1. Il falso mito
Uno dei (falsi) miti in circolazione da tempo attiene al fatto che i messaggi e le ricevute PEC, muniti di firma del gestore soggetta a scadenza, non sarebbero più attendibili una volta maturata la scadenza del relativo certificato.
2. Come si esamina, in generale, una PEC con Thunderbird e con Ms Outlook
Tutti sappiamo che è possibile esaminare i dettagli del certificato associato alla firma elettronica avanzata del messaggio PEC e visualizzare il relativo periodo di validità. Tale operazione si compie su Thunderbird cliccando sulla bustina in alto a destra del messaggio e quindi su “mostra certificato della firma” ed apparirà una finestra di questo tipo, nella quale è possibile leggere agevolmente il range di validità del certificato:
Con MS-Outlook tale operazione si compie invece cliccando sulla “coccarda” (o sul triangolo giallo, se il certificato è scaduto) posta in alto a destra, quindi su “dettagli”, ancora sulla riga relativa al firmatario e nuovamente su “dettagli” .
Finché il certificato è valido, se la pec è integra, la verifica darà responso positivo, rappresentato in Thunderbird dalla “bustina” intonsa in alto a destra della finestra del messaggio:
ed in MS-Outlook rappresentato, invece, dalla “coccarda”:
Poiché, però, la firma non contiene il riferimento temporale relativo al momento in cui essa è stata apposta, l’operazione di verifica utilizza la data del sistema (il PC o il MAC sul quale si sta esaminando il messaggio) e le operazioni di verifica, effettuate al di fuori del periodo di validità del certificato, riporteranno che il certificato non è valido.
Questo significa che, decorso il termine ultimo di validità del certificato, Thunderbird presenterà l’immagine di una “X” rossa sulla bustina ed Outlook, invece, un “triangolino giallo” con l’avvertenza che “sono stati rilevati problemi per la firma”.
Ovviamente è possibile cliccare sui dettagli e verificare se la firma sia stata apposta nel range temporale di validità del certificato. Ma – come costantemente evidenziato da molti – la verifica anzidetta non consente di distinguere un messaggio o una ricevuta pec il cui certificato sia semplicemente scaduto da un’ipotesi di manipolazione (con conseguente perdita dell’integrità e dell’autenticità) della PEC. Nell’esempio sotto riportato, la seconda PEC è stata volutamente da noi alterata nella data:
3. La conservazione come unica via d’uscita?
In tali ipotesi, da più parti si suggerisce (quasi che fosse l’unico modo per garantire la verificabilità dei certificati sine die) di mettere i messaggi e le ricevute PEC in conservazione “a norma”: il che non è sicuramente sbagliato, perché attraverso la conservazione si ottiene la garanzia di una costante verifica dell’immodificabilità , dell’autenticità , della reperibilità , della leggibilità e dell’integrità dei nostri documenti a lungo termine. Ciò che non riteniamo corretto, giova ripeterlo, è affermare che se il messaggio o la ricevuta PEC non è conservata a norma, una volta scaduto il periodo di validità del certificato, essa “perde la sua efficacia di prova assoluta” oppure che “le PEC, per continuare ad avere valore legale, devono essere conservate a norma con un certificato valido e aggiornato. Punto. Una volta scaduto il certificato la PEC sarà equivalente ad una normale email, con ovvie conseguenze giuridiche in caso di contenzioso” (achab.it): opinioni queste che non sono affatto isolate!
Lo si ripete ancora una volta: mettere in conservazione le PEC, come qualsiasi altro documento rilevante dell’azienda o dello studio professionale è sicuramente prassi buona e giusta, che può costituire talvolta adempimento di un obbligo di legge specifico o, più in generale, dovere di diligenza ex art. 1176 cod. civ., per garantire il mantenimento delle caratteristiche di immodificabilità, leggibilità, integrità ed autenticità nel tempo. Ma la conservazione a norma NON è affatto l’unica via d’uscita per superare il problema della validità a termine dei certificati di firma.
Se così non fosse, non si spiegherebbe, del resto, una norma come l’art. 41, comma 4, lett c) del dpcm del 22 Febbraio 2013, secondo cui “il riferimento temporale ottenuto attraverso l’utilizzo di posta elettronica certificata ai sensi dell’art. 48 del Codice” (C.A.D.) costituisce validazione temporale: una simile disposizione non avrebbe senso alcuno se fosse vero che la garanzia della data certa dipendesse dalla scadenza o meno del certificato della firma apposta ad una busta PEC!
Dov’è allora la soluzione?
4. La soluzione (a portata di tutti)
Consideriamo tre dati: a) la verifica della firma elettronica avanzata delle PEC viene sempre fatta all’attualità; b) come già detto, la firma non contiene il riferimento temporale relativo al momento in cui la firma è stata apposta; c) La verifica di una firma va eseguita alla data della relativa apposizione (argomentando dall’art. 24, comma 4 bis del CAD). Quando un client di posta effettua una verifica della firma apposta ad una busta PEC lo fa semplicemente partendo dalla data del sistema. La soluzione è quindi un po’ come un uovo di colombo: eseguire una “verifica alla data” (del messaggio PEC).
Per fare ciò, senza ricorrere a software o installazioni esterne e men che meno a siti web vari, è sufficiente porre mano alla data del sistema del nostro PC, collocandola alla data del messaggio PEC che si vuole esaminare: in MS-Windows basta entrare nelle impostazioni del sistema e cercare la funzione “modifica data e ora“, disattivare l’impostazione automatica ed inserire la data desiderata:
Riaprendo il client di posta, si avrà modo di constatare che il messaggio oggetto della nostra indagine (nella specie una RdAC) è tornato verificabile.
5. La controprova
Per avere una controprova, abbiamo modificato la stessa ricevuta esaminata (nella realtà datata 10.10.2017, il cui certificato di firma è ormai scaduto, retrodatandola di un mese (10.09.2017), avendo cura di apportare la modifica non solo nell’header (che non è protetto dalla firma) ma anche nel corpo del messaggio che, invece, viene protetto dalla firma .p7s che contiene l’impronta del “body” e degli allegati, dopo la relativa codifica in Base64.
Di seguito le immagini del nostro esperimento:
Come si può vedere, il messaggio in basso (“modificata“), così come quello in alto (“originale”) non recano visibili differenze ad una verifica fatta alla data odierna: tutt’e due le firme non risultano verificabili: occorrerebbe adoperare un software come OpenSSL (che adopera con righe di comando e non è perciò comodissimo):
Se però ante datiamo la data del nostro PC collocandola nel range temporale di validità del certificato, anche il semplice client di posta riesce comodamente a verificare se una pec sia integra o meno:
L’esperimento non ha controindicazioni: provate pure, ma ricordate, al termine, di ripristinare l’impostazione automatica della data.
Grazie a Stefano Baldoni per la preziosa collaborazione.
4 commenti