La posta elettronica certificata è stata introdotta in Italia nel 2005: allora era un “unicum” perché fuori dai nostri confini altri Paesi non avevano sentito l’esigenza di dotarsi di uno strumento simile.
A distanza di 18 anni, la PEC continua a far registrare numeri da record: stando ai dati diffusi da AgID (Agenzia per l’Italia Digitale), nell’ultimo bimestre censito ad oggi (maggio-giugno 2022), erano attive quasi 14,5 milioni di caselle PEC. Un numero che mette in evidenza la forte richiesta di imprese, professionisti e cittadini: il numero di caselle PEC attive è infatti aumentato di circa l’8% rispetto allo stesso periodo dell’anno precedente con oltre un milione di caselle in più.
Insieme con le attivazioni, cresce anche l’utilizzo della PEC che viene sempre più spesso utilizzata, in luogo della raccomandata con ricevuta di ritorno, per le comunicazioni di lavoro, l’invio di materiale ai vari poli universitari, le comunicazioni con enti e Pubbliche Amministrazioni, la partecipazione a bandi e gare d’appalto, l’iscrizione a concorsi, disdette di contratti e così via. Non si contano, infatti, i molteplici casi di utilizzo.
Secondo AgID sono quasi 493 milioni i messaggi PEC scambiati nel bimestre preso in considerazione, il valore più alto mai registrato: un numero che equivale a un +12% rispetto all’anno precedente.
Con l’adesione allo standard REM (Registered Electronic Mail), la PEC si trasforma, subisce un importante processo evolutivo e diventa europea. Vediamo che cosa significa.
Come cambia la PEC in ottica europea
Nel corso di questi anni la PEC italiana è divenuta un vero e proprio punto di riferimento per imprese, professionisti e utenti privati.
Pur essendo uno strumento certificato, fino ad oggi la PEC non accertava in maniera inoppugnabile l’autenticità e l’integrità dei documenti trasmessi e non permetteva la verifica dell’identità del mittente e del destinatario.
In sede europea si stava lavorando da anni su un sistema condiviso che permettesse a cittadini e imprese di scambiarsi messaggi attraverso un servizio di recapito certificato qualificato superando le problematiche esistenti e aprendo alla massima interoperabilità tra gli Stati membri.
Nell’articolo sul funzionamento della PEC abbiamo visto che la soluzione italiana non soddisfaceva appieno i requisiti previsti dal Regolamento europeo eIDAS (Regolamento europeo per l’identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno); così dal 2018 si è iniziato a lavorare per arrivare a un’infrastruttura di comunicazione condivisa (Common Service Interface) e, successivamente, all’adesione allo standard REM per garantire l’interoperabilità tra Trust Service Provider in Europa (ovvero i fornitori di servizi come la PEC).
Un’infografica riassume tutti i principali passaggi che hanno fatto diventare la PEC interoperabile in Europa.
Aruba ha ormai raggiunto i 9 milioni di caselle PEC attivate confermandosi ad oggi leader di mercato in Italia.
Marco Mangiulli, CIO & Responsabile Sviluppo Software di Aruba, ha risposto alle nostre domande sul futuro della PEC e sulla nuova relazione stabilita con lo standard REM in ambito europeo.
Lo standard che rende la PEC interoperabile con le altre soluzioni implementate a livello europeo si chiama REM. Dal punto di vista della comunicazione, ritenete che gli attuali servizi PEC continueranno a chiamarsi così oppure è verosimile un cambio di denominazione?
Lo standard REM definisce il formato dei messaggi e delle ricevute e le specifiche tecniche che garantiscono l’interoperabilità tra i vari Trust Service Provider ma non modifica nella sostanza il funzionamento di base del servizio: di fatto è una PEC che si evolve per interoperare a livello europeo, ma il servizio resta quello che conosciamo, per cui ha senso continuare a parlare di PEC, anche se aggiornata per essere utilizzabile a livello europeo.
La “nuova PEC” prevede il riconoscimento dell’utente titolare della casella PEC stessa. Aruba ha attivato il riconoscimento con SPID, CIE, CNS e DVO. Questo vale per tutte le caselle PEC di nuova registrazione? Per gli utenti che già dispongono di una casella PEC, quando essi saranno chiamati a confermare la loro identità mediante riconoscimento?
