In effetti rileggendola mi sono accorto che era tutto fuorché chiara.

Ti riassumo quel che posso. Per la legge italiana la firma digitale equivale
in tutto e per tutto la firma autografa, quindi se invii un documento
firmato digitalmente questo ha valore legale (D.Lgs.82/2005) (ovviamente
deve rispettare certi criteri, ma questo immagino lo sappia già)

Il documento così firmato ha valore di per sè, ovvero vale se lo invii via
mail, con la PEC, masterizzato su un CD e inviato per posta, ecc.ecc.
Inoltre la firma digitale offre garanzia di autenticità e di integrità,
ovvero un documento firmato digitalmente non può essere "ripudiato" (salvo
prova contraria a carico del firmatario) e si può verificarne eventuali
manomissioni.

Un documento cartaceo firmato e poi scansionato invece non da analoghe
garanzie; normalmente è accettato e comunque ha una certa validità, ma è
innegabile che tale documento sia facilissimamente falsificabile e quindi
chi lo riceve potrebbe non accettarlo.

La PEC sostituisce la raccomandata. Come la raccomandata fornisce una
ricevuta di ritorno che ha valore legale, ma a differenza della raccomandata
la PEC certifica anche che quel che è stato ricevuto è esattamente quel che
è stato inviato, "firmando" il contenuto della mail.
Inoltre la casella PEC che ha inviato la mail è identificabile con certezza
e così teoricamente anche il mittente che deve essere stato identificato per
il rilascio della PEC (quindi non puoi mandare raccomandate conto terzi :-) ).

Quindi riassumendo:
Se mandi il messaggio via PEC è come se avessi mandato una raccomandata, ma
in più il ricevente non può negare che il contenuto del messaggio sia quello
inviato. Se hai scritto qualcosa nella mail il ricevente non può negare che
ciò vi è stato scritto, e il fatto che sia stato tu a scriverlo è provabile
per l'identificazione certa del soggetto per la fornitura del servizio PEC.
Alla fine equivale ad un invio via FAX.
Se alleghi la scansione di un documento firmato, questo ha praticamente lo
stesso valore di cui sopra, quindi normalmente è sufficiente. Essendo la
firma scansionata facilmente falsificabile, non aggiunge praticamente nulla
all'invio del solo testo nella mail.
Se invii via PEC un documento firmato digitalmente invece sei in una botte
di ferro perché hai la ricevuta di invio, hai la certificazione che il
documento sia quello che tu hai inviato, e la firma del documento garantisce
sia la tua identità che la sua integrità.

E tu ovviamente ti sei fermato al primo link...

Immagino che saprai spiegar[mc]i la struttura di un messaggio di posta
certificata e saprai illuminar[mc]i sull'arcano significato di quelle sigle
strane come "multipart/signed", "application/x-pkcs7-signature" che contiene.

Quello che segue è un messaggio di PEC, opportunamente epurato, ricevuto
sulla mia posta aziendale ordinaria.

Received: from XXXXXXXXXXXXXXXXXXXXXXXXX
by XXXXXXXXXXXXXXXXXXXXXXXXX
with ESMTP id XXXXXXXXXXXXXXXXXXXXXXXXX ;
Mon, 12 Apr 2010 XX:XX:XX +0200
X-Info-Client: smtps.pec.aruba.it
X-Info-Helo: smtpec1.pec.aruba.it
Received: from smtpec1.pec.aruba.it (smtps.pec.aruba.it [62.149.152.91])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by XXXXXXXXXXXXXXXXXXXXXXXXX with ESMTPS id XXXXXXXXXXXXXXXXXXXXXXXXX
for <***@XXXXXXXXXXXXXXXXXXXXXXXXX>; Mon, 12 Apr 2010
XX:XX:XX +0200 (CEST)
...
Subject: POSTA CERTIFICATA XXXXXXXXXXXXXXXXXXXXXXXXX
X-Riferimento-Message-ID: <XXXXXXXXXXXXXXXXXXXXXXXXX@[127.0.0.1]>
Date: Mon, 12 Apr 2010 XX:XX:XX +0200
Message-ID: <***@pec.aruba.it>
Reply-To: XXXXXXXXXXXXXXXXXXXXXXXXXX
X-Trasporto: posta-certificata
To: ***@XXXXXXXXXXXXXXXXXXXXXXXXX
From: "Per conto di XXXXXXXXXXXXXXXXXXXXXXX" <***@pec.aruba.it>
X-Tiporicevuta: completa
MIME-Version: 1.0
...
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature";
micalg=sha1; boundary="----XXXXXXXXXXXXXXXXXXXXXXXXX"

