PEC mail interoperabile a livello europeo: cosa significa e cosa cambia

Con oltre 13 milioni e 900 mila caselle attive alla fine del 2021, la PEC (posta elettronica certificata) ha ricoperto un ruolo trainante riuscendo a dare vita ad un sistema di comunicazione destinato a cambiare e migliorare le abitudini di un gran numero di utenti. Tra i principali meriti della PEC quello di incentivare il processo di dematerializzazione documentale, l’abbandono della carta, di far risparmiare tempo con la riduzione degli spostamenti e contribuire a ridurre le emissioni di CO₂.

Abbiamo visto cos’è la PEC e come funziona spiegando che troppo stesso l’attuale implementazione non veniva considerata come un semplice strumento di comunicazione. La PEC, così come utilizzata fino ad oggi, non verifica in modo certo l’identità del richiedente e quindi dei mittenti di ciascun messaggio.

L’identificazione certa dei mittenti e dei destinatari, la certificazione dell’integrità del contenuto delle comunicazioni, l’opponibilità verso terzi della data/ora d’invio e dell’avvenuto invio/ricezione dei messaggi sono infatti i punti sui quali la PEC attuale fallisce e che sono stati presi in esame per far diventare la PEC interoperabile a livello europeo.

AgID, Agenzia per l’Italia Digitale, e i Gestori di Posta Elettronica Certificata riuniti in AssoCertificatori hanno annunciato che si è concluso con successo il processo di definizione e pubblicazione del nuovo standard ETSI EN 319 532-4: tale risultato rende effettiva l’interoperabilità della PEC a livello europeo come sistema di eDelivery qualificato.

Il nuovo standard ETSI, adesso ufficialmente approvato, contiene le specifiche degli elementi chiave che costituiscono un’interfaccia tecnologica condivisa (CSI, Common Service Interface): essa consente finalmente il dialogo sicuro tra i Gestori di servizi di recapito qualificato e, di conseguenza, anche quello tra cittadini e imprese e enti governativi degli Stati membri: vengono infatti certificate le identità dei possessori di un indirizzo di posta certificata, ovunque risiedano nella UE, l’integrità del contenuto nonché data e ora d’invio e ricezione dei messaggi. Tutte cose che finora non era possibile fare.
La PEC italiana può quindi evolversi in un sistema di recapito elettronico certificato qualificato utilizzabile anche a livello europeo per lo scambio sicuro di comunicazioni elettroniche dal valore probatorio.

Il Regolamento eIDAS (Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno) prevedeva infatti che l’evoluzione della precedente implementazione in una PEC aggiornata basata sull’utilizzo dei servizi REM (Registered Electronic Mail).

Questi ultimi forniscono la massima interoperabilità e nel caso della PEC contribuiscono ad aprire l’utilizzo di questa soluzione in ambito transfrontaliero.
REM è infatti un sistema “non chiuso”, che offre metodi di verifica semplici, punti di accesso e regole chiari in termini di interoperabilità.
Se da un lato CSI permette di rispondere all’esigenza sul “come” rendere interoperabile un sistema di messaggistica email qualificato e certificato, REM fa uso di firma digitale e marche temporali per individuare “cosa” viene incrociato/condiviso tra i sistemi.

“L’Italia ha rappresentato il cuore pulsante di questa importante iniziativa, al cui servizio ha messo la sua riconosciuta competenza nella Posta Elettronica Certificata, un modello di successo in tutta Europa“, ha commentato Carmine Auletta, Presidente di AssoCertificatori. “Il contributo di tutti i Gestori italiani coinvolti è risultato determinante non solo per l’elevato livello di professionalità e impegno fornito, ma anche per lo spirito collaborativo e la capacità di fare squadra per il raggiungimento di un simile traguardo. È una pietra miliare nell’evoluzione dell’ecosistema digitale comunitario e conferma la leadership del nostro Paese nella trasformazione digitale e nei Trust Services“.
Assocertificatori è l’associazione senza fini di lucro che raccoglie i principali certificatori accreditati e operanti in Italia per il rilascio di firma digitale e posta elettronica certificata, nonché per l’erogazione di servizi di conservazione digitale a norma: Aruba, Consiglio Nazionale del Notariato, Intesa, InfoCert, Namirial, Poste Italiane, Sielte e Telecom Italia Trust Technologies.

Quali sono i passaggi successivi: per le attuali PEC dovrà essere certificata l’identità del titolare?

Ora che la PEC europea è stata approvata, quali sono i prossimi passaggi che interesseranno gli utenti italiani possessori di un recapito di posta elettronica certificata? Lo abbiamo chiesto a Marco Mangiulli, CIO di Aruba.

IlSoftware.it: come abbiamo visto nel nostro articolo, AgID scriveva che per l’attuale servizio PEC non è prevista la verifica certa dell’identità del richiedente. Inoltre non è previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati.

Marco Mangiulli (Aruba): Sì, l’identificazione certa del titolare non è un requisito dell’attuale servizio PEC.
La PEC attuale, inoltre, a differenza della futura REM, non è un servizio eIDAS, pertanto non è prevista la verifica di conformità da parte degli organismi designati. AgID gestisce comunque le attività previste dall’attuale quadro normativo: 1) definisce le regole tecniche e provvede al loro aggiornamento; 2) gestisce l’iscrizione e l’elenco dei gestori di posta elettronica certificata; 3) vigila e controlla le attività esercitate dai gestori iscritti nell’elenco.

IlSoftware.it: Con la conclusione del processo di definizione e pubblicazione del nuovo standard ETSI EN 319 532-4, il quadro è destinato a cambiare. Il nuovo servizio PEC interoperabile a livello europeo che certifica cose come identità del mittente e del destinatario, contenuto delle comunicazioni, data/ora e opponibilità verso terzi sarà disponibile per tutti coloro che già dispongono di un account PEC attivo?

M. M.: L’iter per giungere al nuovo servizio PEC interoperabile a livello europeo prevede un percorso di transizione che consentirà di migrare sia le piattaforme che le utenze. Chi ha un account PEC attivo dovrà seguire il percorso di migrazione della propria utenza previsto dal proprio gestore.
I dettagli in merito alle modalità di adeguamento verranno condivisi a breve.

IlSoftware.it: Il gestore dovrà verificare l’identità di ciascun utente in possesso di una casella PEC?

M.M.: Sì, l’identificazione certa dei titolari delle caselle è un requisito fondamentale.