La PEC (Posta Elettronica Certificata) è uno strumento che conosciamo tutti e che è entrato a far parte della nostra quotidianità, in ambito lavorativo e burocratico. 

Secondo gli ultimi dati disponibili, gli indirizzi PEC attivi in Italia sono oltre 14 milioni. Per avere un metro di paragone: nel 2016 ci si fermava a una cifra tra i 7 e gli 8 milioni (agid.gov.it). 

Semplificando, si può dire che, nel nostro ordinamento, la PEC corrisponde alla raccomandata con avviso di ricevimento cartacea: dunque, consente di inviare una comunicazione, generando una prova della consegna e della ricezione del messaggio, garantendo l’integrità del contenuto tramite l’apposizione della firma digitale da parte del provider; in questo modo la comunicazione, quando avviene tra due caselle PEC, assume valore legale. 

Si tratta di uno strumento nato nel 2005 che ha dimostrato di saper resistere molto bene alla prova del tempo. 

 

New call-to-action

 

Nonostante questo, degli importanti aggiornamenti sono all’orizzonte. Aggiornamenti che puntano all’evoluzione della PEC verso gli standard europei settati dal regolamento eIDAS. 

La PEC, infatti, è una peculiarità tutta italiana. E quello di cui si inizia a parlare in maniera sempre più concreta è la cosiddetta PEC europea. 

Mettiamo subito un punto sulle tempistiche. 

Si può individuare il punto di partenza del percorso che sta alla base dell’evoluzione della PEC nel 2019, con l’istituzione di un gruppo di lavoro nazionale che aveva come scopo specifico quello di far evolvere la PEC verso i requisiti stabiliti dal regolamento eIDAS per i servizi elettronici di recapito certificato qualificato (SERCQ).  

Nel corso del 2020, il gruppo di lavoro si è allargato ed è diventato internazionale: gli sforzi intrapresi hanno portato infine alla definizione di una baseline di requisiti su cui costruire l’interoperabilità dei servizi di recapito basati sul protocollo noto come REM (Registered Electronic Mail). 

Altro step molto importante: il 27 giugno 2022 l’AgID (Agenzia per l’Italia Digitale) ha comunicato il consolidamento dello standard ETSI EN 319 532-4.  

Ora che è disponibile la “cassetta degli attrezzi” per realizzare concretamente l’evoluzione della PEC verso uno scenario europeo, restano da definire gli step e il quadro normativo che consentiranno di realizzare lo switch-off verso il nuovo sistema di PEC qualificata.  

A questo scopo, è allo studio un decreto che fornirà questo framework, atteso per i prossimi mesi del 2023.  

Se tutto andrà secondo i piani, dunque, per i primi mesi del 2024 la PEC europea dovrebbe entrare in piena funzione e validità. 

A questo punto c’è bisogno di fare un piccolo passo indietro per chiarire il quadro, senza entrare in eccessivi tecnicismi, e sciogliere gli acronimi che abbiamo citato: eIDAS e SERCQ. 

 

New call-to-action

 

Il regolamento eIDAS e il Servizio Elettronico di Recapito Qualificato (SERCQ) – le tappe verso la PEC europea 

L’eIDAS (electronic IDentification, Authentication and trust Services) è il regolamento europeo 910/2014 che si concentra sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno 

È importante ricordare che attualmente il regolamento eIDAS è in revisione, e nel corso nel 2023 si attende l’approvazione del nuovo testo della norma. 

Qui si può consultare il testo integrale della versione corrente, mentre in questo articolo del nostro blog, invece, ci siamo concentrati sui cambiamenti del regolamento eIDAS che traspaiono dalle bozze già circolate. Vi rimandiamo a quella sede per tutti gli approfondimenti.

In sintesi, eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni dell’Unione europea 

Tra le altre cose, il regolamento ha introdotto tra i servizi fiduciari anche il Servizio elettronico di recapito certificato (SERC) e il Servizio elettronico di recapito certificato qualificato (SERCQ).  

In precedenza, abbiamo dedicato un approfondimento ai servizi elettronici di recapito certificato, qualificati e non qualificati.  

In questo contributo, invece, cercheremo di capire perché è stato necessario intervenire su di uno strumento consolidato come la PEC, molto diffuso e di utilizzo comune ormai da quasi 20 anni in Italia, per intraprendere un percorso di cambiamento che certamente avrà un impatto sugli utenti.  

Come accennato sopra, la PEC è con noi sin dal 2005: molto tempo prima, quindi, dell’emanazione del regolamento eIDAS che ha fornito il framework per i servizi elettronici di recapito certificato e qualificato. È questo uno dei motivi per i quali i servizi elettronici di recapito, con diverse forme, si sono ampiamente diffusi negli altri Paesi europei, mentre in Italia hanno fatto solo da poco la loro comparsa.  

Essendo nata molto prima del regolamento eIDAS, la PEC non ha, per ovvi motivi, tutti i requisiti dei servizi elettronici di recapito certificato o qualificato: per questa ragione, la sua validità legale è limitata unicamente al territorio italiano.  

E qui veniamo a un punto decisivo. La PEC, sotto certi aspetti, può essere considerata un Servizio Elettronico di Recapito Certificato (SERC). 

Attenzione, però: non può essere al momento considerata Servizio elettronico di recapito certificato qualificato (SERCQ). 

