PEC e SERCQ, capire le differenze per ottimizzarne l’uso

Domicilio digitale, PEC e SERCQ: quali sono le differenze e come usare questi due strumenti per dialogare con la Pubblica amministrazione e non solo

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 3 Luglio 2023 15:01

È complesso muoversi nel mondo della digitalizzazione, dei sistemi di autenticazione, comprendere le opportunità che può offrire l’identità digitale. Cerchiamo, in questo articolo, di fare chiarezza su due soluzioni, PEC e SERCQ, che sebbene simili, assolvono a funzioni diverse.

La digitalizzazione nelle PP.AA.

La digitalizzazione delle pubbliche amministrazioni ha un ruolo centrale nel Piano nazionale di ripresa e resilienza. La digitalizzazione è una delle tre componenti della Missione n. 1 del Piano denominata “Digitalizzazione, innovazione, competitività e cultura”.

La prima componente della Missione n. 1, che riguarda la digitalizzazione, innovazione e sicurezza della PA, è articolata in tre settori di intervento:

  • digitalizzazione della PA;
  • modernizzazione della PA;
  • innovazione organizzativa della giustizia.

Con la Comunicazione COM (2021) 118 final dal titolo “2030 Digital Compass: the European way for the Digital Decade” del 9 marzo 2021, la Commissione europea ha presentato una visione e le prospettive per la trasformazione digitale dell’Europa entro il 2030.

La Comunicazione si sviluppa su quattro settori che costituiscono la bussola digitale dell’Europa:

  • le Competenze digitali
  • le Infrastrutture digitali sicure e sostenibili
  • la Trasformazione digitale delle imprese
  • la Digitalizzazione dei servizi pubblici.

La digitalizzazione dei servizi pubblici

Per quanto riguarda la digitalizzazione dei servizi pubblici, l’obiettivo dell’UE è di garantire che, entro il 2030, la vita democratica e i servizi pubblici online siano completamente accessibili a tutti, comprese le persone con disabilità.

Si tratta di realizzare un ambiente digitale che fornisca strumenti facili da usare, efficienti e personalizzati con elevati standard di sicurezza e privacy.

Inoltre, garantire il voto elettronico incoraggerebbe una maggiore partecipazione dei cittadini alla vita democratica.

Gli obiettivi da raggiungere entro il 2030 sono:

  • Servizi pubblici fondamentali: 100% online
  • Sanità online: cartelle cliniche disponibili al 100%
  • Identità digitale: 80% cittadini che utilizzano l’ID digitale

Quelli appena rappresentati sono tutti elementi che portano a grandi vantaggi in termini di sicurezza, trasparenza, comodità, incremento dell’efficienza, ma vi è un elemento che permette la vera realizzazione di tutto ciò: l’integrazione intesa come interoperabilità, a livello nazionale e poi europeo.

Un elemento rilevante per proseguire questo percorso è il Regolamento eiDAS.

Le differenze tra PEC e SERCQ

eiDAS (electronic IDentification, Authentication and trust Services) è il regolamento europeo 910/2014 che fornisce una base normativa comune con riferimento alle interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni dell’Unione europea.
Focalizza la sua attenzione sulla sicurezza, sulla trasparenza e sull’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico.

Ma il regolamento eiDAS introduce anche due servizi elettronici di recapito certificato molto importanti: SERC e SERCQ.

  • SERC è il Servizio elettronico di recapito certificato
  • SERCQ è il Servizio elettronico di recapito certificato qualificato

Per comprendere gli impatti e le differenze tra questi due servizi è proprio il regolamento eiDAS a fornirci importanti e rilevanti elementi. In particolare, gli articoli 43 e 44 del regolamento sono rilevanti, al pari dell’art. 3, n. 36 e 37, laddove questi ultimi danno una definizione ben precisa d SERC e SERCQ.

In particolare l’art. 3

“n. 36) definisce «servizio elettronico di recapito certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

n. 37) definisce «servizio elettronico di recapito qualificato certificato», un servizio elettronico di recapito certificato che soddisfa i requisiti di cui all’articolo 44”.

