PEC, dal 2024 diventa REM per comunicare con tutta l’Europa: cosa cambia

L’adozione della PEC europea, REM, è alle porte. C’è tempo fino al 2024 per adeguare la PEC agli standard europei

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 27 Giugno 2023 14:21

Le informazioni relative al numero di caselle in esercizio per ciascun dominio e al numero totale giornaliero di messaggi PEC in ingresso e in uscita dalle caselle gestite, fornite con frequenza bimestrale ad AgiID dai gestori, permettono di effettuare un’analisi sull’andamento del servizio PEC.

L’ultimo dato disponibile, ovvero quello del III bimestre 2022, vede 14.414.551 caselle PEC attive e un numero di messaggi pari a 492.932.292.

Siamo di fronte a un dato che dimostra un costante e crescente aumento di caselle PEC nel corso degli anni e che fa sì che la PEC sia diventata uno strumento il cui utilizzo ha ampiamente superato l’obbligo normativo previsto per alcune categorie di soggetti.

Quando nasce la PEC

La legge istitutiva della PEC è la n. 16 del 2003. Il D.P.R. 11 febbraio 2005, n. 68, disciplinava le modalità di utilizzo della Posta Elettronica Certificata non solo nei rapporti con la PA, ma anche tra privati cittadini.

Il CNIPA, oggi Agenzia per l’Italia digitale (AgID), ex DigitPA, emanava la Circolare 49 del 24/11/05, che stabiliva le modalità di accreditamento per i soggetti che volevano svolgere il servizio di Gestore PEC. La Circolare 51 del 07/12/06 sanciva le regole per la vigilanza e il controllo esercitati sui Gestori PEC da AgID.

L’art.48 del D.lgs. 82/2005, il cd. CAD “Codice dell’amministrazione digitale”, equipara la PEC alla raccomandata cartacea con ricevuta di ritorno.

Il Decreto-legge 185/08, convertito nella legge n. 2 del 28/01/2009, ha introdotto l’obbligo per società, professionisti e Pubbliche Amministrazioni di istituire il domicilio digitale tramite la Posta Elettronica Certificata (PEC).

La Posta Elettronica Certificata diventa uno strumento veloce, semplice, sicuro, sostenibile, da usare nella quotidianità, che consente di inviare comunicazioni aventi lo stesso valore di una raccomandata con ricevuta di ritorno, in tempo reale e con la garanzia offerta dalla data e ora di consegna e dalla non alterabilità dei contenuti.

Il viaggio verso l’Europa

Nel 2018 AgID ha dato vita ad un primo gruppo di lavoro tutto italiano, composto da gestori PEC, Uninfo e Assocertificatori, per definire le regole che garantissero la conformità del servizio di Posta Elettronica Certificata al Regolamento eIDAS (electronic IDentification, Authentication and Trust Services), emanato nel 2014.

Il Regolamento eIDAS  nasce per fissare norme comuni per gestire i mezzi di identificazione elettronica e i cosiddetti “servizi fiduciari”, come la firma digitale, di cui fanno parte anche i servizi elettronici di recapito certificato qualificato ai quali la PEC deve essere conforme.

Nel 2020 il gruppo di lavoro raggiunge un importante traguardo: la stesura di una prima proposta di Common Service Interface (CSI), un’infrastruttura tecnologica condivisa tra gli operatori europei per uno scambio sicuro tra i gestori di servizi di recapito qualificato e la conseguente stesura di un documento tecnico contenente le richieste per garantire l’interoperabilità tra i Trust Service Provider europei.

Questo documento, ricevuto ed esaminato dal comitato tecnico ESI (Electronic Signature and Infrastructures), è stato successivamente presentato alla commissione ETSI (European Telecommunications Standards Institute), che è l’organismo internazionale, nato nel 1988, che ha il compito di emettere gli standard di telecomunicazione validi per l’Europa.

