È in arrivo una rivoluzione nel mondo della Posta Elettronica Certificata. Dal prossimo anno, la PEC dovrà conformarsi agli standard europei.
La Posta Elettronica Certificata (PEC) è uno strumento con cui la maggior parte degli italiani è ormai familiare. Questo mezzo di comunicazione è diventato parte della nostra vita quotidiana, sia nel mondo degli affari che in ambito burocratico.
Nel sistema italiano la PEC corrisponde alla raccomandata con ricevuta di ritorno su carta: permette quindi di inviare una comunicazione, generando una prova di consegna e ricezione del messaggio, garantendo l’integrità del contenuto attraverso l’apposizione della firma digitale da parte del provider. In questo modo, la comunicazione, quando avviene tra due caselle di posta PEC, assume valore legale.
Questo strumento è stato creato nel 2005 e ha dimostrato di resistere bene alla prova del tempo. Secondo gli ultimi dati disponibili, in Italia ci sono oltre 14 milioni di indirizzi PEC attivi. Per fare un confronto: nel 2016 c’erano tra i 7 e gli 8 milioni di indirizzi PEC.
Nonostante ciò, sono in arrivo importanti aggiornamenti, dovuti alla necessità di adeguare la PEC verso gli standard europei stabiliti dal regolamento eIDAS. La PEC, infatti, è specifica per l’Italia e ultimamente si sente parlare della cosiddetta PEC europea.
I passi verso la PEC europea
eIDAS (Electronic IDentification, Authentication and trust Services) è il Regolamento Europeo 910/2014 che si concentra sull’identificazione elettronica e sui servizi di fiducia per le transazioni elettroniche nel mercato interno.
Il regolamento eIDAS è attualmente in fase di revisione e si prevede che il nuovo testo dello standard verrà approvato nel 2023. In ogni caso, il compito del regolamento è quello di fornire una base regolamentare comune per comunicazioni elettroniche sicure tra cittadini, imprese e amministrazioni pubbliche nell’Unione Europea.
Tra le altre cose, il regolamento ha introdotto il Servizio di Consegna Elettronica Certificata (ERDS) e il Servizio di Consegna Elettronica Certificata Qualificata (QERDS).
I servizi ERDS permettono la trasmissione di dati tra terze parti in modo elettronico e forniscono evidenze riguardo all’elaborazione dei dati trasmessi (ad esempio, che i dati siano stati inviati e ricevuti correttamente). Rispetta anche i principi richiesti di “precisione della data e dell’ora di invio e ricezione“.
Ciò che i servizi ERDS non hanno è la garanzia dell’identificazione del mittente e del destinatario. Queste sono invece le caratteristiche e gli standard garantiti dal Servizio di Consegna Elettronica Registrata Qualificata (QERDS). Nel contesto dell’Unione Europea, i sistemi ERDS e QERDS sono ora diffusi a tutti i livelli. L’Italia, a questo proposito, è un’anomalia.
Ciò che è certo è che la PEC può essere considerata un Servizio di Consegna Elettronica Registrata (ERDS), in quanto soddisfa i requisiti stabiliti all’articolo 43 del regolamento eIDAS che abbiamo citato in precedenza. Al contrario, non può essere considerata un Servizio di Consegna Elettronica Registrata Qualificata (QERDS).
La PEC ha dei problemi a livello europeo
Essendo nata molto prima del regolamento eIDAS, la PEC non possiede tutti i requisiti dei servizi di consegna elettronica certificata o qualificata. Per questa ragione, la sua validità legale è limitata al territorio italiano.
La PEC attuale manca di alcuni requisiti specifici dei QERDS, come le garanzie sul mittente e il destinatario. In particolare, al momento, non è prevista una verifica certa dell’identità della persona che richiede la casella PEC.
Inoltre, non vi è nemmeno l’obbligo per l’operatore di sottoporsi a verifiche obbligatorie di conformità da parte di organismi designati. Ecco perché lo spam e alcune truffe a volte riescono persino a finire nella casella di posta certificata: la PEC ha procedure semplificate (quindi meno sicure) per l’identificazione dei richiedenti (più leggere e più aggirabili, ad esempio, rispetto a quelle previste per SPID).
Infine, la PEC non prevede l’apposizione di un’indicazione temporale qualificata emessa da un provider di servizi fiduciari qualificato.
A causa di queste limitazioni, si è reso necessario un percorso di evoluzione dalla PEC italiana alla PEC europea. Nel 2019 è stato istituito un gruppo di lavoro tra l’Agenzia per l’Italia Digitale, gli operatori PEC, Uninfo e Assocertificatori che sta finalizzando le norme tecniche necessarie per fare “crescere” la PEC in modo che sia conforme agli standard europei richiesti per il Servizio di Consegna Elettronica Registrata Qualificata (QERDS).
I requisiti della PEC europea
I nuovi requisiti che garantiranno il passaggio dall’attuale strumento PEC al cosiddetto strumento PEC europeo sono:
- Standard di sicurezza potenziati, con l’adozione di ulteriori livelli di controllo e permessi specifici per l’accesso e la gestione dei servizi.
- Identificazione certa delle parti coinvolte nella trasmissione dei messaggi tramite meccanismi di autenticazione affidabili e condivisi.
- Interoperabilità del servizio, inclusa la cooperazione con altri fornitori che adottano il protocollo REM (Registered Electronic Email).
Concretamente, per effettuare operazioni di identificazione, l’utente potrà scegliere una delle seguenti modalità tra quelle che ogni provider metterà a disposizione:
- SPID (Sistema Pubblico di Identità Digitale)
- Firma Digitale
- CIE (Carta di Identità Elettronica)
- CNS (Carta Nazionale dei Servizi)
- DVO (De Visu Online) con operatore ** identificazione remota??
- Di persona, recandosi presso uno sportello autorizzato.
Un secondo passaggio prevede l’attivazione dell’autenticazione a due fattori (2FA), un altro sistema con cui siamo tutti ormai familiari.
Le opportunità dietro il conseguimento della PEC europea
L’introduzione della PEC europea mira a fornire una base regolamentare comune per la consegna elettronica certificata in tutta l’Unione Europea, garantendo requisiti di sicurezza, autenticazione e interoperabilità.
Quando parliamo di digitalizzazione, identità digitale, sistemi di autenticazione e certificazione, non dobbiamo mai dimenticare un punto importante: queste non sono solo noioso aggiornamenti delle pratiche con cui restare al passo. Al contrario, sono opportunità da cogliere, specialmente per professionisti e imprese in ogni settore.
Innanzitutto, ci sono grandi vantaggi in termini di sicurezza, trasparenza, risparmio di tempo ed efficienza.
Ma c’è anche un altro fatto che dovrebbe essere sottolineato nella valutazione dei benefici che la PEC europea può portare: l’integrazione. Raggiungere standard europei potrebbe aprire nuove opportunità di business e cooperazione con altre realtà europee, grazie alla condivisione di un sistema comune e alla fiducia reciproca.
Essere in grado di interagire con i propri clienti e partner in modo sicuro, rapido ed efficace è diventato fondamentale in un mondo sempre più digitale e globalizzato. Sebbene ancora in fase di sviluppo e definizione, ci si aspetta che la PEC europea diventi pienamente operativa e valida all’inizio del 2024.