Il SERC

Il SERC, come evincibile dalla lettura degli articoli indicati, ovvero art. 3, n. 36 e art. 43, comma 2, consente:

  • la trasmissione di dati fra terzi per via elettronica
  • fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati
  • protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate
  • soddisfa i principi richiesti di “accuratezza della data e dell’ora dell’invio e della ricezione”.

La PEC può essere considerata un Servizio Elettronico di Recapito Certificato (SERC), in quanto soddisfa i requisiti fissati nell’articolo 43 del regolamento eIDAS.

La PEC funziona come una comune casella elettronica, accompagnata da certificati prodotti e firmati elettronicamente dai gestori del servizio, che rendono legale il valore della PEC, visto che certificano data e ora di trasmissione e ricezione del messaggio.

Il mittente del messaggio PEC dispone di una documentazione legalmente valida sia dell’invio che dell’avvenuto recapito. Quello che la PEC da sola non fa, tuttavia, è di identificare il mittente del messaggio, che può essere certificato solo tramite l’utilizzo di firma elettronica.

La PEC non può essere considerata un Servizio elettronico di recapito certificato qualificato (SERCQ).

Il SERC può essere erogato da un prestatore qualificato secondo quanto stabilito nel Regolamento eiDAS e, quanto agli effetti, l’art. 43 stabilisce, al n. 1, che “ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico di recapito certificato qualificato”.

Il SERC, però, è carente sotto il profilo delle garanzie dell’identificazione del mittente e del destinatario nella fase antecedente alla trasmissione dei dati.

Il SERCQ

Laddove è carente il SERC, sopperisce il Servizio elettronico di recapito certificato qualificato (SERCQ).

L’utilizzo di PEC e Firma Elettronica in maniera congiunta rappresenta quindi un mezzo certo, sicuro e soprattutto semplice da utilizzare per tutte le comunicazioni importanti e per le quali si rende necessaria la tutela legale.

Il servizio elettronico di recapito certificato qualificato (SERCQ), a differenza della PEC, integra in maniera nativa la certezza dell’identità del mittente e soprattutto quella del destinatario, richiedendo meccanismi di strong authentication.

Il servizio elettronico di recapito certificato qualificato (SERCQ) è, invece, ai sensi dell’articolo 3, n. 37, del Regolamento eIDAS, un servizio elettronico di recapito certificato che soddisfa gli ulteriori requisiti di cui all’articolo 44, ovvero:

  • è fornito da uno o più prestatori di servizi fiduciari qualificati
  • garantisce con un elevato livello di sicurezza l’identificazione del mittente
  • garantisce l’identificazione del destinatario prima della trasmissione dei dati
  • l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati
  • qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi
  • la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.

Il SERCQ consente l’invio elettronico di dati, fornisce prove di invio e ricezione e protegge i dati dal rischio di perdita, furto, danni o modifiche non autorizzate.

Inoltre, questo tipo di servizio può essere fornito esclusivamente da un prestatore di servizi fiduciari qualificati e garantisce con un elevato livello di sicurezza l’identificazione di mittente e destinatario prima della trasmissione dei dati. 

In merito ai dati trasmessi, l’invio e la ricezione sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato, in grado di escludere modifiche non rilevabili.

Qualsiasi modifica necessaria è chiaramente indicata al mittente e al destinatario; la data e l’ora di invio e ricezione e qualsiasi modifica sono indicate da una validazione temporale elettronica qualificata. 

I dati inviati e ricevuti tramite un SERCQ godono

  • della presunzione di integrità dell’invio da parte del mittente identificato e della ricezione da parte del destinatario identificato
  • della accuratezza della data e dell’ora dell’invio e della ricezione.

Se fino a qui appare evidente la differenza tra i due servizi, l’articolo 1, comma 1-ter) del decreto legislativo n. 82/2005 (Codice dell’amministrazione digitale – CAD) stabilisce che, “Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37) e 44 del Regolamento eIDAS”.

Ne deriva che, ai sensi dell’art. 1, comma 1-ter, del Codice dell’amministrazione digitale, l’equiparazione alla PEC sussiste per il servizio elettronico di recapito certificato qualificato.