A partire dal primo gennaio 2019 la posta elettronica certificata (PEC) così come la conosciamo smette di esistere. Una scelta legislativa conseguenza dell’introduzione nel CAD del domicilio digitale che però pone il legislatore di fronte a nuove sfide, legate ad esempio alla migrazione del sistema Pec.
E’ il decreto legislativo 217/2017 all’articolo 65, comma 7, a stabilire che, a partire dal 1 gennaio 2019 è abrogato l’articolo 48… ovvero proprio la posta elettronica certificata (PEC).
Il domicilio digitale
Il domicilio digitale, come definito all’articolo 1, comma 1, lettera n-ter del CAD, è
un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”, valido ai fini delle comunicazioni elettroniche aventi valore legale;
Nello stesso CAD (art.1, comma 1-ter) si stabilisce che
Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37), e 44 del Regolamento eIDAS.
Firma remota, ecco la nuova generazione di dispositivi “eIDAS”
Nuove sfide per il legislatore
Questo nuovo scenario legislativo impone al Legislatore di chiarire una serie di situazioni. Vediamo quali ipotesi sono realistiche e tratteggiamo gli scenari nei quali può trovarsi l’Italia. Il Regolamento eIDAS stabilisce principi normativi che sono tecnologicamente neutri e rimanda agli standard pubblicati da ETSI. Consultati gli Stati membri, la Commissione Europea emana un atto secondario (denominato atto di esecuzione) che referenziando gli standard ETSI detta le regole per lo specifico contesto. ETSI ha prodotto una serie di standard per i servizi elettronici di recapito certificato qualificato (SERCQ) al fine di supportare gli articoli 43 e 44 del Regolamento eIDAS. L’elenco degli standard è il seguente:
- EN 319 522: Electronic Registered Delivery Services.
Four parts: Framework and architecture, semantic contents, formats, and bindings. - EN 319 532: Registered Electronic Mail (REM) Services.
Four parts: Framework and architecture, semantic contents, formats, and interoperability profiles - EN 319 521: Policy and security requirements for ERDS Providers.
- EN 319 531: Policy and security requirements for REM Service Providers.
- TS 119 524: Testing Conformance and Interoperability of Electronic Registered Delivery Services.
- TS 119 534: Testing Conformance and Interoperability of Registered Electronic Mail Services.
- TR 119 500: Guidance on the use of standards for Trust Application Service Providers
Questi standard stabiliscono regole tecniche e organizzative sia per i SERCQ di tipo postale (Registered Electronic Mail Services), che di tipo web services (Electronic Registered Delivery Services). Le regole di qualifica previste sono analoghe a quelle degli altri servizi fiduciari già attivi (Es. l’emissione di certificati di firma o sigillo digitale, le marche temporali, ecc.).
Dopo la pubblicazione del provvedimento (implementing act) della Commissione Europea sarà possibile per ACCREDIA (ente unico di accreditamento in Italia) e AgiD, l’emanazione delle regole di qualifica per i prestatori di servizi fiduciari che intendono fornire i SERCQ. E’ bene ricordare che in alcune nazioni (Es. Belgio, Francia, Germania, Polonia) l’ente di accreditamento ha già emesso regole in tal senso. Per maggiori dettagli è possibile consultare gli elenchi di fiducia comunitari al seguente collegamento.
Scenari possibili
Disponendo di tutti gli elementi per analizzare i possibili scenari nazionali vediamo cosa può decidere il nostro Legislatore.
- Far confluire la PEC nei SERCQ. L’operazione di migrazione non è complessa vista l’analogia tra i protocolli postali dei due sistemi.
- Definire dei meccanismi di colloquio tra il sistema PEC e il sistema SERCQ. Questa operazione non è complessa ma mantiene due sistemi indipendenti raddoppiando gli oneri di qualifica e gestione per i gestori PEC e i prestatori di servizi fiduciari qualificati per il servizio postale. Il problema può essere limitato prevedendo un unico meccanismo di accreditamento/qualifica e vigilanza ma rimane il problema di mantenimento di due sistemi tecnologici differenti.
- Definire le regole nazionali per i sistemi SERCQ di tipo non postale che dovrebbero essere qualificati e vigilati in modo indipendente. Per essi dovranno essere definiti gli scenari di utilizzo. Per esempio per lo scambio di dati tra pubbliche amministrazioni ovvero per la creazione di mercati telematici elettronici (e-marketplace).
Per quanto descritto si può comprendere che la scelta del Legislatore (anche nell’ambito delle Linee guida AgID previste dall’articolo 71 del CAD) è se mantenere un doppio sistema PEC/SERCQ o gestire la migrazione della PEC verso la Registered Electronic Mail (REM) cioè il SERC di tipo postale.
Per una valutazione più completa si tenga anche in conto che i SERCQ di tipo non postale sono a norma del CAD utilizzabili per eleggere un domicilio digitale ma anche per sostituire la PEC. Questa circostanza può creare delle difficoltà tecnologiche di realizzazione vista la differenza dei protocolli applicativi coinvolti in queste architetture.
