Il servizio di “Posta Cifrata” permette di attivare l'invio di messaggi cifrati da SCRIGNOInternet Banking verso i recapiti di posta elettronica dei clienti. Un messaggio cifrato è leggibile esclusivamente dal destinatario, in possesso della corretta chiave crittografica, e risulta “oscurato” e del tutto incomprensibile ai terzi.
La possibilità di inviare comunicazioni cifrate permette di arricchire il contenuto informativo dei messaggi prodotti da alcune delle funzionalità dell'Internet Banking, come, ad esempio, i servizi “Monitoraggio” e “Report”.
Associando, tramite l' apposito servizio “Posta Cifrata”, un certificato crittografico di tipo S/MIME ad un recapito di posta elettronica già censito in SCRIGNOInternet Banking, il recapito stesso viene riconosciuto come sicuro e di conseguenza i messaggi ad esso diretti vengono cifrati e possono contenere dettagli informativi anche di carattere riservato.
Nel seguito del documento vengono fornite alcune spiegazioni sulla crittografia, sullo standard S/MIME, e sulle modalità da seguire per comunicare il proprio certificato S/MIME a SCRIGNOInternet Banking.

La garanzia della riservatezza delle informazioni è di importanza assoluta per chiunque intenda usare un servizio online che implichi la fruizione di dati personali. Nessuno, ad esempio, utilizzerebbe un servizio di Internet Banking se non fosse progettato per fornire solo al legittimo proprietario le informazioni, in modo sicuro e controllato.
Per questo motivo un sito di Internet Banking viene protetto sia da una serie di strumenti e accorgimenti utili a difenderlo da attacchi di chi voglia cercare di penetrarlo per carpirne le informazioni, sia da sistemi crittografici che hanno il compito di cifrare le informazioni in transito verso il personal computer del cliente.
Lo standard crittografico più utilizzato per il traffico web si chiama SSL e permette di cifrare le pagine scambiate, in modo tale che solo il programma di navigazione (browser) dal quale vengono inviata le relative richieste sia in grado di decifrarle con l'opportuna chiave crittografica e mostrarle sullo schermo, rendendo quindi perfettamente inutile a chiunque altro l'intercettazione dei dati in transito.
Anche l'utilizzo della posta elettronica deve essere considerato con estrema cautela per l'invio di informazioni riservate, in quanto, se non si adottassero particolari accorgimenti, i messaggi viaggerebbero in chiaro e potrebbero essere intercettati e letti da terzi. In questo caso può venire in aiuto lo standard crittografico S/MIME, che permette di firmare digitalmente e/o cifrare i messaggi di posta elettronica.
La firma digitale garantisce l'integrità dei messaggi, cioè che le informazioni in essi contenute non siano state modificate, e la loro autenticità, cioè che effettivamente siano stati firmati da chi si dichiara mittente e non da altra persona. La cifratura, come già detto, assicura la riservatezza e la confidenzialità dei messaggi, consentendo solo all'effettivo destinatario di recuperare e leggere il messaggio.
Il protocollo standard SSL e quello S/MIME sono gestiti nativamente dai programmi di navigazione e di posta elettronica più diffusi, e quindi per utilizzarli non occorre generalmente procurarsi software aggiuntivo. Per utilizzare l'SSL addirittura basta accedere a un sito che utilizzi tale protocollo di sicurezza - li si può riconoscere per il fatto che l'indirizzo inizia per https://... invece che per l'usuale http://... - e tutto si svolge automaticamente, senza che l'utente percepisca alcuna differenza rispetto alla normale navigazione. L'S/MIME invece richiede un minimo di sforzo in più in quanto per poter firmare i messaggi in uscita occorre procurarsi un certificato crittografico da una Autorità di Certificazione. Niente di trascendentale, il tutto può essere fatto online, anche in forma gratuita.
Maggiori dettagli su questo protocollo sono disponibili nell'apposito paragrafo.

