Il crepuscolo della PEC: arriva la REM, ecco cos’è e come funziona – La PEC sta per scomparire, sarà sostituita dalla REM – Registered Electronic Mail, la cosiddetta “PEC europea”, riguardo alla quale non è ancora stata definita una data di migrazione per i gestori: approfondiamo la normativa, per capire quali cambiamenti ci aspettano.
Dopo un lungo ma indispensabile percorso la PEC sta per scomparire ma verrà immediatamente sostituita dalla cosiddetta PEC europea (il termine è comunicativo ma impreciso) che è la REM (Registered Electronic Mail). La posta elettronica certificata rappresenta il sistema storicamente più consolidato nell’ambito del governo elettronico. Nata nel 2005, fino ad oggi è rimasta pressoché identica a quella originale contrariamente alla sottoscrizione digitale che, pur essendo operativa dal 2001 ha subito molti adeguamenti compresi quelli susseguenti al Regolamento 910/2014 comunemente noto come eIDAS.
Nel seguito si descrive perché si è deciso di operare in questo modo, con quali normative e quali regole tecniche.
Tutto comincia con il decreto legge n. 135 del 14 dicembre 2018 che ha stabilito che, con un DPCM, sentita l’Agenzia per l’Italia Digitale (AgID) e il Garante per la protezione dei dati personali sono adottate le misure necessarie a garantire la conformità della PEC, normata nel Codice dell’Amministrazione Digitale (CAD) negli articoli 29 e 48, al Regolamento eIDAS. Il medesimo CAD stabilisce che (articolo 1, comma 1-ter) che
1-ter. Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37 e 44 del Regolamento eIDAS.
In contemporanea con l’entrata in vigore del citato DPCM, l’articolo 48 del CAD è abrogato e quindi, di conseguenza è abrogata la PEC. Per brevità non commentiamo quanto appena citato sul Regolamento eIDAS. Il Regolamento eIDAS ha introdotto i Servizi Elettronici di Recapito Certificato (SERC) come servizi fiduciari (trust services). Come tali, questi possono essere qualificati e devono esserlo per soddisfare i requisiti richiesti dal Legislatore italiano.
L’Agenzia per l’Italia Digitale (AgID) per attuare quanto stabilito nel decreto legge ha attivato un gruppo di lavoro (nel seguito GdL) al quale sono stati invitati tutti i gestori di PEC, l’associazione di riferimento sul tema che è AssoCertificatori e UNINFO. L’obiettivo di AgID era quello di stabilire regole tecniche tali da garantire l’applicazione dei vigenti standard emessi da ETSI con l’obiettivo indispensabile di implementare i requisiti obbligatori di queste specifiche ma anche quelli opzionali. L’obiettivo finale e cruciale era quello di assicurare l’interoperabilità del sistema. Un sistema postale senza interoperabilità è ovviamente inutile. All’interno degli standard ETSI sui SERC il GdL ha correttamente scelto di lavorare sul modello REM basato sui protocolli tradizionali di posta elettronica valutando anche le migliori modalità realizzative per ottenere l’equilibrio tra la consolidata PEC e la REM, al fine di minimizzare il numero di modifiche da attuare per la migrazione.
L’analisi fatta dal GdL sull’allora vigente standard ETSI sull’interoperabilità della REM (EN 532-4) ha evidenziato alcune criticità che hanno reso indispensabile l’aggiornamento dello stesso. In questo senso il GdL ha attivato, con il contributo di UNINFO, il gruppo competente in ETSI (Comitato Tecnico ESI). Il risultato in ETSI è stato quello di definire una base operativa denominata REM Baseline che trattiamo ulteriormente tra breve. ETSI ha anche attivato dei test di interoperabilità (denominati Plugtests) che hanno portato alla necessità di una serie di aggiornamenti atti a eliminare le criticità emerse nei test.
La versione finale della specifica standard EN 319 532-4 è numerata 1.2.1 e datata maggio 2022. La REM baseline è descritta e dettagliatamente definita nella clausola (clause) C.1 dello standard. L’approccio seguito è quello delle garanzie minime da assicurare per la formazione del messaggio, il suo instradamento, la sua integrità, il non disconoscimento e ovviamente, quanto necessario per collocarsi all’interno dell’ecosistema eIDAS come l’interazione con gli elenchi di fiducia (Trusted List) e l’applicazione dei riferimenti temporali (marche temporali).
