Lunedì 20 maggio è entrato in vigore eIDAS 2, la versione rinnovata del Regolamento Ue 2016/910, ma vanno ancora completate alcune parti del “vecchio” regolamento. Tra queste c’è la “vecchia” PEC, abrogata fin dal 2019 e non ancora sostituita dalla nuova REM. Mancavano lo standard europeo e la normazione tecnica nazionale mentre il decreto di attuazione arriverà a breve.
I servizi fiduciari eIDAS
Il Regolamento eIDAS (Regolamento UE 2014/910) prevede una serie di servizi fiduciari, cioè di identificazione e trasmissione dati comuni in tutta l’Unione Europea. Tra i servizi fiduciari, il Regolamento eIDAS prevede anche i SERC (Servizi Elettronici di Recapito Certificato), chiamati anche ERDS (Electronic Registered Delivery Service), cioè trasmissione sicura di dati con prove di invio e ricezione (eIDAS art.3.36). Questi servizi possono essere di due tipi:
- Servizi postali, detti anche REM (Registered Electronic Mail). Si basano su protocolli informatici tipici delle email. Va da sé che la PEC è un servizio di tipo postale. Lo è anche se l’accesso avviene via web.
- Servizi non postali se basati su web services.
La nuova versione del Regolamento eIDAS, cioè la versione integrata dal recente Regolamento 2024/1183 in vigore dal 20 maggio, non interviene su questa classe di servizi fiduciari che, quindi, rimangono regolati dal “vecchio” Regolamento eIDAS.
Il Regolamento eIDAS, inoltre, con gli articoli 43 e 44 distingue due livelli di servizi ERDS:
- semplici. Godono di presunzioni sull’integrità del messaggio, sull’identità di mittente e destinatario, sulla data e sull’ora. La PEC è un servizio ERDS semplice.
- Qualificati chiamati anche QERDS (Qualified Electronic Registered Delivery System). Devono essere offerti da fornitori qualificati e offrono superiori garanzie tecniche.
Figura 1 – I servizi ERDS possono essere di tipo postale o non postale inoltre possono essere qualificati o non qualificati. La PEC è un servizio ERDS di tipo postale non qualificato.
Rem IT, l’evoluzione
Un po’ paradossalmente, la PEC è un servizio di recapito certificato semplice. Per diventare servizio qualificato ha subito tre evoluzioni fondamentali:
- Richiede l’identificazione certa del proprietario della casella. Per la verità anche in Italia, con la PEC-ID che entrava addirittura nell’articolo 65 del CAD, c’era stato un tentativo di questo tipo. Non aveva portato a nulla, un po’ per il l’indolenza del Legislatore e un po’ per gli interessi divergenti degli operatori.
- Richiede autenticazione forte ad ogni utilizzo. In pratica un’autenticazione a due fattori simile a quella per l’utilizzo dello SPID di livello 2 o, normalmente, all’utilizzo delle piattaforme di home banking.
- Interoperabilità secondo le norme tecniche delle REM. Con specifiche norme tecniche i sistemi devono scambiarsi informazioni fondamentali per la qualità del servizio. Anche se interessa meno gli utilizzatori finali, l’importante lavoro di standardizzazione degli ultimi anni ha riguardato soprattutto questi aspetti.
L’evoluzione è progredita su due piani paralleli di standardizzazione tecnica. Quella europea che ha portato recentemente al completamento dello standard ETSI EN 319 532 sulla REM e quello nazionale per declinare la PEC in senso europeo e farla diventare una REM qualificata. In pratica, la PEC da ERDS semplice diventa finalmente un QERDS, un servizio di recapito certificato qualificato.
La “nuova” PEC, chiamata anche “PEC europea”, è la declinazione italiana della REM e, più correttamente, si dovrebbe chiamare REM IT. È descritta tecnicamente dalle regole tecniche rilasciate recentemente dell’AGID tramite un documento dal titolo “REM SERVICE – Criteri di adozione Standard ETSI – Policy IT v.2.0”. L’adozione legale in Italia avverrà a breve con l’adozione di uno specifico Decreto del Presidente del Consiglio dei Ministri.
Figura 2 – La standardizzazione della PEC ha avuto lo scopo di farla diventare REM IT che è un servizio ERDS qualificato.