This is an S/MIME signed message

------XXXXXXXXXXXXXXXXXXXXXXXXX
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_XXXXXXXXXXXXXXXXXXXXXXXXX"

This is a multi-part message in MIME format...

------------=_XXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: text/plain; charset="iso-8859-1"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

--Questo e' un Messaggio di Posta Certificata--

Il giorno 12/04/2010 alle ore XX:XX:XX (+0200) il messaggio con Oggetto
...
e indirizzato a:
***@XXXXXXXXXXXXXXXXXXXXXXXXX "posta ordinaria"
Il messaggio originale e' incluso in allegato, per aprirlo cliccare sul fil=
e "postacert.eml" (nella webmail o in alcuni client di posta l'allegato pot=
rebbe avere come nome l'oggetto del messaggio originale).
L'allegato daticert.xml contiene informazioni di servizio sulla trasmissione
L'identificativo univoco di questo messaggio e':
***@pec.aruba.it

------------=_XXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: application/xml; name="daticert.xml"
Content-Disposition: inline; filename="daticert.xml"
Content-Transfer-Encoding: base64

...

------------=_XXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: message/rfc822; name="postacert.eml"
Content-Disposition: inline; filename="postacert.eml"
Content-Transfer-Encoding: 7bit

...

------------=_XXXXXXXXXXXXXXXXXXXXXXXXX--

------XXXXXXXXXXXXXXXXXXXXXXXXX
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"

...

------XXXXXXXXXXXXXXXXXXXXXXXXX--


Pensa che quello stupido di thunderbird addirittura mi dice:
"This message includes a valid digital signature. The message has not been
altered since it was sent". Sarà utile che tu glielo dica al client di posta
che evidentemente sta sbagliando, perché «la pec non certifica il contenuto»

questa




Saluti, Mamo.

Certifica SOLO che il contenuto inviato dal server del mittente sia stato
consegnato inalterato nella casella di posta del destinatario. Evenuali
modifiche avvenute al messaggio prima della presa in carico da parte del
server mittente (p.es. un worm presente sul PC del mittente) ovviamente non
possono essere verificate.
Sì, il meccanismo è lo stesso, solo che ovviamente la firma è quella del
gestore e serve solo a garanzia che sia quel gestore che ha preso in carico
la mail e che l'ha consegnata inalterata al destinatario.
Sì, se tu hai la ricevuta di quel che hai spedito, il destinatario non può
affermare di aver ricevuto qualcosa di diverso da quanto da te asserito,
così come non può negare di averlo avuto nella propria casella di PEC.

C'è da dire che ovviamente una mail di PEC senza firma digitale non
garantisce che chi ha inviato il documento sia effettivamente chi dice di
essere, quindi ci si potrebbe trovare nella situazione in cui chi ha
ricevuto la mail non può negare di averla ricevuta (perché hai la ricevuta)
e non può nemmeno negare che il suo contenuto sia quello effettivamente
inviato (perché è firmato dal gestore di PEC che è riconosciuto come parte
affidabile), MA può sempre dire di non aver intrapreso le azioni richieste
in quanto non aveva garanzia che tale mail fosse stata inviata realmente
dalla persona titolata a farlo.

In questo caso penso p.es. alla lettera di dismissione di un servizio o di
recesso da qualche cosa, ecc.ecc.