I risultati di AgID
AgID ha pubblicato due documenti sui risultati del GdL:
- REM Services – Criteri di adozione standard ETSI – Policy IT
- Regole tecniche per i servizi di recapito certificato a norma del regolamento eIDAS n. 910/2014 – Criteri di adozione standard ETSI – REM-Policy-IT
I due documenti sono coordinati tra loro. Nel primo al quale è allegato un dettagliato documento tecnico e pratico, si descrivono la soluzione tecnica e l’approccio utilizzato rispetto ad essa. Nel secondo sono stabilite le regole tecniche di dettaglio (AgID non ha utilizzato lo strumento delle Linee Guida) con la descrizione delle politiche specifiche adottate in Italia, rispettose dell’approccio ETSI ma anche orientate alla “compatibilità all’indietro” con la PEC. I requisiti obbligatori sono di ragionevole applicazione per tutte le politiche operative comunitarie. Nella REM Baseline è esplicitamente indicato cosa è incluso e cosa è escluso. È possibile applicare requisiti addizionali ma a ben precise condizioni che evitano di sovrapporsi ad essa; si deve agire “a strati”. Questo meccanismo preserva l’interoperabilità generale e favorisce il colloquio con gli altri sistemi presenti negli Stati membri.
In precedenza abbiamo citato lo standard EN 319 532-4, ma questa specifica deve essere applicata insieme agli altri standard ETSI che sono ben undici (l’elenco è pubblicato nel documento delle regole tecniche a pagina 8). Visto l’aggiornamento dello standard sull’interoperabilità, ETSI ha previsto l’aggiornamento generale delle altre specifiche coinvolte soprattutto al fine di coordinare gli elementi descrittivi e operativi e coordinare il linguaggio adottato. Tutto ciò premesso vediamo quale è la situazione dei SERC qualificati a livello comunitario e cosa devono aspettarsi i milioni di titolari delle caselle di PEC (AgID a giugno 2022 comunica nelle sue statistiche che erano attive 14.414.551 caselle). Consultando il cruscotto eIDAS vediamo che alla data ci sono 35 prestatori di servizi elettronici di recapito certificato (QeRDS – Qualified electronic Registered Delivery Services) è l’acronimo europeo per questo servizio).
Cosa cambia per gli utenti
Molti di questi servizi utilizzano protocolli non postali (web service), al momento nessun prestatore utilizza gli standard ETSI aggiornati ma opera con i protocolli tipici della posta elettronica (SMTP/IMAP e S/MIME) ma anche con tecniche di instant messaging. Naturalmente la disponibilità di un insieme di standard aggiornati alle esigenze di interoperabilità è la base per lo sviluppo del sistema di scambi di messaggistica certificata. Un ottimo modo per applicare questa opportunità può essere l’integrazione dei SERC nei sistemi di gestione delle transazioni digitali (DTM) sempre più diffusi sul mercato.
Per l’utente PEC non ci dovrebbero essere impatti significativi per l’esperienza operativa. L’interfaccia utente dovrebbe rimanere identica, il diverso formato delle ricevute ha impatto sui sistemi di gestione e conservazione delle stesse, ma nulla di complicato. Un problema da gestire è quello dei sistemi di protocollo delle pubbliche amministrazioni, i fornitori non sempre sono tempestivi nelle modifiche. In questo caso dovranno esserlo. Comunque la ricevuta tra gestori è già interoperabile e le ricevute utente possono essere trattate all’inizio come un file che sostituisce un altro file. L’accesso al sistema richiede un doppio fattore di autenticazione per conformità con le norme comunitarie, ma questo vincolo è sempre più necessario per una adeguata sicurezza del sistema.
Da PEC a REM: quando fare la migrazione
Non è ancora ufficialmente definita una data di migrazione dei gestori di PEC. Le regole per la qualifica, in capo ad AgID, sono le stesse già utilizzate per l’emissione di certificati di firma, sigillo e le marche temporali e ovviamente per tutti i servizi fiduciari. Alla data è vigente il regolamento AgID del 23 giugno 2017 che prevede per il candidato alla qualifica un capitale sociale di 5 milioni di euro e non è coordinato con le precedenti e non più applicabili regole di accreditamento per i gestori PEC. Questi ultimi avevano il requisito minimo di un milione di euro.
AgID nell’ambito delle procedure di qualifica dei prestatori del servizio di REM (SERC), qualora intenda mantenere i livelli precedenti di capitale sociale, dovrà aggiornare il regolamento sopra citato.