inPoste.it®, tNotice®, SHA-7, e le “raccomandate certificate”

Qualcuno di voi ha mai sentito parlare dell’algoritmo crittografico SHA-7? No? Male, vuol dire che non siete per nulla aggiornati. Esiste da almeno due anni, come si può leggere su Facebook: cito la parte iniziale dello status, e avviso che se non volete usare Facebook potete anche leggere qui come funzionerebbe il sistema.

«Il nuovo algoritmo di crittografia SHA-7 è stato sviluppato per risolvere il problema della unicità di documenti digitali aggiunto all’interno del nuovo codice digitale della Pubblica Amministrazione in Italia.
La cifratura SHA-7 consente di generare un unico “digest del messaggio” del contenuto di un messaggio in relazione al sistema di comunicazione e trasmissione che viene utilizzato.
SHA-7 è più robusto rispetto all’attuale standard di SHA-2 diminuendo la probabilità di collisione di oltre 3 milioni di volte in meno rispetto alla incorruttibile e inattaccabile SHA-2. Tuttavia, è quattro volte più veloce di quest’ultimo, essendo realizzato con un minor numero di cicli di crittografia di permutazione.»

Lo scorso aprile avevo scritto un commento su quel thread Facebook, chiedendo qualche lume in più: purtroppo non ho mai ricevuto risposta. In compenso mi ha appena scritto Jacopo Notarstefano, segnalandomi che era stato oggetto di un ATTO DI DIFFIDA da parte di Claudio Anastasio: presumibilmente per aver parlato male di tNotice®, il servizio che implementa SHA-7. Jacopo mi ha anche segnalato che a quanto pare il comune di Priverno (LT) starebbe adottando tNotice (se ne parla anche qui).

Non sono riuscito a trovare il testo esatto della “delibera di indirizzo” – che per quanto ne so poteva semplicemente affermare che il comune è invitato a passare dalle raccomandate cartacee alla posta elettronica certificata in genere – ma mi ha lasciato molto perplesso il nome “Raccomandata elettronica®”: diffido sempre dai nomi che assomigliano ad altri termini. Sono così andato a cercare notizie più precise direttamente sul sito di inposte.it®, società di cui Claudio Anastasio è presidente del CdA e legale rappresentante.

Nella home page del sito campeggia l’annuncio che

inPoste.it ha conseguito autorizzazione postale n. AUG/3432/2014 dal Ministero dello Sviluppo Economico – Dipartimento Comunicazioni – Direzione Generale – Divisione II, in data 6 marzo 2014 per il servizio di “Raccomandata Elettronica – tNotice”, con uguale valore legale della “raccomandata tradizionale” ai sensi e per gli effetti dell’art. 6 D.Lgs. n. 261/1999. Primo e unico Operatore Postale a certificare il valore probatorio del contenuto della trasmissione a norma della sentenza di legittimità della Suprema Corte di Cassazione n. 10021/2005.

Sono andato a vedere cos’è l’autorizzazione generale richiesta: il sito del ministero spiega semplicemente che tale autorizzazione consente di offrire di servizi postali di corrispondenza e pacchi. (Come sapete, PosteItaliane non ha più il monopolio del servizio postale). D’altra parte, quella è una legge del 1999 pentre il primo DPR per l’uso della posta elettronica certificata è del 2005. Il Certificato Postale Forense (CPF) non è definito da nessuna legge, e quindi non può avere valore legale checché venga indicato qui. D’altronde, non essendoci obbligo di essere iscritti al servizio tNotice® è possibile ricevere una raccomandata elettronica® e non essere in grado di leggerla, il che rende le cose piuttosto difficili: la PEC funziona infatti solo tra due caselle/domini certificati, altrimenti diventa un semplice messaggio non certificato.

A questo punto mi piacerebbe saperne di più, ma non ho trovato dati sufficienti. Le mie domande sono molto semplici:

– Dove è indicato all’interno del sito dell’Agenzia per l’Italia Digitale l’iscrizione di inPoste.it® come soggetto titolato a fornire il servizio di Posta elettronica certificata?

– Dove è sentenziato che tNotice® certifica il valore probatorio del contenuto della trasmissione?

– Dove posso leggere le specifiche tecniche dell’algoritmo SHA-7? (Capisco che l’algoritmo possa essere proprietario, e quindi io non possa implementarlo: ma questo non significa che io non possa sapere come è fatto)

– Dove posso leggere il testo completo della delibera di indirizzo del comune di Priverno e quello dell’offerta di inPoste.it®/tNotice®?

I miei ventun lettori sanno che io sono una persona curiosa: questo servizio sarà sicuramente innovativo, ma a me sembra tanto non avere alcun valore legale. Sarò lieto di essere smentito, ma con documenti ufficiali, non per mezzo di comunicati stampa: quelli so scriverli anch’io…

Nota: Raccomandata elettronica®, inPoste.it® e tNotice® sono marchi registrati da Claudio Anastasio e Luca Mastroianni, e qui utilizzati solamente per indicare i servizi e siti corrispondenti.

Aggiornamento: (16 novembre 2017) tNotice® continua a imperversare.

6 comments

  1. …mi sa che sia la classica porcheria all’italiana, ma magari sono io che penso male…

  2. In genere a questo proposito si dice (Bruce Schneier docet) che
    1) Disegnare un nuovo algoritmo crittografico e’ molto difficile
    2) Gli algoritmi di crittografia proprietari sono invariabilmente deboli
    3) Implementare un algoritmo di crittografia come si deve e’ comunque difficile.

  3. https://duckduckgo.com/?kh=1&q=SHA-7&sites=www.schneier.com

    Nessun risultato.
    Un pessimo biglietto da visita.

    “Primo e unico Operatore Postale a certificare il valore probatorio del contenuto della trasmissione”
    Che io sappia il contenuto lo certifica la firma elettronica. La trasmissione (e non il contenuto), la PEC. Mi sono perso qualche puntata?

  4. La classica furbata italiana. Qualche entratura nella PA per lubrificare e prendere una parte dei soldi che oggi Poste.it mangia dal nostro portafogli. Qualche risparmio (forse) ma col trucco. Che ovviamente non porterà da nessuna parte.

    • è una delibera interessante, perché fa tutto lo spiegone con la posta elettronica certificata ma poi non la richiede nella lista di specifiche… Se andate a controllare, non c’è scritto da nessuna parte che firma, avviso di giacenza, ecc. debbano avere valore legale. O mi sbaglio?