Alcuni servizi di SCRIGNOInternet Banking sono in grado di inviare, ai clienti che ne facciano richiesta, dei messaggi di posta elettronica contenenti notifiche, avvisi, report periodici di grande utilità e comodità.
Normalmente, non potendo fare affidamento sulla sicurezza dei recapiti di posta elettronica, il servizio provvede a registrare i contenuti dettagliati del messaggio sugli archivi sicuri della banca, rendendone possibile la lettura tramite la funzione “Messaggi” di SCRIGNOInternet Banking fruibile dal cliente come qualsiasi altra, dopo essersi collegato ed autenticato con le proprie credenziali di sicurezza (ad es. con la SCRIGNOcard).
Si limita quindi ad inviare al cliente una notifica tramite e-mail dell'avvenuta generazione del messaggio, evitando per ovvi motivi di includervi qualsiasi dato riservato.
Il destinatario, una volta ricevuta la notifica, volendo leggere il contenuto completo dei dati di dettaglio dovrà collegarsi a SCRIGNOInternet Banking e richiamare la funzione “Messaggi”.
E', quella descritta, una soluzione di compromesso, che riunisce la comodità di una notifica via email con la sicurezza della navigazione di un sito cifrato e con accesso riservato.
Il servizio “Posta Cifrata” permette invece di inviare nella casella di posta del cliente il contenuto completo del messaggio, comprensivo dei dati più confidenziali, utilizzando il protocollo standard S/MIME per cifrare le informazioni e renderle leggibili in modo semplice e veloce al solo legittimo destinatario. Tale protocollo richiede che per cifrare le informazioni il mittente sia in possesso del certificato crittografico del destinatario, che contiene una chiave di cifratura da usare per essere certi che solo il destinatario possa leggere le informazioni cifrate (il destinatario infatti è l'unico ad essere in possesso della corrispondente chiave privata necessaria per decifrarle).

E' utile un accenno alle logiche con le quali un servizio di SCRIGNOInternet Banking gestisce l'invio di messaggi.
Nel momento in cui il servizio genera un messaggio di posta elettronica, controlla se il recapito di destinazione sia sicuro (cioè se vi sia stato associato un certificato S/MIME che permetta di cifrare le informazioni). In questo caso il servizio può inviare un messaggio completo, che include anche le informazioni di dettaglio riservate, altrimenti si limita ad inviare una notifica e a registrare il messaggio completo all'interno degli archivi della banca, come già detto.
Non per tutti i servizi ha senso seguire questa logica, ve ne sono infatti alcuni che per loro natura non hanno necessità di inviare informazioni confidenziali e che quindi invieranno lo stesso contenuto a prescindere dal tipo di recapito, prendendosi comunque carico di cifrarlo se il recapito scelto dal cliente fosse di tipo sicuro.
Fra i servizi in grado di inviare contenuti differenziati per la due tipologie di recapito meritano menzione il servizio Monitoraggio ed il servizio Report. La comodità di ricevere in tutta sicurezza e semplicità comunicazioni riguardanti i propri rapporti bancari in posta elettronica ripaga ampiamente lo sforzo da compiere per attivare un certificato S/MIME e quindi il servizio di Posta Cifrata. Procedimenti che richiedono un po' di pazienza ma che sono guidati passo passo da istruzioni semplici ed esaustive.

Riportiamo di seguito l'esempio di un messaggio generato dal servizio Report, sia nella versione standard che nella versione completa dei dettagli informativi di carattere riservato. Il raffronto dei due messaggi rende evidente il valore aggiunto della seconda tipologia, inviabili solo su recapiti di “Posta Cifrata”.