L’ETSI ha accolto favorevolmente questo documento, fondamento per lo sviluppo di una PEC valida in tutta Europa, che si è concretizzato nel 2021, quando l’ESI ha approvato e definito i nuovi standard ETSI per i servizi elettronici di recapito certificato qualificato:

  • Electronic Registered Delivery Services – ERDS
  • Registered Electronic Mail – REM.

Nel 2022 viene approvata, quindi, la versione finale della REM Baseline da parte del comitato tecnico ESI.

La REM Baseline specifica l’insieme dei requisiti necessari a garantire l’interoperabilità e l’uso della PEC come servizio di recapito certificato qualificato.

Lo strumento scelto per estendere l’interoperabilità della PEC oltre i confini nazionali, innalzando così la sicurezza delle comunicazioni transfrontaliere, sarà proprio la REM (Registered Electronic Mail).

A giugno 2022 viene pubblicato il nuovo standard ETSI EN 319 532-4, che dà concretezza al progetto della Posta Elettronica Certificata a livello europeo.

Sempre nel 2022, per dar seguito al percorso di evoluzione verso eIDAS, AgID pubblica sul proprio sito le regole tecniche ufficiali per i servizi di recapito certificato qualificato, che costituiscono la base normativa italiana sulla quale i Gestori possono fondare l’evoluzione del servizio PEC.

La PEC soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato (SERC), ma non soddisfa a pieno i requisiti previsti, sempre dal Regolamento, per il servizio elettronico di recapito certificato qualificato (SERCQ).

Per diventare a tutti gli effetti un SERCQ, infatti, la PEC dovrà essere integrata con 2 ulteriori requisiti:

  • la verifica certa dell’identità del titolare della casella;
  • l’aggiunta di un ulteriore livello di sicurezza all’accesso, ottenibile mediante doppia autenticazione, cd. verifica in 2 passaggi.

Grazie all’evoluzione in chiave europea, alla PEC saranno garantite due importanti caratteristiche aggiuntive:

  • maggior sicurezza nel suo utilizzo
  • attendibilità di mittente e destinatario delle comunicazioni.

Lo standard europeo ETSI EN 319 532-4

Lo standard europeo ETSI EN 319 532-4 specifica le caratteristiche della CSI (Common Service Interface). Questa interfaccia tecnologica condivisa permette lo scambio sicuro tra i gestori e tra gli utilizzatori di servizi di recapito qualificato.

Tale infrastruttura si basa su due elementi:

  • ERDS (Electronic Registered Delivery Services)
  • REM (Registered Electronic Mail)

Le funzionalità di ERDS e REM hanno come obiettivo il settaggio di requisiti tecnici necessari per verificare e certificare:

  • Identità del cittadino UE possessore di un indirizzo di posta certificata
  • Integrità del contenuto
  • Data e ora d’invio e di ricezione del messaggio.

Questo standard ETSI EN 319 532-4 diventa un sistema di comunicazione qualificata a livello europeo.

Cosa offre in più la REM

La REM certificherà anche l’identità di chi possiede un indirizzo REM.

Il protocollo previsto per l’attivazione della REM prevede la registrazione dell’utente presso un REM Service Provider al fine di garantire e certificare l’identità del mittente e del destinatario.

Inoltre, rispetto alla PEC, la REM dovrebbe garantire una maggiore sicurezza dalle violazioni informatiche.

L’adozione della REM diventa un passaggio necessario per garantire una maggiore sicurezza nelle comunicazioni ufficiali dei cittadini europei e per conferire loro un valore legale.

La REM, a differenza della PEC, richiederà, ricordiamo, il rispetto dei requisiti SERCQ (Servizio Elettronico di Recapito Certificato e Qualificato).

Questi requisiti vanno oltre i certificati già previsti dai regolamenti eIDAS (identificazione elettronica e servizi di fiducia per le transazioni elettroniche nel mercato interno) e SERC (Servizio Elettronico di Recapito Certificato).

