Era il 2005 quando la PEC (Posta Elettronica Certificata) iniziava a essere utilizzata come sistema di posta elettronica con valenza legale. Da allora è stata garanzia di informazioni certe con cui si è riusciti a rendere più fluidi e veloci scambi e comunicazioni ufficiali, sia di carattere amministrativo che commerciale. Così è stato, almeno fino ad oggi!
Negli anni la PEC ha subito diversi adeguamenti, compresi quelli che si sono susseguiti dal 2016 con il Regolamento eIDAS. Nato in seno all’Unione Europea, il Regolamento eIDAS stabilisce come le interazioni elettroniche tra le imprese possano essere più sicure, più rapide ed efficienti, indipendentemente dal paese europeo in cui si svolgono.
Proprio in base al Regolamento eIDAS e a quanto disciplinato in particolare dall’articolo 44, la PEC risulta “manchevole”di un aspetto necessario per tutelare gli scambi elettronici di dati, anche dal punto di vista probatorio.
La PEC, infatti, risponde ai requisiti eIDAS come servizio elettronico di recapito certificato, ma non a quelli di servizio qualificato.
Cosa significa? Ad esempio con la PEC si ha certezza del mittente, ma non del titolare dell’indirizzo PEC utilizzato.
Cosa dice l’articolo 44
Articolo 44 - Requisiti per i Servizi Elettronici di Recapito Certificato Qualificati (SERCQ)
I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti:
- sono forniti da uno o più prestatori di servizi fiduciari qualificati
- garantiscono con un elevato livello di sicurezza l'identificazione del mittente
- garantiscono l'identificazione del destinatario prima della trasmissione dei dati
- l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato, in modo da escludere la possibilità di modifiche non rilevabili dei dati
- qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al
mittente e al destinatario dei dati stessi - la data e l'ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata
Che cos’è la REM
La REM (Registered electronic mail), detta anche PEC europea, è uno standard ETSI che risponde ai dettami dell'articolo 44 del regolamento elDAS. ETSI (Electronic Signature and Infrastructures) è l’organismo europeo che si occupa della definizione degli standard internazionali nel campo delle telecomunicazioni. Ha prodotto standard come GPRS, GPS ed è a lui che il Consiglio Europeo ha affidato il compito di lavorare sui servizi di recapito.
La REM definisce una soluzione basata sugli standard di posta elettronica ed è simile alla PEC, di cui ne è evoluzione e non integrazione. Evoluzione, perché la REM sarà uno standard internazionale e favorirà l'interoperabilità transfrontaliera integrandosi con i sistemi di altri Paesi.
Che differenza c’è tra PEC e REM
Se si analizzano le differenze principali tra PEC e REM si può facilmente risalire ai vantaggi di una Registered Electronic Mail. Rispetto alla PEC, la REM consente di:
- identificare in modo certo persone fisiche e giuridiche che vogliono attivare una casella
- registrare data e ora di invio e ricezione dell’email con l’uso di una marca temporale qualificata
- semplificare l’interoperabilità transfrontaliera.
Autenticazione
Le procedure di accesso a una casella REM prevedono che il soggetto, persona fisica, giuridica o ente della PA che ne richiede l’attivazione, debba essere autenticato a due fattori. Ad esempio attraverso SPID, Firma Elettronica Qualificata, Carta Nazionale dei Servizi o di persona attraverso il riconoscimento dal vivo da parte di funzionari autorizzati.
Dopo la corretta identificazione, il provider di posta può attivare la casella e rilasciare le credenziali di accesso. Una casella REM potrebbe anche non avere delle credenziali di accesso e prevedere, invece, un meccanismo di autenticazione diverso a ogni accesso. A ogni modo l’autenticazione è a doppio fattore.
Dati
Nonostante si sia cercato di minimizzare le differenze, alcuni aspetti sono stati influenzati dal carattere europeo della nuova REM, come l’adeguamento alla lingua inglese e la marca temporale qualificata.
Efficacia probatoria
Con la REM l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da poter escludere la possibilità di modifiche non rilevabili dei dati, della data e dell’ora di invio e di ricezione. Qualsiasi variazione dei dati è soggetta a una validazione temporale elettronica qualificata.
I vantaggi del sistema REM
Con la REM dunque i dati sono sicuri, certificati e qualificati. Qualsiasi persona che utilizza servizi elettronici potrà contare su adeguati controlli e meccanismi di sicurezza per proteggere le proprie transazioni e garantire la fiducia dei rapporti commerciali e amministrativi.
Questo perché:
- è assicurata l’integrità del messaggio
- mittente e destinatario sono identificati
- l’ora e la data di invio e ricezione sono sempre legalmente valide
Questo permette di essere meno vulnerabili a eventuali attacchi informatici e di tutelare transazioni e scambi, semplificando le connessioni a livello europeo.
Quando avverrà il passaggio e cosa bisognerà fare
Il passaggio alla REM è previsto nel 2024. Non ci sarà un periodo comune di validità legale, vale a dire che, da quando sarà definita la data, il sistema cambierà da PEC a REM.
In questa data, in base ai provider di posta, rimarranno consultabili i messaggi PEC precedenti, che manterranno la loro validità legale, ma non si potrà più inviarne o riceverne di nuovi. Si dovrà effettuare un nuovo processo di autenticazione a due fattori per l’attivazione di una casella REM.
Questo vale per l’identità digitale di persone fisiche, giuridiche e PA.
