Il futuro europeo della PEC: necessarie nuove regole tecniche
Una dozzina di sistemi simili alla Pec italiana opera
negli Stati membri dell’UE, ma questi non sono interoperabili tra loro. I servizi RED
introdotti dall’eIDAS possono colmare questo vuoto operativo e la PEC non è
tagliata fuori da queste evoluzioni, se il sistema Italia saprà giocare le
proprie carte
23 Dicembre 2015
Giovanni Manca, esperto di dematerializzazione e sicurezza ICT - Advisory Board Anorc
Una peculiarità dei procedimenti digitali nazionali è la posta elettronica certificata. Essa ha raggiunto i 10 anni di esistenza normativa e tecnologica e significativi numeri di utilizzo che riporteremo nel seguito. La frase ad effetto “la PEC è solo italiana” ha spesso indotto a una valutazione negativa sullo strumento che, invece, dopo qualche difficoltà nell’avvio e una fallita iniziativa governativa su una tipologia di PEC “alternativa” viene sempre di più utilizzato.
Ma adesso un Regolamento europeo introduce i servizi elettronici di recapito certificato mediante il cosiddetto eIDAS , normativamente identificato come n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2104. Questo Regolamento è “ in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE ”. Questi servizi identificati in inglese come Registered Electronic Delivery (RED) si affiancano alla PEC che nel breve periodo dovrà coordinarsi con essi. E’ infatti impensabile che sistemi simil-PEC in Europa (ci sono una dozzina di soluzioni di simil-PEC, prevalentemente non interoperabili tra loro) rimanga isolato nei singoli Stati membri.
Nel presente articolo si analizzano in modo sintetico le specifiche norme stabilite nell’eIDAS sui servizi di recapito certificato . Inoltre si ipotizza uno scenario di coordinamento tra le possibili varie ipotesi di tecnologie RED e la ben consolidata realtà della PEC.
La PEC ha il suo primo specifico provvedimento normativo mediante il DPR 11 febbraio 2005, n. 68 recante “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della Legge 16 gennaio 2003, n. 3”. In esso la PEC viene definita come “ ogni sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l’invio e la consegna di documenti informatici”. Le regole tecniche sono contenute nel Decreto Ministeriale 2 novembre 2005 recante “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”. Numerosi sono stati gli interventi normativi sulla PEC, sugli obblighi di disponibilità di una casella e sul suo utilizzo in specifici scambi di dati telematici. Essi sono fuori dallo scopo del presente articolo.
E’ comunque utile ricordare che in base alle statistiche pubblicate da AgID , risulta che sono attivi un numero di domini di posta ampiamente superiore alle 200.000 unità; le caselle di PEC oscillano intorno agli 8 milioni e i messaggi scambiati hanno più volte superato nel periodo di rilevazione più recente la soglia dei 200 milioni. La PEC è matura e utilizzata, ma l’arrivo dei servizi RED previsti da eiDAS può influenzare lo scenario nazionale? Lo vediamo nel paragrafo successivo.
I servizi elettronici di recapito certificato
Nelle definizioni dell’eIDAS i servizi elettronici di recapito certificato sono definiti come “ un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;”
Se si intende offrire servizi di recapito di maggior qualità e sicurezza, questi possono essere qualificati in conformità a quanto stabilito nell’articolo 44 di eIDAS.
I servizi elettronici di recapito certificato hanno comunque degli effetti giuridici a livello degli Stati membri della UE in conformità all’articolo 43 dell’eIDAS.
- Ai dati inviati e ricevuti mediante un servizio elettronico di recapito certificato non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della loro forma elettronica o perché non soddisfano i requisiti del servizio elettronico di recapito certificato qualificato.
- I dati inviati e ricevuti mediante servizio elettronico di recapito certificato qualificato godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate nel servizio elettronico di recapito certificato qualificato.
Come già detto i requisiti per i servizi elettronici di recapito certificato qualificati sono stabiliti nell’articolo 44 di eIDAS.
- I servizi elettronici di recapito certificato qualificati
soddisfano i requisiti seguenti:
a) sono forniti da uno o più prestatori di servizi fiduciari qualificati;
b) garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
c) garantiscono l’identificazione del destinatario prima della trasmissione dei dati;
d) l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
e) qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
f) la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.
Qualora i dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti di cui alle lettere da a) a f) si applicano a tutti i prestatori di servizi fiduciari qualificati. - La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di invio e ricezione dei dati. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il processo di invio e ricezione dei dati risponda a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Una semplice lettura del testo della norma evidenzia che i servizi RED e la PEC si assomigliano, ma non sono esattamente la stessa cosa. Quindi la PEC dovrà aggiornare le proprie regole tecniche per essere candidata ad essere compresa nel servizi RED. E’ utile fare una piccola analisi di come la PEC può essere conforme all’eIDAS.
La PEC può essere conforme all’eIDAS
Il primo requisito è nell’elevato livello di sicurezza nell’identificazione del mittente. La regola per individuare un livello di garanzia elevato la troviamo nell’articolo 8, paragrafo 2, lettera c) e nel relativo Regolamento di esecuzione 2015/1502 della Commissione dell’8 settembre 2015 .
Il servizio RED garantisce l’identificazione del destinatario prima della trasmissione dei dati. Anche le lettere d), e) richiedono aggiustamenti al sistema delle ricevute PEC. Gli elementi temporali dei servizi RED devono utilizzare meccanismi di validazione temporale elettronica qualificata ovvero quanto stabilito nell’articolo 42 dell’eIDAS. Ma oltre a quanto appena sinteticamente indicato ovvero l’adattamento evolutivo della PEC, è possibile utilizzare uno standard ETSI (peraltro anch’esso in evoluzione verso eIDAS) denominato TS 102 640 e composto di 5 parti documentali. Esso standardizza la Registered Electronic Mail (REM) e secondo le ipotesi della Commissione rappresenta il modello di riferimento per i servizi RED.
La REM è un sistema di posta elettronica estremamente sofisticato e complesso che è definitiva nella prima parte dello specifica TS 102 640 come:
enhanced form of mail transmitted by electronic means (e-mail) which provides evidence relating to the handling of an e-mail including proof of submission and delivery.
Una descrizione anche sintetica della REM è ampiamente fuori dagli scopi del presente articolo, ma è utile evidenziare che PEC e REM non sono distanti anni luce e una loro convivenza e interoperabilità è possibile. E in base a delle valutazioni specialistiche al momento non disponibili pubblicamente, la differenza operativa tra un sistema REM ed uno PEC è in termini globali di circa il 20% almeno sugli aspetti prevalenti e cruciali per l’interoperabilità.
Conclusioni
La PEC italiana è una particolare realizzazione tecnologica, di un sistema elettronico di raccomandata con ricevuta di ritorno. Un’altra dozzina di sistemi simili opera negli Stati membri dell’UE. Questi sistemi sviluppati nell’ambito delle legislazioni nazionali non sono interoperabili tra loro. I servizi RED introdotti dall’eIDAS possono colmare questo vuoto operativo e la PEC non è tagliata fuori da queste evoluzioni, se il sistema Italia saprà giocare le proprie carte di esperienza pregressa sui tavoli comunitari giusti. In ogni caso, stante il ruolo che la Commissione ipotizza per i sistemi REM, la PEC può coesistere con quest’ultima senza sforzi tecnologici e organizzativi gestibili senza sforzi complessi.
Altri sistemi tecnologici alternativi alla REM sono ipotizzabili e chi volesse approfondire può leggere il documento ETSI SR 019 530 ” Rationalised framework of Standards for Electronic Delivery Applying Electronic Signatures – 2013″.