La vecchia pec va in pensione, e al suo posto l’Europa introduce una specie di super-pec, definita rem: tante sigle, molti cambiamenti sulla cybersecurity, ma un minimo impatto sugli utenti finali, che non dovrebbero avere grossi disagi.
1. Breve storia della pec
La posta elettronica certificata, che tutti noi chiamiamo con l’acronimo pec, nasce quasi diciassette anni fa come alternativa alla classica raccomandata A/R: si tratta di un messaggio di posta elettronica che genera, proprio come la raccomandata cartacea, una ricevuta di accettazione e una ricevuta di avvenuta consegna, che hanno valore legale della comunicazione avvenuta tra le parti, al pari della vecchia classica raccomandata con ricevuta di ritorno. Il valore legale della pec non è automatico, ma deriva dall’art. 48 del Codice dell’Amministrazione Digitale (CAD), che equipara l’invio di una pec alla notifica tramite servizio postale.
Oltre che per il valore legale e la certezza giuridica delle comunicazioni telematiche, la pec si caratterizza per l’elevato standard di sicurezza, caratterizzato dall’utilizzo di sistemi di crittografia e di firma digitale che servono a garantire l’autenticità del mittente, l’integrità del messaggio e la non ripudiabilità dell’invio.
Secondo Agid sono attive, in Italia, circa quindici milioni di caselle pec, con più di ottocentomila messaggi scambiati tra gli utenti e aventi valore di comunicazione legale.
Secondo la normativa attualmente vigente, sono obbligati ad avere un indirizzo di posta elettronica certificata i professionisti iscritti agli albi professionali o nel registro delle imprese e gli enti di diritto privato; i cittadini, invece, non sono obbligati a munirsi di un indirizzo pec, anche se il Governo, con l’istituzione di Inad (il registro digitale delle pec delle persone fisiche) sta cercando di spronare i cittadini a munirsi di un domicilio digitale su cui la pubblica amministrazione possa inviare qualunque comunicazione (dalla ricetta elettronica alle cartelle esattoriali).
Leggi anche
2. Il Regolamento eIDAS 2 entrato in vigore il 20 maggio 2024
Il Regolamento Europeo 2014/910 (cosiddetto regolamento eIDAS) prevede tutta una serie di servizi di identificazione e trasmissione di dati comuni a tutta l’Unione Europea: dopo l’unione monetaria, si tratta di una specie di unione dei dati e dell’identificazione dei cittadini.
In particolare, l’art. 43 del Regolamento eIDAS 2 introduce due concetti:
- SERC, Servizio Elettronico di Recapito Certificato
- SERCQ, Servizio Elettronico di Recapito Qualificato Certificato.
Il SERC è un servizio che permette di trasmettere elettronicamente dati fra terzi, generando la prova del trattamento dei dati trasmessi, compresa la ricevuta di accettazione e consegna dei dati – e protetto da eventuali rischi di perdita, furto o modifiche non autorizzate dei dati.
Il SERCQ, invece, è un SERC che rispetta i seguenti ulteriori requisiti:
- È fornito da uno o più prestatori di servizi fiduciari qualificati,
- Garantisce con un elevato livello di sicurezza l’identificazione del mittente,
- Garantisce l’identificazione del destinatario prima della trasmissione dei dati,
- l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato, in modo da escludere la possibilità di modifiche non rilevabili dei dati,
- qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi,
- la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.
Tra i SERC rientra la posta elettronica certificata secondo il modello italiano, mentre tra i SERCQ rientra un nuovo concetto di pec, come se fosse una super-pec.
Lo scopo del regolamento eIDAS, sotto il profilo della posta elettronica certificata, è quello di creare una specie di una grande pec europea che rispetti gli stessi standard in tutti gli Stati membri e che rispetti i requisiti di alta sicurezza che abbiamo appena descritto: questo nuovo protocollo si chiama Registered Electronic Mail (REM).
Leggi anche
3. REM: cosa cambia e da quando
Il protocollo REM, in teoria, è entrato in vigore con il regolamento eIDAS a partire dal 20 maggio 2024; in Italia, per poter avere lo switch off completo da pec a rem è necessario che venga emanato un decreto ministeriale, che gli esperti del settore stanno attendendo.
Per gli utenti, i cambiamenti più impattanti riguarderanno:
1) le modalità di accesso alla casella pec,
2) le comunicazioni sull’esito della rem.
Per quanto riguarda l’autenticazione, si passerà dal semplice nome utente e password a un sistema di autenticazione a due fattori, come quello che già si utilizza, ad esempio, per lo SPID o per l’accesso alle app bancarie: in pratica l’utente, oltre a user name e password, ad ogni accesso dovrà inserire un codice (il cosiddetto OTP) ricevuto tramite app o sms, oppure compiere un’operazione su un altro dispositivo certificato. Questo, nella pratica, renderà inizialmente più seccante l’accesso alla casella di posta certificata, ma è necessario per garantire e certificare l’identità di chi vi accede e la corrispondenza con l’effettivo titolare.
Per quanto riguarda le comunicazioni relative all’esito dell’invio della rem, scompariranno le classiche ricevute di accettazione e di consegna, per essere sostituite dai REM receipt:
- submission acceptance – sostituisce la vecchia ricevuta di accettazione,
- relay acceptance – certifica la presa in carico da parte del sistema,
- content consignment – sostituisce la vecchia ricevuta di consegna.
In Italia le ricevute erano solo due, e la presa in carico era contenuta nella ricevuta di accettazione: vedremo, con il decreto attuativo, se si manterrà il numero di due o se si passerà a tre ricevute (come avviene in alcuni sistemi, ad esempio quello riguardante il deposito degli atti giudiziari in Tribunale, che avviene mediante generazione di addirittura quattro messaggi).
L’avvento della REM non deve spaventare gli utenti, perché dopo l’entrata in vigore del decreto ministeriale di switch off tra pec e rem, saranno gli stessi sistemi di gestione della posta certificata ad occuparsi degli aspetti tecnici e a chiedere agli utenti di modificare le modalità di accesso: attendiamo fiduciosi, per poter avere una nuova pec, anzi rem europea.