Aruba propone l’identificazione certa del titolare della casella PEC a tutti i suoi clienti, senza distinzione tra vecchi e nuovi. Quindi, tutti i titolari di casella PEC – indipendentemente dal fatto che siano nuovi utenti o abbiano già il servizio attivo – hanno la possibilità di seguire un percorso guidato che consente gratuitamente di effettuare il riconoscimento come titolare della propria casella PEC, anticipando di fatto la futura obbligatorietà.
Sappiamo che nella sua attuale formulazione e implementazione, la PEC non certifica in maniera certa l’identità del mittente. Chi riceve una PEC come può sapere oggi e in futuro se l’email arriva da un utente la cui identità è stata verificata e quando, viceversa, la PEC arriva da un mittente la cui identità non è verificata?
Ad oggi non è prevista l’identificazione certa per il rilascio delle caselle PEC, dunque non c’è la certezza assoluta dell’associazione tra casella e titolare. I Gestori identificano i propri utenti ma non sono obbligati ad utilizzare strumenti di identificazione con i medesimi livelli di garanzia rispetto a quelli previsti per la PEC europea.
Esistono però degli elenchi pubblici, come l’Indice Nazionale degli Indirizzi di Posta Elettronica Certificata di imprese e professionisti (INI-PEC), all’interno dei quali l’associazione tra il titolare e la casella è garantita dal processo di “iscrizione” che prevede l’utilizzo di meccanismi di identificazione certa, quali ad esempio la firma qualificata.
Proprio in quest’ottica, la PEC europea introdurrà la soluzione definitiva a questa tematica, dal momento che ogni singolo titolare di casella sarà obbligatoriamente identificato al momento del rilascio della stessa. Avremo quindi la certezza assoluta dell’identità del titolare, indipendentemente dal fatto che sia un’impresa, una PA o un privato cittadino.
È previsto un meccanismo che consenta agli utenti di verificare l’identità del destinatario di un messaggio PEC già in fase di composizione dello stesso? Aruba lo fornisce o prevede di implementarlo in futuro?
Al momento anche gli standard europei non prevedono la possibilità di verificare in anticipo l’identità di un destinatario prima dell’invio del messaggio. Lo standard tra l’altro supporta la possibilità di inserire all’interno delle ricevute i dati identificativi dei titolari delle caselle, ma per ragioni di privacy al momento è stato scelto di non utilizzare tale possibilità.
La verifica dell’identità del mittente e del destinatario è realizzata attraverso le attività svolte dai Gestori, i quali identificano in maniera certa i rispettivi utenti e mantengono tutte le evidenze necessarie per certificare l’identità dei soggetti coinvolti nello scambio dei messaggi.
In attesa di ulteriori sviluppi su questo fronte, in Italia un ruolo fondamentale sarà giocato dall’INAD, l’Indice Nazionale dei Domicili Digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in Albi, elenchi o registri professionali o nel registro delle imprese, di cui all’art. 6-quater del CAD.
L’abilitazione dell’autenticazione a due fattori (2FA) diventa requisito imprescindibile per utilizzare la nuova PEC. Quali meccanismi 2FA ha previsto Aruba? Come verranno informati i clienti PEC sulla necessità di attivare 2FA? Come ci si comporterà nei confronti di coloro che non attivano 2FA? E come vengono gestiti gli accessi di coloro che utilizzano IMAP/SMTP per ricevere e inviare PEC?
Aruba ha previsto un meccanismo di autenticazione a due fattori basato su notifica push, simile a quello che molti utenti sono già abituati ad usare con i loro applicativi di home banking. Ciò significa che dopo un primo step di autenticazione tramite username e password, viene inviata al device associato alla casella PEC una notifica push in cui si chiede all’utente di confermare la volontà di procedere con l’autenticazione: questo è appunto il “secondo fattore”.
Se la notifica push per ragioni tecniche non viene ricevuta e/o confermata dall’utente, si attivano dei meccanismi di fallback quali l’inserimento di una OTP generata “manualmente” all’interno dell’app Aruba PEC o ricevuta tramite SMS al numero di telefono associato alla casella PEC.