Il processo di attivazione del servizio di Posta Cifrata è alquanto semplice, ma richiede come prerequisiti che il cliente abbia già censito in SCRIGNOInternet Banking un recapito di posta elettronica ed un certificato S/MIME ad esso riferito.
Di norma esiste sempre almeno un recapito, già fornito in fase di sottoscrizione del servizio di Internet Banking presso la filiale. Il certificato crittografico invece deve essere attivato utilizzando le apposite funzioni del servizio Certificati, ed è indispensabile al servizio “Posta Cifrata” perché è lì che è contenuta la chiave crittografica “pubblica” utile a cifrare le informazioni da inviare al cliente, unico in possesso della corrispondente chiave “privata” necessaria per poterle decifrare.
I servizi “Posta Cifrata”, “Recapiti” e “Certificati” si trovano tutti nella sezione “Corrispondenza” di SCRIGNOInternet Banking.
Il menù del servizio Posta Cifrata propone la voce “Elenco”, selezionando la quale viene proposto un elenco di tutti i recapiti di posta elettronica censiti dall'utente , di norma ve n'è uno solo ma alcuni clienti preferiscono per propria comodità fornirne di più, ad esempio il recapito personale e quello di lavoro.
Per ogni recapito viene evidenziato lo stato di attivazione del servizio di Posta Cifrata (NON ATTIVO, ATTIVO) e viene proposto un pulsante per richiederne l'attivazione o, viceversa, la disattivazione.
Selezionando il pulsante di attivazione si ottiene un elenco dei certificati S/MIME già presenti in SCRIGNOInternet Banking per l'indirizzo di posta elettronica corrispondente (un certificato S/MIME è associato in modo univoco ad un indirizzo di posta e può essere utilizzato solo con quell'indirizzo). Nel caso in cui non esista alcun certificato disponibile ovviamente non è possibile procedere, in quanto il cliente prima di poter attivare la Posta Cifrata deve aver provveduto alla registrazione di un certificato S/MIME.
Di norma viene elencato un solo certificato, ma alcuni clienti potrebbero avere necessità di gestire più certificati e quindi è prevista la possibilità di scegliere da un elenco.
Scegliendo un certificato S/MIME e selezionando il pulsante “Prosegui” il servizio di “Posta Cifrata” viene attivato. Da quel momento tutte le comunicazioni inviate verso il recapito prescelto verranno cifrate utilizzando la chiave crittografica del certificato selezionato. I servizi SCRIGNOInternet Banking potranno quindi inviare a quel recapito messaggi ricchi di contenuti informativi anche di carattere riservato.

Questo servizio permette di gestire i certificati S/MIME su SCRIGNOInternet Banking, consentendo l'attivazione di un nuovo certificato, la visualizzazione di un elenco di quelli attivati o in corso di attivazione, e l'eliminazione di eventuali certificati da dismettere.
Il menù del servizio propone due voci: “Nuovo” ed “Elenco”.
L'eliminazione di un certificato è richiamabile selezionando il bottone “Elimina” che compare di fianco ad ogni riga dell'elenco.
Il processo di attivazione di un nuovo certificato è composto da più passi, che prevedono che l'utente svolga alcune azioni su SCRIGNOInternet Banking ed invii un messaggio di posta elettronica firmata. Ogni passo è corredato da istruzioni semplici che informano sia dello stato di avanzamento del processo sia della prossima azione da compiere. Seguendole con un po' di attenzione è possibile completare l'attivazione nel giro di pochi minuti.
Di seguito il processo viene brevemente delineato, per completezza di informazione, ma siamo certi che eseguirlo passo passo risulterà più semplice che leggerne la descrizione.

Il processo di attivazione di un certificato S/MIME si innesca richiamando la funzione “Nuovo” del servizio “Certificati”.
In questa fase viene richiesta una sola informazione, l'indirizzo di posta elettronica per il quale il certificato è stato emesso, ed il servizio invia immediatamente a questo indirizzo un messaggio di posta contenente le istruzioni per l'azione da svolgere alla sua ricezione.
All'utente viene semplicemente richiesto di rispondere al messaggio, senza modificarlo, firmando l'e-mail di risposta con il certificato S/MIME che intende utilizzare per le comunicazioni cifrate con la banca. Vengono concessi 10 giorni di tempo per inviarla, scaduti i quali la richiesta di attivazione verrà annullata.

Dopo aver ricevuto il messaggio di risposta dell'utente, il servizio SCRIGNOInternet Banking provvede ad acquisire il certificato S/MIME in questa inserito assieme alla firma digitale, come previsto dal protocollo di sicurezza S/MIME.
Invia quindi all'utente stesso un messaggio di notifica per informarlo dell'avvenuta acquisizione del certificato e per invitarlo a collegarsi e completare l'iter di attivazione.
Per riconoscere il certificato ed abilitarlo definitivamente al servizio, l'utente dovrà tornare in SCRIGNOInternet Banking, accedere al servizio "Certificati" (Corrispondenza > Certificati) e procedere con l'attivazione verificando il contenuto del certificato S/MIME acquisito e riconoscendolo come idoneo per l'invio di comunicazione cifrate di carattere riservato.
A questo punto il processo di attivazione del certificato S/MIME è concluso. Sarà quindi possibile utilizzarlo per attivare il servizio “Posta Cifrata”.

