In questo articolo ci concentriamo su un tema di primaria importanza e di grande attualità, con degli importanti aggiornamenti all’orizzonte. Si tratta di partire da questioni tecniche e legislative, che però hanno un impatto quotidiano decisivo sulle vite di tutti noi: sia come privati, che come aziende. Ci riferiamo al Servizio elettronico di recapito certificato qualificato (SERCQ).
È bene partire, dunque, dall’inquadramento relativo alle regolamentazioni vigenti; lo faremo già nel prossimo paragrafo. Vedremo poi le differenze tra SERCQ (Servizio elettronico di recapito certificato qualificato) e SERC (Servizio elettronico di recapito certificato). Con un focus successivo su quel che riguarda la PEC, che costituisce una specificità dell’ecosistema digitale e legislativo italiano. Attenzione, perché in questo campo sono in arrivo importanti novità, tutte volte a inserire la PEC all’interno di standard europei unificati.
Procediamo, dunque, con ordine.
Servizio elettronico di recapito certificato qualificato – il suo inquadramento nell’eIDAS
Partiamo dal definire un’altra sigla che, in realtà, sta a monte di tutti i nostri discorsi: l’eIDAS (electronic IDentification, Authentication and trust Services) è il regolamento europeo 910/2014 che si concentra sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno.
Dunque, l’eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni dell’Unione europea. Inoltre, eIDAS si occupa della sicurezza, della trasparenza e dell’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico. Tra le altre cose, questo regolamento ha introdotto il Servizio elettronico di recapito certificato (SERC) e il Servizio elettronico di recapito certificato qualificato (SERCQ).
Le due sigle possono trarre in inganno e creare confusione. Bisogna invece prestare molta attenzione: tra i due sistemi ci sono, infatti, delle differenze decisive, con degli impatti decisivi a livello giuridico e burocratico più in genere.
A riguardo, gli articoli che ci interessano sono il 43 e il 44, che riportiamo qui di seguito nella loro trascrizione integrale:
- Articolo 43: Effetti giuridici di un servizio elettronico di recapito certificato
1. Ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico di recapito certificato qualificato.
2. I dati inviati e ricevuti mediante servizio elettronico di recapito certificato qualificato godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio elettronico di recapito certificato qualificato.
- Articolo 44: Requisiti per i servizi elettronici di recapito certificato qualificati
1. I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti:
a) sono forniti da uno o più prestatori di servizi fiduciari qualificati;
b) garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
c) garantiscono l’identificazione del destinatario prima della trasmissione dei dati;
d) l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
e) qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
f) la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.
Qualora i dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti di cui alle lettere da a) a f) si applicano a tutti i prestatori di servizi fiduciari qualificati.
2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di invio e ricezione dei dati. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il processo di invio e ricezione dei dati risponda a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Le differenze tra Servizio elettronico di recapito certificato (SERC) e Servizio elettronico di recapito certificato qualificato (SERCQ)
Eccoci a un punto delicato e importante, quello che riguarda le differenze tra SERC e SERCQ. Il regolamento eIDAS che abbiamo riportato appena sopra è esaustivo a riguardo. Però sintetizziamo il tutto qui di seguito, in maniera netta e chiara.
Il SERC consente la trasmissione di dati fra terzi per via elettronica, fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate. Inoltre, soddisfa i principi richiesti di “accuratezza della data e dell’ora dell’invio e della ricezione”.
Quello che manca al SERC sono le garanzie, con elevati livelli di sicurezza, dell’identificazione del mittente, innanzitutto. E poi del destinatario, nelle fasi precedenti alla trasmissione dei dati.
E sono proprio queste le caratteristiche e gli standard garantiti, invece, dal Servizio elettronico di recapito certificato qualificato (SERCQ). Nel contesto dell’Unione europea i sistemi SERC e SERCQ sono ormai molto diffusi, a tutti i livelli. L’Italia, in questo senso, costituisce un’anomalia.
Attualmente, nel nostro paese abbiamo unicamente la PEC. La legislazione italiana, però, già ammette l’utilizzo di servizi SERCQ: tradotto, è solo una questione di tempo, prima che si diffondano ampiamente anche da noi. Prepararsi a tutto questo con anticipo, quindi, può costituire un importante vantaggio competitivo.