Comunichiamo ai nostri clienti che questi strumenti a disposizione innalzano in maniera sostanziale la sicurezza e la protezione della propria casella.
Consapevoli del fatto che l’introduzione di ulteriori meccanismi di sicurezza spesso compromette l’usabilità, stiamo studiando ulteriori strumenti che consentiranno di rendere l’esperienza utente ancora più agevole, pur mantenendo le stesse garanzie a livello di sicurezza.
Chi non attiva questo tipo di autenticazione potrà ancora accedere alla propria casella finché, con l’adozione della nuova PEC europea, l’utilizzo di meccanismi di autenticazione a due fattori sarà obbligatorio per legge.
Sui tavoli di lavoro AgID per la definizione delle regole tecniche del nuovo servizio ci siamo fatti promotori dell’introduzione di un meccanismo che consente di preservare l’utilizzo dei client di posta tradizionali anche in presenza di autenticazione a due fattori abilitata. In particolare questo meccanismo prevede che l’utente, all’interno di una sezione specifica del portale di gestione della propria casella a cui si accede con autenticazione multi-fattore, potrà generare una password univoca, non duplicabile e con scadenza prestabilita, che potrà essere inserita nei client di posta al posto della password tradizionale.
Questo metodo, già utilizzato dai servizi di posta ordinaria di diversi operatori, consentirà di continuare a utilizzare i client di posta tradizionali fino a quando non saranno facilmente integrabili e fruibili gli stessi meccanismi di autenticazione utilizzati sui client web/mobile.
Sebbene certificato, la PEC italiana è da sempre stato un mezzo di comunicazione che non soddisfa appieno i requisiti previsti dal Regolamento per il servizio elettronico di recapito certificato qualificato fissati dal legislatore europeo. Con l’adozione dello standard REM, diventa quindi possibile trasmettere allegati via PEC senza preventiva apposizione di una firma digitale? Il documento sprovvisto di firma digitale non ha valore legale se preso da solo ma la acquista se inserito come allegato in una nuova PEC aderente allo standard REM. È corretto?
La PEC rispondeva già ai requisiti del servizio di recapito certificato qualificato europeo previsti dal regolamento eIDAS, eccetto che per due punti, ossia l’identificazione certa del mittente e del destinatario ed il meccanismo di autenticazione forte, entrambi ormai raggiunti.
Riguardo agli allegati, è bene fare chiarezza su cosa si intende per valore legale del documento informatico.
Mentre un sistema di recapito certificato come la PEC garantisce il processo di invio/ricezione dei messaggi e l’integrità dei dati trasmessi (compresi quindi gli allegati), la validità del singolo documento informatico e il soddisfacimento dei requisiti della forma scritta vengono garantiti solo dalla sottoscrizione con firma elettronica avanzata, qualificata o digitale da parte dell’autore del documento stesso. In altre parole, la firma elettronica del Gestore del servizio di recapito qualificato sui messaggi PEC garantisce e certifica la comunicazione e l’identità dei soggetti coinvolti, mentre la firma dell’autore del singolo documento ne attribuisce le caratteristiche di paternità, autenticità, integrità e immodificabilità che consentono di soddisfare i requisiti legali della forma scritta.
In sintesi, per rafforzare il valore legale di un allegato sarà sempre necessaria la firma dell’autore del documento. Non si esclude che i Gestori possano offrire dei servizi integrati che consentano di apporre una firma qualificata sull’allegato prima di inserirlo in un messaggio PEC ed inviarlo.
Qual è la data di migrazione definitiva da PEC a REM per i fornitori di servizi fiduciari (trust services)?
Fermo restando che non si tratta di una migrazione, ma di un’evoluzione in termini di interoperabilità europea, la data verrà stabilita da un DPCM che dovrebbe arrivare nei prossimi mesi.
Da quello che si legge all’interno dell’ultimo aggiornamento del Piano Triennale per l’Informatica nella Pubblica Amministrazione, la migrazione definitiva potrebbe avvenire a metà 2024.