Siamo PA, non spammer: un nuovo standard mail per dimostrarlo

Più sicurezza nell’e-mail, è notizia freschissima apparsa a fine marzo su tutti i giornali, anche quelli generalisti. Alcuni tra i più imporanti protagonisti della nostra era digitale (Google, Yahoo!, LinkedIn, Microsoft) stanno lavorando a una bozza che, se otterrà il consenso della comunità, potrà diventare uno standard in grado di aumentare l’affidabilità delle comunicazioni via posta elettronica.

Il nome dato a questo nuovo meccanismo è SMTP-STS (Simple Mail Transport Protocol – Strict Transport Security) che si va ad aggiungere a quelli che nel corso dell’ultimo decennio sono stati varati dall’ Internet Engineering Task Force per arginare il dilagante fenomeno dei messaggi indesiderati che a volte, con sottili tecniche, riescono a carpire password o a perpetrare veri e propri furti di identità.

In questo contesto cosa ha fatto la Pubblica amministrazione, quali sono le contromisure adottate dagli uffici pubblici per rendere credibile e affidabile la corrispondenza elettronica?

La PEC

Il pensiero va subito alla posta elettronica certificata, un unicum italicum, che in effetti avrebbe proprio il compito di rendere sicura la comunicazione poiché mittente e destinatario sono identificati, come pure i gestori del servizio. Si è detto mille volte che la PEC equivale a una raccomandata con avviso di ricevimento, ed è proprio così. Solo che nelle comunicazioni spicciole non viene usata, neanche dalla PA.

I cittadini preferiscono comunicare, in modo meno formale e senza ricevute, attraverso gli indirizzi di posta gratuiti forniti dai grandi provider. La PA in questi casi si adegua e risponde utilizzando i canali tradizionali cioè quelli non PEC tanto per intendersi. Ciononostante esistono, come si diceva, numerose tecniche per far sì che la semplice e-mail giunga a destinazione senza essere marchiata come SPAM da un server di transito. Come pure esistono tecniche per garantire l’affidabilità e l’identità del mittente.

La PA dovrebbe dunque adottare tutte le misure in grado di proteggere quanto più possibile le proprie comunicazioni con gli utenti. Vediamo subito se è vero.

La ricerca

Nel mese di marzo ho condotto una ricerca sui nomi a dominio in uso nella Pubblica amministrazione per esaminare, uno a uno, se e quali tecniche di validazione e-mail usassero. Su 8.373 nomi di PA è risultato che 1.288 (il 15,38%) dichiarano i parametri di SPF (Sender Policy Framework), un metodo per rendere noti da quali server i destinatari possono aspettarsi i messaggi degli uffici pubblici.

Due piccole osservazioni su questo passaggio della rilevazione: 10 PA hanno pubblicato parametri SPF usando una sintassi errata (e quindi non sono state annoverate nel risultato proposto); 88 PA stanno usando un metodo di pubblicazione che, seppure ancora valido, già dal 2014 è stato dichiarato deprecato (dalla RFC 7208). Volendo confrontare questo dato con il passato, si osserva un piccolo miglioramento rispetto al 2014 quando solo 11,81% pubblicava dati SPF. Ulteriori tecniche oggetto di analisi sono state DMARC (Domain-based Message Authentication, Reporting & Conformance), ADSP (Author Domain Signing Practices) e DKIM (DomainKeys Identified Mail). I risultati sono a dir poco deludenti: solo 5 nomi a dominio (lo 0,06%) su 8.373 dichiarano parametri DMARC e solo 6 (0,07%) ADSP e DKIM.

Il ruolo degli ISP

Devo riconoscere che in moltissimi casi l’adozione di questi protocolli per l’autenticazione delle e-mail è frenata (se non addirittura impedita) proprio dai fornitori di servizio (privati) che non hanno adeguato i propri sistemi.Ci sono quindi PA che pur avendo in animo di trarre beneficio da queste nuove tecnologie hanno come unica possibilità quella di cambiare provider del servizio di posta elettronica e, nel futuro, selezionare meglio i fornitori.

Il ruolo dei dirigenti

A ogni modo è compito di tutti gli operatori ICT impegnati nella PA di rendere ai cittadini un servizio sempre più all’altezza degli standard internazionali che, forse strano da digerire per qualcuno, non si stabiliscono per decreto o per regolamento.Cioè voglio dire che, soprattutto nell’ambito delle comunicazioni elettroniche, è inutile attendere l’emanazione di una norma che costringa i dirigenti dei CED ad adeguarsi alle buone pratiche, poiché si sa che la legge fa sempre fatica a stare al passo con i rapidi progressi del mondo digitale.Al contrario l’adozione di buone pratiche, come quelle nell’autenticazione delle e-mail, andrebbero caldeggiate dai responsabili ICT. L’unica condizione è che almeno loro, i responsabili intendo, le conoscano.