Attenzione, inoltre, a quest’altro aspetto. Ci sono delle importanti evoluzioni all’orizzonte proprio sul fronte della PEC, che potrebbe presto adeguarsi agli standard SERCQ. Ve ne parliamo nel prossimo paragrafo.
Il futuro della PEC punta verso il SERCQ
La PEC (Posta Elettronica Certificata) la conosciamo tutti. È uno strumento ormai di uso quotidiano, per una gran fetta di professionisti e non solo. Secondo gli ultimi dati disponibili, gli indirizzi PEC attivi sono oltre 14 milioni; mentre, nel 2016, ci si fermava a una cifra tra i 7 e gli 8 milioni.
Semplificando, si può dire che la PEC corrisponde alla vecchia raccomandata con avviso di ricevimento; e, come abbiamo sottolineato sopra, è una peculiarità tutta italiana che però si sta adeguando agli standard europei. Ma procediamo con ordine.
Quel che è certo è che la PEC può essere considerata un Servizio Elettronico di Recapito Certificato (SERC), in quanto soddisfa i requisiti fissati nell’articolo 43 del regolamento eIDAS che abbiamo riportato sopra. Attenzione, però: non può essere considerata Servizio elettronico di recapito certificato qualificato (SERCQ).
Il discrimine, infatti, è quello che abbiamo già isolato poco sopra: le garanzie su mittente e destinatario. In particolare, allo stato attuale, non è prevista la verifica certa dell’identità del richiedente della casella di PEC. Inoltre, non è nemmeno previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati.
Ecco spiegato il motivo per cui lo spam e alcune truffe talvolta fanno capolino anche nell’inbox delle caselle mail certificate: la PEC ha delle procedure più semplificate (dunque meno sicure) per l’identificazione dei soggetti richiedenti (più leggere e aggirabili, ad esempio, di quelle previste per lo SPID).
La buona notizia, però, è che la PEC non resta immobile. Da tempo si discute della sua evoluzione, e il percorso pare già ben segnato, in direzione dell’inserimento di questo strumento tra i Servizi elettronici di recapito certificato qualificato.
Le sigle da tenere presente, in questo percorso, sono due ETSI e REM. ETSI è l’acronimo di European Telecommunications Standards Institute. Si tratta dunque degli standard dedicati all’interoperabilità a livello di Unione Europea dei sistemi di firma digitale e dei sistemi REM. Ed ecco il nostro secondo acronimo: Registered Electronic Mail.
Nei protocolli REM rientra già ora, appunto, anche la PEC italiana. Senza perderci in un eccesso di tecnicismi, basti sapere che c’è un gruppo di lavoro costituito nel 2019 tra l’Agenzia per l’Italia Digitale, i gestori PEC, Uninfo e Assocertificatori che ha da poco messo a punto le regole tecniche necessarie a rendere a far “salire di grado” la PEC,adottate il 9 agosto 2022, in modo che possa essere conforme agli standard europei richiesti per il Servizio elettronico di recapito certificato qualificato (SERCQ).
Questo per evitare la creazione di strumenti alternativi; soppiantare uno strumento così ampiamente diffuso e utilizzato come la PEC, infatti, sarebbe un’operazione lenta, molto poco efficiente e sicuramente anti-economica.
Oltre gli adempimenti – le opportunità di una digitalizzazione matura
Quando si parla di digitalizzazione, di identità digitale, di sistemi di autenticazione e di certificazione non bisogna mai dimenticarsi questo: non si tratta solo di adempimenti, ma di opportunità da cogliere.
Ci sono innanzitutto i grandi vantaggi in termini di sicurezza, trasparenza, comodità, incremento dell’efficienza. Ma c’è una parola chiave ulteriore da tenere sempre ben presente: integrazione. Una parola chiave che è assolutamente decisiva quando dall’ambito dei privati ci si sposta in quello delle aziende. .
Insomma, una vera e propria rivoluzione, che si trasforma in una spirale di ottimizzazione continua!