S/MIME, acronimo di (Secure/Multipurpose Internet Mail Extensions), è uno standard per la cifratura e la firma di messaggi di posta elettronica.
Cifrare un messaggio significa tradurlo in modo tale da renderlo incomprensibile a chi non sia in possesso del codice segreto tramite il quale può essere riportato alla versione originale (decifrarlo). Firmare digitalmente un messaggio vuol dire associarvi una serie di informazioni che possono essere verificate dal destinatario per assicurarsi contemporaneamente che il messaggio non sia stato modificato e che sia stato firmato proprio dal mittente e non da terzi.
S/MIME si avvale di particolari di tecniche dette di crittografia asimmetrica. La crittografia asimmetrica si basa sul concetto che ogni attore che intenda inviare o ricevere informazioni cifrate è dotato di una coppia di chiavi crittografiche, una chiave privata, mantenuta gelosamente segreta, e una chiave pubblica, da rendere nota a tutti gli interlocutori. Vi è inoltre certezza che pur conoscendo una chiave pubblica sia impossibile individuare la chiave privata corrispondente.
Ogni informazione cifrata con una chiave della coppia può essere decifrata esclusivamente con l'altra chiave della stessa coppia. Quindi, un messaggio cifrato con la chiave privata del Sig. Mario Rossi potrà essere decifrato solo con la chiave pubblica del Sig. Mario Rossi. Viceversa, un messaggio cifrato con la chiave pubblica del Sig. Mario Rossi potrà essere decifrato solo con la chiave privata del Sig. Mario Rossi.
Così se il Sig. Mario Rossi volesse ricevere una informazione confidenziale dal Sig. Carlo Verdi, potrebbe inviargli con un qualsiasi mezzo la propria chiave pubblica (tanto è pubblica e non v'è alcuno svantaggio nel renderla nota a chicchessia). In tal modo il Sig. Carlo Verdi, cifrando le informazioni con la chiave pubblica del Sig. Rossi, avrebbe garanzia del fatto che solo quest'ultimo sarebbe in grado di decifrarle, essendo l'unica persona al mondo in possesso della chiave privata corretta (confidenzialità del messaggio).
Viceversa se il Sig. Verdi volesse garantire al Sig. Rossi di essere effettivamente il mittente di un messaggio, potrebbe cifrarlo con la propria chiave privata. Naturalmente dovrebbe aver fornito in qualche modo certo (magari incontrandosi al bar) la propria chiave pubblica al Sig. Rossi. In tal modo il Sig. Rossi, ricevendo il messaggio potrebbe provare a decifrarlo con la chiave pubblica del Sig. Verdi. Se il risultato fosse positivo, col risultato di un messaggio leggibile, il Sig. Rossi avrebbe certezza che solo il proprietario della corrispondente chiave privata, cioè il Sig. Verdi, potrebbe averle cifrate (autenticità del messaggio). Avrebbe anche la certezza che il messaggio non sarebbe stato modificato (integrità) in quanto anche solo una piccolissima modifica renderebbe la decifrazione impossibile.
Meccanismi come quelli sopra descritti sono alla base dello scambio dei messaggi S/MIME, che quindi garantiscono la confidenzialità, tramite la cifratura, e l'autenticità e l'integrità, tramite la firma digitale, delle informazioni scambiate.
Ponendo un poco di attenzione a quanto descritto si noterà come diventi estremamente importante garantire l'identità del proprietario di una coppia di chiavi, ciò per il fatto che non sempre i due interlocutori potrebbero incontrarsi al bar per scambiarsi le relative chiavi pubbliche (potrebbero risiedere in continenti diversi). Proprio qui sta la potenza della crittografia asimmetrica. Il fatto che la chiave pubblica possa essere distribuita a piacimento facilita questo compito. La soluzione individuata è il cosiddetto certificato crittografico. Tale certificato è un documento elettronico emesso da una terza parte, detta Autorità di certificazione e riconosciuta come affidabile da tutti gli interlocutori, che contiene informazioni riguardanti l'identità del proprietario del certificato (ad. es. nome e cognome, indirizzo di posta elettronica..) assieme alla sua chiave pubblica. Il certificato è a sua volta firmato digitalmente dall'Autorità di certificazione, con una firma che è automaticamente verificabile dai programmi di posta elettronica (a loro volta le Autorità di certificazione hanno un proprio certificato crittografico, il quale è già incluso (almeno per le Autorità più importanti) nei programmi di posta elettronica quando vengono installati).