La REM diventerà il canale attraverso il quale verranno inviate le comunicazioni di rilevanza legale e amministrativa in tutta Europa.

Gli elementi innovativi della PEC europea

La PEC presenta i seguenti caratteri:

  • valore legale dell’invio e della consegna, o mancata consegna, delle email al destinatario;
  • attestazione temporale dell’invio e ricezione dei messaggi;
  • garanzia di integrità del contenuto per la quale dovrà essere possibile prevenire o individuare qualsiasi modifica non autorizzata ai dati trasmessi;
  • erogazione del servizio da parte di gestori accreditati, ovvero “da uno o più prestatori di servizi fiduciari qualificati”;
  • standard aperti per garantire che l’insieme dei partecipanti alla REM possa incrementare nel tempo e diffondersi in modo più capillare sul territorio.

Gli elementi innovativi della REM riguardano:

  • l’identificazione certa dei soggetti (mittente e destinatari), che partecipano alla trasmissione dei messaggi tramite meccanismi di autenticazione affidabili e condivisi;
  • standard di sicurezza rafforzati per il servizio PEC, con l’adozione di ulteriori livelli di controllo e autorizzazioni specifiche per l’accesso e la gestione del servizio;
  • possibilità di estendere i benefici delle comunicazioni via PEC all’intera Unione Europea.

Quando adeguare la PEC agli standard europei

La PEC europea è il risultato di un processo di innovazione e integrazione a livello europeo, che offre nuove opportunità di comunicazione certificata tra cittadini, imprese e pubbliche amministrazioni di tutti gli Stati Membri.

Sarà, infatti, possibile:

  • facilitare le relazioni commerciali e contrattuali con clienti e fornitori esteri;
  • partecipare a bandi e concorsi pubblici a livello europeo;
  • risparmiare tempo e costi;
  • disporre di uno strumento elettronico sicuro e affidabile, certificato e garantito;
  • semplificare le procedure amministrative e burocratiche con le PP.AA. di altri Paesi.

Dal 2024 la PEC nella forma europea sarà attiva. Si attende il D.P.C.M. che ne individui la data esatta.

Cosa è necessario fare per adeguare la PEC agli standard europei

Per adeguare la PEC agli standard europei è necessario rispettare i seguenti requisiti:

  • riconoscimento certo dell’identità del titolare della PEC. Occorre verificare l’identità del proprietario o del Legale Rappresentante, nel caso di PEC aziendali;
  • attivazione della verifica in due passaggi (2FA). E’ obbligatorio accedere a ciascuna casella PEC con un secondo livello di protezione. Oltre ad username e password verrà richiesta una ulteriore autorizzazione sul dispositivo associato;
  • aggiornamento del client di posta o del software gestionale. E’ necessario assicurarsi che il programma o il software di posta siano compatibili con il nuovo standard europeo.

 Il riconoscimento dell’identità

Il riconoscimento dell’identità è necessario per garantire l’attendibilità del mittente, persona fisica o rappresentante legale di una persona giuridica.

La verifica dell’identità può essere fatta attraverso uno degli strumenti di identificazione elettronica riconosciuti dalla Commissione europea:

  • Identità digitale SPID;
  • Tessera Sanitaria / Carta Nazionale dei Servizi;
  • Firma digitale anche remota;
  • Carta d’Identità Elettronica (CIE 3.0);
  • Piattaforma DVO (De Visu Online) con operatore.

La verifica in 2 passaggi (2FA)

L’autenticazione a 2 fattori rafforza il livello di sicurezza dell’account di posta attraverso il doppio controllo di accesso al servizio:

  • inserimento delle credenziali (indirizzo PEC e password)
  • codice di autenticazione.

Il codice viene inviato su un dispositivo precedentemente verificato e secondo la modalità di ricezione che si è scelta:

  • Notifica PUSH tramite app su dispositivo mobile;
  • Token OTP tramite app;
  • Token OTP via SMS.