Le radici della Rem italiana
Pertanto la REM IT, la versione italiana della Registered Electronic Mail, ha due radici:
- la prima è la regolazione nazionale della PEC fin dal lontano DPR n.68 del 2005 assieme alle sue stupefacenti regole tecniche dello stesso anno. Fin da principio è stata considerata la base da cui partire per definire la REM IT.
- La seconda radice è rappresentata dallo stesso Regolamento eIDAS che regola i servizi di recapito certificato come uno dei servizi fiduciari a beneficio del mercato unico europeo. Sottolineo, non solo le Pubbliche Amministrazioni ma anche le imprese e i cittadini.
Le novità tecniche sono molte ma sono perlopiù invisibili all’utilizzatore finale e pertanto esulano da questa trattazione. Lato utilizzatore finale le novità sono essenzialmente tre: l’identificazione iniziale, l’autenticazione ad ogni utilizzo, le comunicazioni sull’esito della trasmissione, l’integrazione coi sistemi documentali delle Pubbliche Amministrazioni. Vediamole separatamente.
Identificazione iniziale Rem IT
La prima grande novità della REM IT rispetto alla PEC è il legame chiaro che deve essere stabilito tra una persona e una casella REM IT. La persona fisica titolare della casella REM IT o il suo legale rappresentante deve essere preventivamente identificata. I metodi di identificazione sono diversi e vengono stabiliti da ogni fornitore. Sono riconducibili a quelli necessari per ottenere l’identità SPID e comprendono il contatto diretto, l’utilizzo della Carta d’Identità Elettronica o della Carta Nazionale dei Servizi-Tessera Sanitaria, documenti con firma elettronica qualificata come la firma digitale oppure lo stesso SPID.
Rem IT e autenticazione a ogni utilizzo
Ad ogni utilizzo di una casella, la REM IT richiede l’autenticazione a due fattori dell’utente. Nella pratica, oltre a user e password, l’utilizzatore deve inserire un codice ricevuto tramite SMS o app oppure compiere un’operazione push su qualche altro dispositivo. Si tratta della normale pratica diffusa con SPID di livello 2.
Rem IT e comunicazioni sull’esito
Per l’inoltro del messaggio originale, la REM IT gestisce una serie di messaggi automatici tra le varie caselle. Nella PEC questi messaggi sono costituiti dalle ricevute che informano sullo stato dell’inoltro e dagli avvisi necessari in caso di errore. Nella REM IT cade la distinzione tra avvisi e ricevute, tutti i messaggi automatici di ora si chiamano “REM receipt”.
C’è una stretta corrispondenza tra le ricevute PEC e le REM receipt quando la comunicazione va a buon fine. Le tre ricevute più importanti cambiano nome secondo questa corrispondenza:
| Ricevute PEC | REM receipt | |
| 1 | Accettazione | Submission Acceptance |
| 2 | Presa in carico | Relay Acceptance |
| 3 | Avvenuta consegna | Content Consignment |
Tabella 1 – Corrispondenza tra le principali ricevute PEC e REM receipt
In Italia la prima prova l’avvenuto invio di un messaggio mentre la terza ne prova l’avvenuta consegna. Sia le nuove REM receipt sia i dati contenuti nel “vecchio” DATICERT.XML sono parte di un complesso di messaggi interni chiamati “ERDS evidence” e standardizzati già a livello europeo.
Rem e integrazione tra sistemi delle PA
Nelle pubbliche amministrazioni difficilmente le singole caselle PEC vengono utilizzate con un normale accesso via webmail oppure tramite client di posta. Come richiesto dal complesso di norme sulla gestione documentale, le caselle PEC vengono gestite tramite piattaforme di gestione documentale. In quasi due decenni in cui gli aspetti tecnici delle caselle PEC sono rimasti stabili, il mondo della gestione documentale e archivistica delle Pubbliche Amministrazioni ha subito profonde evoluzioni, le piattaforme di gestione documentale hanno potuto progredire contando sulla stasi di uno dei suoi componenti integrati.
Ora, con l’introduzione delle REM IT le cose stanno per cambiare, le software house che hanno scritto e che mantengono queste piattaforme devono affrontare i nuovi aspetti di integrazione e non è detto che sarà del tutto indolore. Pensiamo per esempio all’autenticazione a due fattori per gli operatori di protocollo oppure alla corretta gestione documentale delle REM receipt. Altri grattacapi sono in vista nell’integrazione coi sistemi di interscambio delle fatture elettroniche o degli ordinativi di pagamento e riscossione.