In questo modo basta che il Sig. Verdi invii il proprio certificato crittografico S/MIME al Sig. Rossi affinché quest'ultimo possa innanzitutto verificarne la bontà, verificando la firma digitale della Autorità di certificazione apposta a garanzia del certificato, e poi estrarne l'identità e la chiave pubblica del proprietario.
E' importante evidenziare che le operazioni crittografiche sono svolte automaticamente dal programma di posta elettronica, all'utilizzatore basta semplicemente premere un bottone per cifrare o decifrare un messaggio, piuttosto che per verificare o apporre una firma digitale. S/MIME è adottato da tutti i programmi di posta elettronica più diffusi.
Lo stesso scambio dei certificati S/MIME avviene in modo semplicissimo. Quando il mittente di un messaggio lo firma digitalmente, il programma di posta elettronica vi allega anche il certificato crittografico S/MIME del mittente. Il programma di posta elettronica del Sig. Rossi, ricevendo un messaggio firmato dal Sig. Verdi, ne estrarrà il certificato e lo archivierà. Da quel momento il Sig. Rossi sarà in grado di inviare messaggi cifrati al Sig. Verdi, avendone a disposizione il certificato e di conseguenza la chiave pubblica.
E' questo il motivo per cui il nostro processo di attivazione del certificato S/MIME prevede che ad un certo punto l'utente invii un messaggio firmato digitalmente. Ciò serve infatti a trasmettere il certificato a SCRIGNOInternet Banking. Avendone la possibilità, abbiamo preferito introdurre un ulteriore elemento di sicurezza e di flessibilità chiedendo al cliente di collegarsi a SCRIGNOInternet Banking, di controllare il certificato acquisito e di confermarlo come adatto alla trasmissione di comunicazioni confidenziali a lui riservate. Questo ulteriore rafforzamento ci è reso possibile dal fatto che il cliente effettua la conferma previa autenticazione tramite i codici di sicurezza (ad es. Codice Utente e SCRIGNOcard) assolutamente personali che gli sono stati forniti all'adesione al servizio, e quindi possiamo essere certi della sua volontà. Per tal motivo non entriamo nel merito delle informazioni riguardanti l'identità del proprietario del certificato, ma da questo estraiamo solo la chiave pubblica, ponendo maggiore fiducia nella identificazione del soggetto effettuata presso una nostra agenzia prima della sottoscrizione del contratto di adesione a SCRIGNOInternet Banking.
Sviluppato da RSA nel 1996, ed evolutosi in successive versioni sempre più sofisticate, S/MIME è ampiamente riconosciuto e utilizzato per la messaggistica e si basa sull'utilizzo delle tecnologie crittografiche standard PKCS (Public Key Cryptographic Standard), che garantiscono un elevato livello di interoperabilità per quanto riguarda l'utilizzo della crittografia e prevedono l'adozione di algoritmi molto sicuri.
Per informazioni più dettagliate, che rischiano di divenire molto tecniche e complicate, riportiamo più avanti alcuni riferimenti a documentazione disponibile sulla rete Internet.

Seguono alcuni link a documentazione disponibile su Internet per chi fosse interessato ad approfondire gli argomenti trattati. (I link verranno aperti in una nuova finestra.)

S/MIME

Per tua comodità elenchiamo alcuni link a siti di Autorità di certificazione in grado di emettere certificati S/MIME.
Per ognuna riportiamo la lingua utilizzata, generalmente l'inglese, ma ne esiste una italiana che citiamo per prima.

Globaltrust (lingua italiana)