All’attuale PEC mancano alcuni requisiti specifici dei SERCQ, quali le garanzie su mittente e destinatario. La PEC, infatti, non consente di identificare in modo certo mittente e destinatario, prima dell’invio della comunicazione, né prevede l’apposizione di una marca temporale qualificata rilasciata da un qualified trust service provider.  

Inoltre, non è nemmeno previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati. 

Ed ecco qui che, a partire da questi limiti, inizia a prendere forma il percorso di evoluzione dalla PEC italiana alla PEC europea. 

Seguiamolo, dunque.  E, dopo queste premesse doverose, vediamo nel prossimo paragrafo quali sono i requisiti della PEC europea rispetto a quella con cui abbiamo familiarizzato finora. 

 

I requisiti della PEC europea 

Procediamo con un elenco, partendo da quei requisiti dei servizi elettronici di recapito certificato qualificato che sono già soddisfatti dagli attuali sistemi di Posta Elettronica Certificata: 

  • La certezza a valore legale dell’invio e della consegna (o della mancata consegna) dei messaggi al destinatario. 
  • L’attestazione temporale precisa dell’invio e ricezione dei messaggi (anche se, ad oggi, non tramite l’apposizione di una marca temporale qualificata). 
  • La garanzia di integrità del contenuto dei messaggi, in modo da prevenire o individuare qualsiasi modifica non autorizzata ai dati trasmessi. 
  • L’erogazione del servizio da parte di gestori accreditati, quelli che nel regolamento eIDAS sono identificati come “prestatori di servizi fiduciari qualificati”. Ad oggi, i provider PEC sono accreditati dall’Agenzia per l’Italia Digitale (AgID). 

Ecco invece di seguito i nuovi requisiti che garantiranno il passaggio dall’attuale strumento della PEC a quello della cosiddetta PEC europea: 

  • Standard disicurezza rafforzati, con l’adozione di ulteriori livelli di controllo e autorizzazioni specifiche per l’accesso e la gestione del servizio. 
  • Identificazione certa dei soggetti che partecipano alla trasmissione dei messaggi tramite meccanismi di autenticazione affidabili e condivisi. 
  • Interoperabilità del servizio, anche crossborder, rispetto ad altri provider che adottano a loro volta il protocollo REM. 

Nel concreto, per effettuare le operazioni di identificazione, l’utente potrà scegliere una delle seguenti modalità, tra le diverse che ogni provider metterà a disposizione: 

  • SPID (Sistema Pubblico d’Identità Digitale). 
  • Firma Digitale. 
  • CIE (Carta d’Identità Elettronica). 
  • CNS (Carta Nazionale dei Serivizi). 
  • DVO (De Visu Online) con un operatore. 
  • Di persona, recandosi presso uno degli sportelli autorizzati. 

C’è poi un secondo step che prevede l’attivazione del 2FA, l’autenticazione a due fattori (altro sistema con cui abbiamo ormai imparato a familiarizzare).

 

New call-to-action

 

Le opportunità che si celano dietro gli adempimenti della PEC europea 

Quando si parla di digitalizzazione, di identità digitale, di sistemi di autenticazione e di certificazione non bisogna mai dimenticarsi di un punto davvero importante: non si tratta solo di adempimenti, ma di opportunità da cogliere; soprattutto per i professionisti e le imprese di qualsiasi settore. 

Ci sono innanzitutto i grandi vantaggi in termini di sicurezza, trasparenza, comodità, risparmi di tempo e relativo incremento dell’efficienza. 

Ma c’è una parola chiave ulteriore da tenere sempre ben presente e che, in fondo, sta a monte di tutto: integrazione. 

Con gli strumenti offerti da aziende specializzate come Doxee, si possono integrare tutti gli strumenti di certificazione e autenticazione con i sistemi core già in uso. 

Un aspetto decisivo: lo dice l’esperienza comune di tutti noi. 

Nello specifico: il prodotto Doxee di Recapito Elettronico Certificato comprende una gamma di soluzioni diverse di recapito, in grado di assicurare la produzione di un’evidenza documentale in formato elettronico, che garantisce la tracciabilità della comunicazione tra mittente e destinatario e fornisce prove relative all’avvenuto invio e all’avvenuta ricezione dei dati. 

E-mail certificate, ma anche SMS certificati, ed e-Recapito (che permette di inviare al destinatario una e-mail certificata o un SMS certificato contenente un collegamento per accedere ai documenti che il mittente vuole notificare). 

Le soluzioni di Recapito Elettronico Certificato Doxee soddisfano i requisiti definiti dal regolamento eIDAS che abbiamo più volte citato sopra: si tratta, infatti, di soluzioni erogate tramite un Prestatore di Servizi Fiduciari Qualificato. Perciò, le comunicazioni realizzate tramite Recapito Elettronico Certificato Doxee costituiscono una valida prova da utilizzare anche in caso di contenziosi.  

(Per approfondire tutti gli aspetti del prodotto di Recapito Elettronico Certificato si veda qui). 

Dunque, tirando le somme: integrazione con le proprie soluzioni aziendali, sicurezza, affidabilità, aumento dell’efficienza e possibilità di rispettare gli adempimenti in maniera completa, fin da subito. 

Tutto questo insieme, in un’unica soluzione. 

E chi si occupa di business lo sa molto bene: farsi trovare pronti con anticipo si trasforma immediatamente in un vantaggio competitivo.