Grandi lavori in corso in Italia e all’estero per definire un futuro forte e condiviso sui servizi elettronici di recapito certificato e per la nostra Pec, che va verso il domicilio digitale.
Vediamo nel dettaglio che cosa sta succedendo. Anche un’ultima notizia va in questa direzione: l’arrivo di una piattaforma AgID -Infocamere per aggregare circa 8 milioni di indirizzi PEC. Quelli che non sono nell’elenco dell’INI-PEC (imprese e professionisti) con quelli, ad esempio delle famiglie come previsto nel vigente Codice dell’amministrazione digitale (CAD in vigore dal 27 gennaio 2018).
In generale, è un grosso piano di riordino e sistematizzazione nazionale e internazionale.
La premessa è che il Regolamento europeo 910/2014 noto anche come eIDAS ha introdotto il servizio elettronici di recapito certificato come un “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate”.
Eidas, Pec, Serc e Rem
La nostra Posta Elettronica Certificata è certamente un servizio elettronico di recapito certificato e il Legislatore nel decreto legislativo 217/2017 ha modificato il Codice dell’amministrazione digitale (CAD) stabilendo che (art. 1, comma 1-ter) “Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37) e 44 del Regolamento eIDAS”.
Il servizio elettronico di recapito certificato (SERC) è uno dei servizi fiduciari di base stabiliti nel Regolamento eIDAS (Regolamento UE 910/2014) e come tale può essere erogato da un prestatore qualificato secondo quanto stabilito nel Regolamento medesimo. Esso è analogo all’emissione di certificati qualificati per la firma o di marche temporali che già hanno visto la qualifica di decine di soggetti in tutta Europa.
Rispetto alla nostra PEC il servizio europeo richiede la garanzia dell’identificazione del destinatario prima della trasmissione dei dati e anche un elevato livello di sicurezza per l’identificazione del mittente. Per il resto PEC e SERC soddisfano i principi richiesti, tecnologicamente neutri, di data e ora dell’invio e ricezione e di integrità dei dati.
I requisiti dei SERC qualificati
In particolare i SERC qualificati soddisfano i seguenti requisiti (articolo 44 del regolamento eIDAS):
- sono forniti da uno o più prestatori di servizi fiduciari;
- garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
- garantiscono l’identificazione del destinatario prima della trasmissione (nella versione inglese del regolamento 910/2014 il termine usato è delivery che significa consegna/recapito; quindi si rileva una differente traduzione di delivery tra il titolo dell’articolo e questa parola dell’articolo stesso) dei dati;
- l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
- qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
- la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata;
Qualora i dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti stabiliti nella lista precedente devono essere applicati a tutti i prestatori di servizi fiduciari qualificati.
Alcuni anni fa l’ente di standardizzazione europeo ETSI aveva standardizzato la REM (Registered Electronic Mail) in modo molto simile alla PEC senza però, ovviamente, tenere in conto i requisiti eIDAS perché stabiliti successivamente.
Standard Etsi alle battute finali
Come già anticipato in questa sede, in ETSI si sta provvedendo alla produzione degli standard su questa materia. Questa attività è giunta alle battute finali (voto finale) con la produzione dei seguenti standard (oggi formalmente allo stato di draft):
- EN 319 521 Policy and Security Requirements for Electronic Registered Delivery Service Providers
- EN 319 531 Policy and Security Requirements for Electronic Registered Electronic Mail Service Providers
- EN 319 522 Electronic Registered Delivery Services
Part 1: Framework and Architecture
Part 2: Semantic Contents
Part 3: Formats
Part 4: Bindings
Sub-part 1: message delivery binding
Sub-part 2: evidence and identification binding
Sub-part 3: capability/requirements binding
- EN 319 532 Registered Electronic Mail (REM) Services
Part 1: Framework and Architecture
Part 2: Semantic Contents
Part 3: Formats
Part 4: Interoperability profiles
Sistemi di recapito certificato e postali
Come già anticipato nei piani di lavoro dell’ETSI, i SERC sono stati suddivisi tra quelli di recapito certificato e recapito certificato di tipo postale.
Per sistemi di recapito non postali ci si basa come tecnologia di base sui web services realizzando le funzionalità stabilite nel Regolamento eIDAS.
Per i SERC di tipo postale ETSI ha scelto di far evolvere i propri standard della Registered Electronic Mail (REM) ovvero gli standard della serie TS 102-640 emessi nel 2010.
Questa evoluzione è indispensabile per consentire ai nuovi protocolli REM di soddisfare i requisiti stabiliti nel regolamento europeo 910/2014 (eIDAS).
Al completamento della pubblicazione di questi standard, la Commissione europea dovrà produrre almeno una decisione di esecuzione che stabilirà le regole che gli Stati membri dovranno applicare per i SERC.
Il futuro della Pec e il domicilio digitale
Ultimata quella fase il Legislatore italiano dovrà decidere il futuro della PEC che, come è noto, sarà abrogata il 1 gennaio 2019 come principio giuridico per divenire base tecnologica per l’elezione del domicilio digitale. Lo stesso Legislatore ha già stabilito (nel vigente Codice dell’amministrazione digitale – CAD) l’equivalenza tra la PEC e i SERC qualificati.
La piattaforma progettata nell’ambito di una collaborazione AgID e Infocamere dovrà aggregare gli indirizzi PEC che non sono nell’elenco dell’INI-PEC (imprese e professionisti) con quelli, ad esempio delle famiglie come previsto nel vigente Codice dell’amministrazione digitale (CAD in vigore dal 27 gennaio 2018). Questo elenco dovrà contenere oltre alle circa 6 milioni di caselle PEC (4,5 milioni di imprese) anche un rimanente numero di caselle pari a oltre 2 milioni e 200.000 di soggetti che non hanno ottemperato alla comunicazione che è da tempo obbligatoria.
L’elezione da parte del domicilio digitale dei cittadini sarà obbligatorio solo dopo un decreto del Governo.
Da quel momento i rapporti dei vari soggetti con le pubbliche amministrazioni avverranno esclusivamente utilizzando strumenti e documenti informatici anche se con lo stesso decreto governativo verranno tutelati i cittadini soggetti a divario digitale.
Il sistema dovrebbe entrare a regime nel gennaio 2019 e sarà coordinato con l’IPA (Indice Pubblica Amministrazione) che contiene gli indirizzi di circa 22.000 enti.
Come illustrato in precedenza il medesimo Legislatore ha già stabilito (nel vigente Codice dell’amministrazione digitale – CAD) l’equivalenza tra la PEC e i SERC qualificati. Quindi nel corso del 2019 sarà indispensabile coordinare le due tipologie di servizio postale.
Questa operazione non è necessariamente complessa in quanto la PEC e i protocolli REM non sono molto differenti.
In un prossimo articolo verranno esaminate le differenze tra la PEC e la REM aggiornata per il regolamento eIDAS.
In un prossimo articolo verranno esaminate le differenze tra la PEC e la REM aggiornata per il regolamento eIDAS.