La sospensione dell’abrogazione della PEC (nella Legge di semplificazione 2019) e la quasi contemporanea pubblicazione degli standard ETSI sui servizi elettronici di recapito certificato stabiliti nel regolamento eIDAS inducono qualche riflessione sulla PEC stessa e sul suo possibile futuro in Italia e in Europa. Approfondiamo dunque il tema.
Il contesto
Allo stato attuale, i processi di digitalizzazione che da circa venti anni sviluppano i principi di utilizzo di procedimenti e attività amministrative e industriali mediante i cosiddetti strumenti della società dell’informazione e della comunicazione hanno individuato già all’inizio del percorso operativo la necessità di definire uno strumento normativo, poi da declinare sul piano organizzativo e tecnico, da utilizzare per fornire al mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici.
Il coordinamento normativo tra la norma che stabilisce che la ricevuta di avvenuta consegna generata dal gestore di posta elettronica certificata (PEC) del destinatario del messaggio costituisce prova dell’avvenuto recapito al destinatario medesimo e la norma per la quale, a fronte dell’invio telematico eseguito con modalità atte ad assicurare l’avvenuta consegna, si ha equiparazione alla fattispecie giuridica della notificazione a mezzo posta, ha consolidato e reso la PEC strumento cruciale nello scenario digitale nazionale.
La norma di riferimento è l’articolo 48, comma 2 del Codice dell’amministrazione digitale. In parallelo a livello comunitario si è stabilito, mediante il regolamento 910/2014 (eIDAS) che i meccanismi di scambio di informazioni digitali siano effettuati tramite i Servizi Elettronici di Recapito Certificato (SERC). La PEC e i SERC sono funzionalmente analoghi ma diversi sul piano dell’infrastruttura realizzativa e non interoperabili. La sopra citata legge di semplificazione, tra l’altro, sul tema PEC stabilisce che l’abrogazione dell’articolo 48 del CAD avverrà a fronte dell’entrata in vigore di un decreto che conterrà le misure necessarie a garantire la conformità della PEC all’eIDAS. Qualcuno ha già commentato che questo significa che la PEC sarà sostituita dai SERC qualificati anche se in verità la Legge si riferisce all’articolo 29 che contiene regole per l’accreditamento e la qualifica del servizio.
L’impatto del passaggio da Pec a Serc
In tale senso la valutazione da effettuare è quale impatto avrebbe il passaggio da PEC a SERC. Partiamo da una valutazione quantitativa sulla diffusione della PEC. I dati forniti da AgID per i primi due bimestri dell’anno 2019 evidenziano un numero di caselle di PEC pari ad oltre 10.500.000 e un numero di messaggi scambiati che ammontano a circa 430.000.000 a bimestre. Questi dati ci dicono che la PEC è molto diffusa, certamente perché in molti scenari è obbligatoria, ma è anche utilizzata in modo significativo.
Certamente costituisce un elemento a favore della PEC la circostanza che la PEC è rimasta pressoché immutata dalle origini. La Posta Elettronica Certificata (PEC) nasce all’inizio del 2005 (11 febbraio) con il DPR 68 e ha una longevità giuridica e tecnica superiore ad ogni altra fattispecie normativa e tecnica di supporto alla trasformazione digitale della pubblica amministrazione; infatti dalle origini ad oggi pochissime sono state le modifiche al sistema PEC che è rimasto pressoché identico a quello originale. Il mercato ha risposto alle esigenze operative e alle necessità derivanti dagli obblighi di legge rispondendo prima con una forte diffusione di caselle e poi, via via, con l’aumento delle comunicazioni a supporto dei processi telematici, della fatturazione elettronica, della comunicazione tra amministrazioni e tra imprese.
L’espressione “ho inviato una PEC” è diventata simbolo dell’avvenuto adempimento dell’operazione e magari anche del passaggio di responsabilità del generico procedimento dal mittente del messaggio al destinatario dello stesso. La PEC presenta qualche vizio di gioventù che non sembra però rallentarne la costante diffusione e l’utilizzo sempre più ampio anche nel servizio privato. Parliamo dell’inopportuno utilizzo della PEC come protocollo di trasferimento file, della mancanza di certezza dell’identità del mittente a causa dello scarso sviluppo del PEC Identifier e, in tempi recenti, dell’uso della PEC come veicolo di malware ovvero come bersaglio di importanti attacchi di pirateria informatica. La paventata abrogazione dal 1 gennaio 2019 per venire sostituita come principio giuridico dal domicilio digitale non è avvenuta e l’abrogazione è rinviata all’emissione di un decreto, all’entrata in vigore del medesimo la PEC verrà abrogata a livello primario (delegificata) per vivere come supporto operativo del domicilio digitale.
La citazione dell’articolo 29 nella Legge di semplificazione 2019 fa ipotizzare che le regole di accreditamento oggi attive (Circolare CNIPA n. 56 del 21 maggio del 2009) per la PEC possano essere aggiornate alle regole eIDAS per la qualifica dei servizi fiduciari e le conseguenti regole di vigilanza. La citazione dell’articolo 48 può avvalorare l’ipotesi che la PEC possa evolvere verso un SERC con caratteristiche tali da essere qualificabile. Naturalmente questa qualifica non avrebbe le caratteristiche di interoperabilità previste dagli standard ETSI. E’ anche abbastanza probabile che future decisioni di esecuzione della Commissione Europea in materia di SERC consentano di definire la PEC come un SERC qualificato nazionale. Questa previsione non è in contrasto con il regolamento eIDAS (considerando 24).
