tutto il messaggio] possono essere valutati in sede di giudizio come privi di sottoscrizione [ovvero non inviati dal soggetto]

In pratica non e' neppure lontanamente una raccomandata AR.
Questo perché la posta non certifica
il transito,
la partenza e
l'arrivo...
perché non e' una posta certificata!
Per che legge la mie follie non dovrebbe essere una novita'

e ancora

non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente della casella di PEC.

Appieno, per smorzare i toni, o garantisci o non garantisci: o ci sei o non ci sei.
Non e' che non sono a Parigi "appieno".

Inoltre non è previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati.

MA VA?
Fammi capire, se tu fornisci un sistema
sicuro non fai nessun tipo di analisi di sicurezza?

Ragazzi mi sembra di ricordare il sito grillino, sicuro perchè un amicone era davanti ad un server per vedere se nessuno toccasse la tastiera (da quando i server hanno la tastiera normalmente connessa?).
Qualsiasi sistema complesso che deve garantire qualcosa viene sottoposto ad un audit.
Se gestisce l'identita' dei clienti e CERTIFICA a livello GIURIDICO finendo persino nel PENALE, il minimo che succede è che sia CERTIFICABILE a sua volta come sicuro e funzionale attraverso audit TERZI che controllano penetrazione e gestione.

Il fatto che nessuno lo chiedesse per una mail non certificata e senza sicurezza di consegna come la PEC e' normale.
LA PEC ha la stessa valenza informatica del "mio cuggino ha sentito dire".

Come e' normale, e prevista anni prima dal pirla che scrive, l'enorme penetrazione con esfiltraggio di dati SENSIBILI capitata pochi anni fa con danni miliardari difficilmente quantificabili.
Che nessuno ha quantificato, perché nessuno doveva mettere in dubbio la PEC (Penetrazione Estrema del C di chi la usa).

Ma come e' nata questa presa di coscienza?

Torniamo indietro di 15 anni.

Il governo dell'epoca si inventa sta ciofega e cerca di renderla nazionale.
Come ha fatto per altre cose, nel frattempo, cerca di renderla internazionale per i soliti motivi di leadership:
Se il sistema italiano fosse usato da tutti, automaticamente, avremmo un grande vantaggio competitivo.
O se preferite piu' soldi.

Quindi da un decennio i propugnatori della PEC (posta enormemente cogli...) viene spinta per diventare un coso standard, se non mondiale (hanno anche infiltrato una RFC a caxxo), almeno europea.
Cari amici europei, facciamo tutti la PEC come la nostra, tutti amiconi, tutti felici pizza e mandolino con il sistema italianoooo!

Il problema che su cose tecniche molti europei dopo aver letto tale medda hanno fatto finta di nulla.

Altri stati avevano gia' strumenti di vario tipo, il piu' simile al nostro e' quello dell’Islanda (fuori dall'EU, ma dentro nel giro di scambio e collaborazione), ma, in genere, non ne reputavano il bisogno.

Pero' noi si insisteva tirando la giacchetta:
Cari amici europei, facciamo tutti la PEC come la nostra, tutti amiconi, tutti felici pizza e mandolino con il sistema italianoooo!
Cari amici europei, facciamo tutti la PEC come la nostra, tutti amiconi, tutti felici pizza e mandolino con il sistema italianoooo!
Cari amici europei, facciamo tutti la PEC come la nostra, tutti amiconi, tutti felici pizza e mandolino con il sistema italianoooo!

Pero' a forza di rompere il birillo un giorno si e l'altro pure sti europei kattivi hanno acconsentito pur di levarseli dalla croste e hanno dato il compito all'ETSI di guardare alla ciofega.

l'Istituto Europeo per le norme di Telecomunicazioni, quello che ha standardizzato cosine come il GSM e l'UMTS, dopo aver passato una giornata a vomitare, hanno formalizzato che una posta elettronica europea dovrebbe essere CERTIFICATA e ovviamente INTER-OPERABILE e ha sparato fuori un pochino di linee guida.

Ovviamente la nostrana PEC (Pusillanimi Estremamente Contorti) in quell'istante (2018) e' diventata fuori normativa EU ed esplicitamente non certificata, certificabile eccetera.
Non solo, ma di fatto acclaratamente impossibile da usarsi legalmente perché si evidenza la mancanza totale di sicurezze (il fax G3 e' meglio, per dire).
Un relitto.

Avete letto da qualche parte che la PEC non é piu' tecnicamente legale da settembre 2018?

Io no.
Eppure, se la logica non e' un opinione, e' stato ribadito, come ai tempi da un nostrano organismo statale, che la PEC non certifica nulla.

Lo standard ETSI EN 319 532-4, certifica cose come identità del mittente e del destinatario, contenuto delle comunicazioni e data/ora.

Non ho ancora letto lo standard ETSI, solo commentari, ma nulla di quella roba e' garantita dalla PEC (di cui ho letto tutte le specifiche anni fa e non garantisce un ciuffolo, non piu' di una mail normale.).

Ovviamente i giornaletti italiani, che hanno pubblicità pagate dai vari ArruBBo, non hanno detto un piffero, del resto provate anche ad immaginare in un processo che una mail inviata con la PEC, magari prova importante come con le multe, venga dichiarata nulla perché mai inviata.

Parliamoci chiaro, se non sappiamo chi la invia e se il contenuto non e' valido, beh, le multe inviate via PEC non sono certo un avviso "5gg e poi muori".
Potrebbe esserlo un SMS, ma non una PEC.