Lo scenario futuro
Fare previsioni, si sa, è difficile ma alcune prospettive di breve e medio termine sono già chiare e vanno distinte su più piani: nazionale, comunitario, extra comunitario, pubbliche amministrazioni.
Rem, cosa aspettarci in Italia
In ambito nazionale è facile affermare che cambierà poco. Se l’obiettivo delle REM Policy-IT e del DPCM era quello mettere in sicurezza l’ecosistema nazionale, questo obiettivo è stato raggiunto.
L’atteso DPCM di switch off, cioè chiusura delle PEC e trasformazione in REM IT, stabilirà non solo una data ma anche la messa in sicurezza di un ecosistema tutto italiano. Un ambiente, lo ricordo, composto da istituzioni e imprese e che si muove con norme, prassi, modelli di business e investimenti che ha impiegato molti anni per crescere e stabilizzarsi in un processo forse neppure del tutto concluso. Pensiamo al ruolo del Registro Generale degli Indirizzi Elettronici (ReGIndE), cioè l’elenco delle caselle PEC gestito dal Ministero di Giustizia, che ancora si sovrappone agli elenchi dei domicili digitali del CAD, cioè INI-PEC (art. 6-bis), IPA (art. 6-ter) e INAD (art. 6-quater).
La giurisprudenza più stimolante sulle PEC ha riguardato spesso due aspetti che dovrebbero rimanere intaccati anche con la REM IT. Il primo riguarda la validità del messaggio gestita tramite le ERDS evidence. Il secondo attiene alla validità del domicilio digitale, cioè la valida iscrizione su un qualche registro pubblico o la sua conoscibilità o utilizzabilità.
La standardizzazione non è avvenuta senza fatica. Il lavoro è durato anni e si è concluso solo recentemente con il completamento della normazione tecnica europea ETSI EN 319 532 a gennaio e a maggio con la declinazione italiana della REM IT tramite due documenti tecnici la cui lettura delle parti introduttive rappresenta un esempio di chiarezza e linearità. Per quattro anni l’AGID ha coordinato un gruppo di lavoro e, in sede europea, ha promosso specifici test di interoperabilità con operatori nazionali, europei ed extra europei ottenendo utili indicazioni per la normazione tecnica sia europea sia nazionale. La scelta di evolvere un sistema già collaudato presenta anche qualche aspetto delicato e da evidenziare: complessità e irrigidimento. Il “vecchio” DPR 68/2005 era figlio di un altro mondo tecnologico e di un’altra Europa. Era relativamente semplice da leggere e da applicare e, come detto, ha avuto il vantaggio di non essere stato intaccato quando il resto del mondo stava cambiando e ci basti ricordare il Regolamento eIDAS o le numerose modifiche al CAD. La formulazione tecnica della REM IT da una parte affronta questa complessità ma dall’altra forse è anche il segno di un certo irrigidimento sulle nostre prassi nazionali, non esattamente un segno di apertura verso il nuovo.
Inoltre, nel medio periodo si possono intravvedere conseguenze inaspettate sul lato delle identità perché, se le caselle REM IT sono legate alle persone, allora lo stesso quadro delle identità digitali ne viene scalfito. La REM IT fa un salto da uno strumento di trasporto verso uno strumento che può fare a meno dell’incorporazione di una qualche firma elettronica. In prospettiva anche la firma digitale, ragguardevole esempio di firma elettronica qualificata, rischia di perdere lo scettro di strumento centrale di identità digitale di cui gode fin dai tempi della “Bassanini 1”, più di un quarto di secolo fa.
Rem in UE
Rimane l’incognita sulla diffusione della REM IT in altri paesi dell’Unione Europea e questo ha che fare anche con le prassi e le tradizioni giuridiche. Ci basti pensare che a livello nazionale CAD, dottrina e giurisprudenza definiscono chiaramente valore e limiti dei documenti elettronici e delle identità associate. Ma questo è chiaro in Italia mentre altrove le cose potrebbero andare diversamente. D’altronde, pensiamo al caso contrario, quello dei sigilli elettronici. Sono previsti dal Regolamento eIDAS ma da noi hanno trovato solo poche e sporadiche applicazioni.
