Con un comunicato diffuso il 27 giugno l’AgID plaude all’approvazione di uno standard ETSI (European Telecommunications Standards Institute) dedicato all’interoperabilità a livello comunitario di firme digitali e dei sistemi REM (Registered Electronic Mail) tra cui rientra anche la PEC nostrana.
L’impulso verso questa standardizzazione della PEC parte proprio dall’Italia, con AgID che ha iniziato a lavorare sullo standard ancora nel 2019, coinvolgendo i gestori PEC e AssoCertificatori.
Gli standard ETSI
Gli standard ETSI sono di importanza significativa in quanto vengono esplicitamente menzionati dal Regolamento Europeo eIDAS (Re. UE 910/2014), disciplina dedicata all’identificazione elettronica e ai servizi fiduciari per le transazioni elettroniche all’interno dell’Unione e pilastro nel processo di “europeizzazione” degli standard tecnologici.
In particolare il Considerando 72 del Regolamento recita: “In sede di elaborazione degli atti delegati o di esecuzione, la Commissione dovrebbe tenere debito conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali, in particolare il Comitato europeo di normalizzazione (CEN), l’Istituto europeo delle norme di telecomunicazione (ETSI), l’Organizzazione internazionale per la standardizzazione (ISO) e l’Unione internazionale delle telecomunicazioni (UIT), al fine di assicurare un livello elevato di sicurezza e interoperabilità dell’identificazione elettronica e dei servizi fiduciari.”
Per questo motivo l’adozione di uno standard è un passo significativo sia per rendere la PEC interoperabile con gli altri recapiti certificati adottati in Europa, sia per aiutare a diffondere questo strumento “made in Italy” anche al di fuori del nostro paese.
La strada però è ancora lunga, specie perché uno standard costituisce una semplice proposta di regolazione del fenomeno giuridico/tecnologico, ma non ne impone l’adozione.
E, con riguardo alla tecnologia PEC, l’entusiasmo italiano non ha fatto sinora grandi proseliti a livello comunitario e mondiale.
La PEC nel mondo
Il fenomeno della “globalizzazione” della PEC in effetti non è stato finora travolgente.
Spesso si cita l’esempio di Hong Kong e del suo sistema e-cert (l’inclusione di questo sistema fra gli strumenti simili alla PEC non sembra però completamente a fuoco, il sistema e-cert risulta essere sostanzialmente uno strumento di firma elettronica emesso dalle Poste di Hong Kong quale ente certificatore).
Un altro sistema menzionato spesso è quello svizzero, con IncaMail, sistema che è stato lanciato nel 2017, è erogato dalle poste centrali svizzere e consente di “certificare” email ordinarie verso particolari destinatari.
Infine, il progetto tedesco, De-Mail, la cui normativa è stata introdotta nel 2011 ma che non pare aver conquistato i tedeschi, sebbene sia il sistema che dalle specifiche somiglia più da vicino a quello della PEC italiana.
Forse però lo standard appena adottato consentirà (anche se verosimilmente in un futuro non prossimo) alla diffusione di questa tecnologia che ha il merito di trasferire la raccomandata postale nel mondo digitale, con tutti i vantaggi derivanti dal processo tecnologico in termini di velocità, affidabilità e sicurezza.
La soluzione italiana, spesso trascurata in altri stati che spesso si affidano a “portali” che associano le operazioni ad un utente dopo la creazione di un account e “attribuiscono” allo stesso tutte le operazioni dopo il login, anche nei confronti di una pubblica amministrazione, oppure saltano a piè pari il processo di transfer della raccomandata nel mondo digitale preferendo affidarsi a sistemi più agili (ma meno garantiti) come ad esempio il legislatore cinese che ha abbracciato a tal punto il sistema di messaggistica WeChat da rendere obsolete le caselle postali in certe province cinesi.
Lo standard
Lo standard partorito da ETSI è in effetti ritagliato sul modello italiano della PEC, di cui eredita caratteristiche e formati.
La novità più interessante contenuta nello standard è costituita però dalla proposta di un’interfaccia tecnologica condivisa (CSI – Common Service Interface) che potrebbe costituire la base per una effettiva internazionalizzazione della PEC.
In buona sostanza questa interfaccia condivisa si occuperebbe di armonizzare i vari sistemi REM nazionali e creando un sistema che garantisca la “trasmissibilità” di quella “fiducia” fra i vari domini in cui si dipanano i protocolli di Registered Mail, assicurando identico valore ad una comunicazione “registrata” fra mittente e destinatario.
Lo standard si occupa anche di precisare il quadro normativo minimo necessario per garantire il funzionamento della macchina tecnologica del sistema REM, che necessita di una disciplina uniforme anche dal punto di vista delle firme digitali e delle marche temporali che ne consentono il funzionamento (la PEC “funziona” perché al tradizionale postino si sostituisce un certificatore che firma (digitalmente) e marca temporalmente il messaggio trasmesso, e ne dà atto al mittente con la ricevuta di consegna).
La PEC e eIDAS
Nel frattempo, anche la PEC però non rimane immobile e si discute di una sua evoluzione che consenta di “iscrivere” la nostra posta elettronica certificata tra i servizi elettronici di recapito certificato qualificato previsti dal Regolamento eIDAS.
Secondo quanto riportato dalla stessa AgID, infatti, la PEC non raggiunge il massimo livello previsto da eIDAS quanto ai servizi di recapito, ed infatti sul suo sito l’Agenzia riporta:
“La Posta Elettronica Certificata soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente della casella di PEC. Inoltre, non è previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati.”
Il motivo per cui lo spam e le truffe si presentano anche sulle nostre mail certificate discende proprio dalle procedure semplificate per l’identificazione del soggetto che richiede la PEC (più “leggere” di quelle previste invece per lo SPID).
E gli effetti giuridici della PEC (a livello di normativa UE), si fermano a quanto previsto dal comma 1 dell’art. 43 eIDAS, ovvero:
“Ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico di recapito certificato qualificato.”
Mentre al solo servizio elettronico di recapito certificato qualificato il legislatore europeo riserva gli effetti di cui al comma 2 dell’art. 43, ovvero:
“I dati inviati e ricevuti mediante servizio elettronico di recapito certificato qualificato godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio elettronico di recapito certificato qualificato.”
Sebbene la normativa italiana “tamponi” le previsioni comunitarie, è evidente che l’evoluzione della PEC come strumento di recapito UE debba passare per un’evoluzione normativa riguardo ai suoi requisiti, che le consenta di “salire di grado” divenendo un recapito certificato qualificato.
Anche questo step, forse ancor più dell’emanazione dello standard ETSI, potrà contribuire all’effettivo utilizzo della PEC in ambito comunitario, senza che debbano necessariamente sorgere strumenti alternativi come paventa l’introduzione nell’art. 1, co. 1 lett. n-ter del Codice dell’Amministrazione Digitale, da parte del D.Lgs. 217/2017, della nuova definizione di domicilio digitale, secondo cui si tratta di “un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato”.
