La Posta Elettronica Certificata (PEC) in Italia garantisce alle e-mail la stessa validità giuridica della raccomandata con ricevuta di ritorno, assicurando integrità e inalterabilità dei messaggi e allegati. L’Italia è pioniera in Europa nel settore PEC, dove ancora esistono differenze tra i Paesi Membri. Una PEC valida in tutta Europa permetterebbe comunicazioni sicure tra cittadini, aziende e Pubbliche Amministrazioni dell’Unione Europea.
Per comprendere l’evoluzione della PEC, inizialmente sviluppata in Italia e ora utilizzata da tutti gli Stati Membri dell’Unione Europea, è necessario familiarizzare con due sigle importanti: il regolamento eIDAS e lo standard ETSI.
L’ETSI (European Telecommunications Standards Institute) è un organismo internazionale fondato nel 1988, incaricato di definire e emettere gli standard per le telecomunicazioni, inclusi quelli via e-mail, in Europa. Il regolamento eIDAS (electronic IDentification Authentication and Signature), emanato nel 2014, ha l’obiettivo di fornire una base normativa comune a livello europeo per i “servizi fiduciari” e i sistemi di identificazione elettronica.
Lo strumento scelto per migliorare l’interoperabilità della PEC a livello internazionale e aumentare la sicurezza delle comunicazioni transfrontaliere sarà REM (Registered Electronic Mail). Questo termine tecnico si riferisce alla PEC valida in Europa, rappresentando un’evoluzione del servizio PEC attuale. La PEC europea condividerà molte caratteristiche con la PEC tradizionale, ma avrà anche specificità che conferiranno al servizio un valore aggiuntivo.
Ma che cos’è la REM?
La REM è uno standard definito dall’ETSI (European Telecommunications Standards Institute) per la posta elettronica registrata, simile alla raccomandata elettronica. Un servizio di posta elettronica deve seguire questo standard per essere classificato come servizio elettronico di recapito certificato (SERC) o qualificato (SERCQ).
Per comprendere meglio cosa sia la REM e quali siano i suoi rapporti con la PEC, è necessario richiamare la differenza tra SERC e SERCQ. Entrambi sono servizi elettronici di recapito, ma con delle differenze definite dall’art. 3 del Regolamento (UE) n. 910/2014 “eIDAS”:
- il SERC (Servizio elettronico di recapito certificato) è un servizio che consente la trasmissione di dati fra terzi per via elettronica, che fornisce prove relative al trattamento dei dati trasmessi (fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati) e che protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;
- il SERCQ (servizio elettronico di recapito qualificato certificato) è un SERC che, in più, rispetta gli ulteriori requisiti dettati dall’art. 44 del medesimo Regolamento “eIDAS”.
La PEC italiana, nella forma tradizionale, è un SERC ma non un SERCQ, poiché non certifica l’identità di mittente e destinatario. Non riconosciuta dagli altri Stati UE, ha validità legale solo in Italia.
Per garantire l’uso della PEC in conformità con la normativa europea per i SERCQ, il Regolamento eIDAS ha introdotto lo standard REM (Registered Electronic Mail), un protocollo di posta elettronica che soddisfa i requisiti del “servizio elettronico di recapito certificato qualificato”.
Riassumendo i requisiti perché la PEC sia valida anche in Europa sono i seguenti:
- la certezza a valore legale dell’invio e della consegna (o mancata consegna) delle e-mail al destinatario;
- l’attestazione temporale dell’invio e ricezione dei messaggi;
- la garanzia di integrità del contenuto per la quale dovrà essere possibile prevenire o individuare qualsiasi modifica non autorizzata ai dati trasmessi;
- l’erogazione del servizio da parte di gestori accreditati, o per meglio dire nel lessico europeo “da uno o più prestatori di servizi fiduciari qualificati”;
- standard aperti per garantire che l’insieme dei partecipanti alla REM possa incrementare nel tempo e diffondersi in modo più capillare sul territorio.
- l’identificazione certa dei soggetti tramite meccanismi di autenticazione affidabili e standard di sicurezza rafforzati con ulteriori livelli di controllo e autorizzazioni specifiche per l’accesso e la gestione del servizio (questa è la novità rispetto ai punti sopra elencati).
I gestori delle PEC hanno già messo a disposizione dei loro clienti due semplici procedure per rendere la propria PEC conforme agli standard europei.
Infatti, il processo di adeguamento ai requisiti previsti dal Regolamento “eIDAS” comporta, per i provider, lo sviluppo di nuove piattaforme informatiche, evolvendo la PEC verso i SERCQ conformi alla normativa “eIDAS”. Per gli utenti che già utilizzano la PEC, questo si traduce in una migrazione verso tali nuovi servizi tramite pochi clic. Questi servizi offrono ulteriori vantaggi rispetto al tradizionale servizio PEC, tra cui la verifica dell’identità del titolare della casella e un livello aggiuntivo di sicurezza all’accesso grazie alla doppia autenticazione (verifica in due passaggi).
La procedura da utilizzare per procedere al passaggio della PEC valida anche a livello europeo è semplice ed è composto da 2 passaggi:
- Conferma dell’identità: Il riconoscimento deve avvenire tramite SPID, Firma Digitale, CNS, CIE o webcam in modo da garantire l’identificazione del titolare.
- Attivazione della Verifica in 2 passaggi: per un livello di acceso con una protezione superiore rispetto a username e password per l’accesso alla tua casella PEC.
Tutto questo oltre a garantire che la tua PEC sia pronta a rispettare gli standard europei garantisce anche:
- Attendibilità del mittente: L’identità del titolare è garantita dal processo di riconoscimento.
- Sicurezza nell’accesso: Caselle ancora più sicure con la verifica in 2 passaggi all’accesso.
In conclusione, si precisa che le nuove caratteristiche tecniche aggiuntive per le caselle PEC previste dagli standard europei sono:
- Dati che certificano legalmente che i messaggi sono conformi agli standard europei;
- Intestazioni aggiuntive (header) in tutti i messaggi di posta;
- Estensione della validità dei messaggi a 30 anni (La normativa prevede una validazione temporale elettronica qualificata di almeno 20 anni).
AUTORE: Francesco Costa