Pec e standard ETSI
In ogni caso, La PEC per come è tecnicamente stabilita in Italia costituisce un SERC non qualificato ai sensi di eIDAS. Un elemento cruciale per la qualifica è rappresentato dall’accesso alla casella del mittente tramite credenziali di identità. Questa caratteristica potrebbe fare riferimento alle credenziali del Sistema Pubblico di Identità Digitale (SPID) e potrebbe essere normativamente gestita come PEC identificativa ai sensi del DPCM 27 settembre 2012. Questa fattispecie di PEC è attiva ma non risulta una specifica offerta di mercato. Nelle trasmissioni si allega al messaggio di PEC uno o più documenti firmati digitalmente gestendo in tal modo il valore legale degli allegati e utilizzando la PEC come strumento di trasporto affidabile.
Naturalmente questi meccanismi possono essere realizzati in molti modi sia per quanto concerne i formati dei messaggi in termini di identificatori e evidenze, sia per i protocolli di trasporto dei messaggi e infine per i differenti modelli di recapito dei messaggi. Un sistema che abbia un valore legale in differenti sistemi nazionali deve essere definito in modo adeguato e soprattutto deve essere interoperabile. ETSI ha pubblicato una serie di standard di classe EN (standard europeo) dove il documento ETSI EN 319 521 stabilisce “Policy and security requirements for Electronic Registered Delivery Service Providers”. I documenti ETSI EN 522-1 e 522-2 definiscono rispettivamente l’architettura di base e gli aspetti semantici. Il documento 522-3 stabilisce i formati utilizzando i web services.
Come evidente da quanto scritto nel documento la PEC è diffusa e ben attiva con 20 gestori iscritti nell’elenco pubblico di AgID con uno in fase di cessazione (verifica effettuata in data 25 luglio 2019). Della diffusione delle caselle e dei volumi di traffico dei messaggi abbiamo già scritto in precedenza. La PEC è “circondata” da applicazioni che sono indispensabili nel suo ciclo di vita operativo. Si pensi ad esempio ai sistemi che fanno interagire la PEC con il protocollo informativo o i sistemi di conservazione digitale delle ricevute di avvenuta consegna dei messaggi. Queste premesse di scenario, al netto di aggiustamenti delle regole di accreditamento e vigilanza e anche di integrazione con i sistemi di identità digitale non inducono ipotesi, nemmeno tendenziali di passaggio dalla PEC ai SERC qualificati. L’emissione degli standard da parte di ETSI costituisce un importante passo in avanti ma la mancanza delle specifiche Decisioni di esecuzione della Commissione Europea rende gli standard un riferimento per il mercato ma non per gli aspetti legali e gli obblighi di legge.
Conclusioni
Lo scenario storico della PEC e quello più recente dei SERC che sono stati sinteticamente descritti in questa sede evidenziano una forte stabilità normativa e tecnologica della PEC accompagnata da una fortissima diffusione di caselle con scambi di miliardari di messaggi. La PEC è anche supporto a un importante indotto applicativo indispensabile per la corretta integrazione delle caselle con i sistemi di protocollo informatico e con i sistemi di conservazione digitale utilizzati per le ricevute di avvenuta consegna al destinatario o altre esigenze organizzative derivanti dalla PEC. I SERC sono stati appena standardizzati con la recentissima pubblicazione degli standard da parte di ETSI. Il mercato beneficia di questi standard ma nessun obbligo deriva da essi in assenza di provvedimenti secondari da parte della Commissione Europea in conformità al regolamento europeo eIDAS.
Diventa quindi complesso ipotizzare un passaggio da PEC a SERC “postali” (REM) in mancanza di benefici operativi, economici e obblighi normativi. Con il consolidamento delle decisioni comunitarie, ipotizzabili entro il 2020 con la piena operatività della nuova Commissione Europea si potranno fare eventuali, ulteriori ipotesi di migrazione della PEC verso la REM. Un’azione concreta delle istituzioni potrebbe essere quella di effettuare un’analisi di impatto sulla migrazione di un sistema PEC verso un sistema REM considerando anche la novità e i benefici operativi che può fornire il meccanismo di recapito digitale previsto nei SERC e denominato store and notify, per scambi di allegati di dimensioni elevate (qualche centinaio di Megabyte).
Le conclusioni non possono che prendere atto della fortissima radicazione amministrativa e industriale della Posta Elettronica Certificata (PEC) che la rende insostituibile a livello nazionale. Sul piano del ciclo di vita della PEC è difficile ipotizzare un suo ripensamento verso i SERC qualificati prima di cinque anni anche se il mercato europeo potrebbe indurre imprevedibili accelerazioni magari nel corso del 2021. Non procedere in una qualche direzione, comunque, alimenta il rischio di isolamento comunitario sui temi della fatturazione elettronica, dell’e-procurement e del recapito digitale.
L’articolo è parte di un progetto di comunicazione editoriale che Agendadigitale.eu sta sviluppando con il partner Aruba.