La domanda non va posta sul piano tecnico ma su quello commerciale. La risposta è difficile ma non troppo perché molti Paesi europei hanno sviluppato propri sistemi supportati da specifici ecosistemi nazionali e, come in Italia, li stanno facendo evolvere verso i QERDS. Nel momento in cui scrivo, i fornitori europei di servizi REM qualificati sono ben 49. Tra questi c’è anche l’evoluzione tedesca di De-Mail e merita sottolineare che la Germania è il nostro maggior partner commerciale europeo. Tutti i sistemi qualificati europei devono essere interoperabili, lo sono fin da principio le stesse ERDS evidence. Forse, più che una questione tecnica la diffusione della REM IT diventa una questione di spazi commerciali di espansione su mercati ancora disponibili.
Oltre a tutto, non è detto che altri Paesi membri puntino sulla comunicazione qualificata REM come abbiamo fatto noi. D’altronde noi, almeno per l’interazione con la Pubblica Amministrazione, ci stiamo orientando verso altre direzioni.
Rem e Paesi extra UE
Il quadro si complica ulteriormente coi Paesi fuori Unione. Se lasciamo stare il Regno Unito che con il Government Digital Service fa storia a parte, qui merita una menzione il caso degli Stati Uniti dove coesistono molti sistemi variamente regolati e con diversi approcci tra postali e non postali. Gli USA sono una parte di mondo in cui la concorrenza permea fin dalle origini il sistema legale statunitense e gli stessi percorsi universitari sulla trasformazione digitale ne sono innervati. In definitiva, un mercato variegato quanto a soluzioni tecniche e di difficile penetrazione per i nostri operatori.
Rem e PA
Un discorso a parte merita la Pubblica Amministrazione italiana. La nascita della REM IT ha visto un ruolo attivo dei principali fornitori nazionali tra cui Infocert che è anche il fornitore unico nella convenzione CONSIP delle caselle REM IT e della migrazione dalle caselle PEC.
Vale la pena accennare almeno agli affetti della REM IT sull’interazione coi cittadini che è regolata dall’art.65 del CAD. Il comma 1. lettera a) fa riferimento a alla sottoscrizione di istanze e dichiarazioni con firma elettronica avanzata, cioè quella forma di identità che il “vecchio” DPCM 22/02/2013 carica ancora di pesi tale da renderla quasi inutilizzabile. Con la riformulazione se non l’abrogazione di quel DPCM si aprono prospettive interessanti anche per le REM IT per l’invio di documenti privi di firma elettronica.
In questa direzione si sta muovendo lo stesso Piano Triennale che, nell’ambito del progetto Italia Login, attribuisce all’App IO ruoli crescenti che – sottolineo – non utilizzano né REM né firme elettroniche avanzate.
Conclusione
L’introduzione della REM IT ha il pregio di sostituire la PEC nel modo più fluido possibile mantenendo l’ecosistema tutto nazionale di regole e operatori costruito in quasi due decenni. Nel breve periodo le cose non cambieranno.
Per anni la PEC era stata criticata di essere un sistema solo italiano non riconosciuto all’estero. Un giudizio non più sostenibile proprio con la nascita della REM IT e, d’altronde, lo stesso Legislatore nazionale fin dal 2017 ha previsto la totale sostituibilità della PEC con altri servizi QERDS ai sensi del Regolamento eIDAS (CAD art.1.1-ter). Attenzione però, il Legislatore non si limita alla REM IT che è solo uno dei possibili QERDS, altri servizi sono teoricamente possibili e non necessariamente di tipo postale.
Altri Paesi europei sembrano orientati verso altre direzioni in un mondo che pretende velocità di interazione. Lo stesso modello strategico del nostro Piano Triennale suggerisce strumenti di comunicazione dei cittadini con le Pubbliche Amministrazioni che superano la PEC o la REM IT.
Si prospetta una concorrenza tra strumenti e, nel medio-lungo periodo, forse l’unica oasi di tranquillità della REM IT rimarrà la vasta area dei rapporti più strutturati tra imprese e Pubblica Amministrazione. Sarà, in ogni caso, un confronto interessante.