Rimane un problema anche il fatto che molti processi si sono basati sulla CERTEZZA che la PEC fosse certificata.
Cosa si fa ora?
Si rifanno?
Il giudice si scusa di aver accettato come un pirla una posta elettronica normale come certificata?

Le multe che sono raddoppiate?
Lo stato restituisce il MALTOLTO?

La questione e' cosa fare ORA delle PEC (Puttanata Estremamente Cinghialesca).

La cosa piu' ovvia, come dico da anni e' rottamare tutto, ripartire da zero e magari adottare uno standard meno scemo.

Il problema che oggi ci sono, 23 societa' (a secoda dell'ente si parla di 20-24) che hanno messo sul piatto un saccone di soldi per diventare fornitori di PEC (Pasta Ecologica alle Cozze, ovviamente DOP) e non puoi lasciarli a secco.
Gli hai promesso PROFITTI in cambio di SOLDI spesi.

Ci sono 14 milioni di poveretti che hanno subito questo pericolo raccontando loro che era posta certificata, non e' che puoi dire loro che era tutta una balla, hanno usato la mail gratis di libero, ci siamo sbagliati, scusateci di quello che vi avevano detto non era vero niente, tornate ad usare la vostra mail gratuita che funziona meglio.

Vi chiederete come ho scoperto della cosa che viene cosi' bene taciuta.

La pulce nell'orecchio a ottobre 2022 mi e' stata messa da una frasina in un contratto che stavo leggendo per sapere se potevo evitare la PEC (Proprio Elevato Cesso) e relativi pericoli per la mia persona per una cosa.
Leggo...

"La PEC diventa interoperabile a livello europeo"

Siccome gli europei non sono tutti scemi, la frase mi aveva stupito.
Molto.
Non e' tecnicamente possibile.

La realtà come abbiamo visto è molto diversa gli europei hanno detto che la PEC non puo' essere interoperabile a livello comunale, figuriamoci europeo.

Idem dicono gli attori della commedia triste
"La PEC, quindi, è pronta a varcare i confini nazionali"
Marco Mangiulli, CIO & Head of Software Development arruBBa

Se mi avete seguito fino a qui sapete che e' impossibile: vorrebbe dire, fra le tante, che potete sparare mail anonime di SPAM in un sistema certificato spacciandovi per qualcun altro e truffarlo.
Come successo con la PEC (Profittosi Erculei Contraffattori).

Cosa sta succedendo nella realtà?
Semplice stanno implementando una nuova mail, pare che il nome sarà REM (come chiamare un giornale "giornale").

Ovviamente il cambio, stando a come leggo nelle varie informative che sono nascoste nei provider, sara' fatto come:
"hei stupido consumatore, per colpa dell'europa ci tocca cambiare yabba dabba.
Da ora in poi XXX fornisce RAM la PEC europea plus"

Cosi' crederanno che sara' una PEC con qualcosa che i kattivi dell’Europa ci hanno imposto.

Ma non e' l'unica cosa, salvo di cambiare l'impianto generale, ricordiamo che la PEC e' prevalentemente una WEBmail sfigata, all'inizio non era neppure permesso usare un Thunderbird, dopo alcuni provider avevano un sistema errato di farlo: sara' divertente vedere come funziona l'accesso.

Perche, ricordiamo, non puo' essere il provider a fornire l'accesso ad una persona fisica, la persona fisica e' sconosciuta e non certificata, il mittente nella PEC e' ANONIMO per definizione di sistema.
Salvo che si richieda a TUTTI i 14 milioni di utenti di verificare l'identità.
Lascio solo immaginare l'ondata di lavoro necessaria da parte dei provider, anche se fosse in qualche maniera automatizzato l'onda delle telefonate all’assistenza azzererebbe i profitti fino all'esaurimento del sole.

Se il sito viene fatto di merda come prima, o non si vuole spendere, potrebbe accadere di dover accedere per spedire una mail tramite autenticazione ESTERNA, che automaticamente determinerebbe l'identità, che se fatta bene si userà la CIE, se fatta in qualche maniera la CNS e se prodotta con il deretano potrebbe essere lo SPID.

Ma i problemi non finiscono qui.

Il nuovo sistema potrebbe essere la volta in cui si definiscono i nomi corretti alle cose, oltre al termine "certificata".

Perché, salvo mantenere il doppio di caselle di posta (COSTI) per avere disponibilità dei messaggi passati, la cosa che probabilmente faranno e' copiare le mail ricevute/inviate sui nuovi server, ovviamente saranno marcate come "non certificate"
Ma sorge un secondo problema semantico:
Come chiamare la ricevuta di spedizione che oggi viene spacciata per ricezione?

La domanda non e' peregrina.
La questione e' se considerare ancora le mail partite come "lette per legge" o finalmente e' arrivato il momento di considerare letto l'avviso di una multa quando letto?
Non sembra ma ci sono ponti lunghi che sono piu' lunghi dei giorni concessi par pagare delle multe, soprattutto se spediti alle 18:00.

Insomma anche se l'europa cerca di salvarci non solo noi diamo dei formidabili ID e fare delle leggi per renderla malfatta (come appunto considerarla letta appena spedita)
Inoltre gli europei saranno mediamente piu' istruiti di noi, ma potrebbero comunque fare errori.

Vedremo se questa REM sara' veramente buona come una S/mime (o addiritura meglio), se sarà solo un piccolo passo in avanti, o sara configurata come l'ennesima puxxanata.

Le puntate piu' assurde

allego i link -

http://allarovescia.blogspot.com/2016/05/peccato-che-esisti.html

http://allarovescia.blogspot.com/2018/07/la-pec-colpisce-ancora.html