La posta elettronica certificata o PEC è nata nel 2005 con la pubblicazione di un Decreto Ministeriale che ne definiva le regole tecniche. Non è utilizzata solamente in ambito business: gli utenti privati che se ne servono sono infatti in continua crescita. Basti pensare che già nel 2020, stando ai dati pubblicati da Aruba, il 43% di tutti gli utenti PEC erano persone fisiche.
Abbiamo già visto come funziona la PEC, quali garanzie offre e cosa non permette di ottenere. Un aspetto importante, infatti, è quello legato alla mancata certificazione dell’identità del mittente: i gestori PEC non sono chiamati a verificare l’identità di chi attiva una casella di posta elettronica certificata come invece avviene nel caso di SPID, per esempio.
Inoltre gli allegati a un messaggio PEC possono essere valutati in sede di giudizio come privi di sottoscrizione a meno che l’utente non decida di apporre anche la sua firma digitale.
Diversamente da ciò che ritengono in molti, la PEC non accerta in maniera inoppugnabile l’autenticità e l’integrità dei documenti trasmessi e deve essere quindi considerata come un mezzo di comunicazione, sebbene sia certificato. Come ricorda AgID, la PEC – nell’attuale implementazione rimasta sostanzialmente invariata dal 2005 – non soddisfa appieno i requisiti previsti dal Regolamento per il servizio elettronico di recapito certificato qualificato e fissati dal legislatore europeo.
Il Regolamento eIDAS (Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno ha introdotto i Servizi Elettronici di Recapito Certificato (SERC) come servizi fiduciari (trust services). Negli ultimi anni, quindi, un gruppo di lavoro si è occupato di individuare una base operativa comune e, in Italia, mettere a fuoco le modalità per il passaggio dalla PEC a un nuovo sistema di recapito certificato qualificato.
AgID in particolare ha provveduto a recepire l’applicazione degli standard individuati da ETSI, Istituto europeo per le norme di telecomunicazione, definendone i criteri di adozione e redigendo le regole tecniche per i servizi di recapito certificato a norma del regolamento eIDAS.
Per farla breve, lo strumento che colma le lacune della PEC, alle quali abbiamo brevemente fatto riferimento in apertura, si chiama REM (Registered Electronic Mail). La PEC diventa interoperabile a livello europeo offrendo una serie di garanzie aggiuntive. Come abbiamo più volte evidenziato, infatti, la PEC era ed è un “unicum” italiano: con REM i Paesi membri dell’Unione Europea possono invece affidarsi a un sistema aperto che offre metodi di verifica semplici, punti di accesso e regole chiari in termini di interoperabilità.
Un’interfaccia tecnologica condivisa chiamata CSI (Common Service Interface) permette il dialogo sicuro tra i gestori di servizi di recapito qualificato mentre REM in sé utilizza firme digitali e marche temporali per individuare “cosa” viene incrociato/condiviso tra i sistemi.
La buona notizia è che il lavoro svolto con la PEC non viene cestinato. Anzi, può essere considerato come parte di un percorso virtuoso verso la migrazione alla REM. Come ci raccontava Aruba già a giugno 2022, il passaggio da PEC a REM sarà “indolore” per tutti gli utenti: chi ha un account PEC attivo dovrà seguire il percorso di migrazione della propria utenza previsto dal gestore poiché adesso vi sarà il passaggio in più della verifica e della certificazione dell’identità.
Sul lato utente l’interfaccia per l’utilizzo della REM dovrebbe rimanere la stessa dell’attuale PEC (con l’aggiunta dell’obbligo circa l’attivazione dell’autenticazione a due fattori): ciò che cambia sono, a monte, le interconnessioni con il sistema CSI e la puntuale adozione delle nuove regole tecniche da parte dei singoli gestori.
Ad ogni modo, allo stato attuale non risulta ancora fissata una data per la migrazione da PEC a REM: si sa solamente che i prestatori di servizi fiduciari basati su REM dovranno avere un capitale sociale di 5 milioni di euro contro il milione di euro dell’attuale PEC.