Cosa succede con l’arrivo della PEC Europea
Negli ultimi mesi si sta diffondendo una preoccupazione generalizzata legata all’adeguamento della posta elettronica certificata agli standard europei e in particolare alle disposizioni del regolamento eIDAS (Regolamento UE n. 910 del 2014) e alle conseguenze che possono derivare nell’uso quotidiano di questo strumento ormai imprescindibile per l’attività quotidiana, soprattutto di aziende e liberi professionisti; è noto a tutti, infatti, che l’indirizzo PEC costituisce il domicilio digitale ed è utilizzato per vari e fondamentali scopi: la notificazione di atti processuali e tributari, il dialogo con la pubblica amministrazione e con le istituzioni pubbliche in generale.
La tecnologia della posta elettronica certificata è utilizzata sin dal 2005 nel nostro Paese e, in ambito pubblico, ha trovato la sua regolamentazione con l’art. 48 del codice dell’amministrazione digitale il quale equipara questo strumento di recapito elettronico alla tradizionale posta raccomandata e lo designa quale mezzo praticamente esclusivo per il dialogo telematico con la pubblica amministrazione. La soluzione tecnologica ha poi avuto ampia diffusione anche nel mondo privato, talché si può affermare tranquillamente che al giorno d’oggi abbia diffusione pari, o addirittura superiore, alla raccomandata cartacea. È perciò logico che ogni possibile cambiamento sulle modalità di utilizzo desti preoccupazione.
È bene pertanto chiarire il quadro giuridico di riferimento, anche al fine di sopire eventuali dubbi circa l’utilizzabilità dello strumento tecnologico nella sua configurazione attuale. A tal fine occorre ricordare che gli art. 43 e 44 del Regolamento UE n. 910 del 2014 disciplinano i cosiddetti SERC e SERCQ, che sono entrambi “servizi elettronici di recapito”, ma con delle differenze rilevanti tra loro; in particolare:
- il SERC (Servizio elettronico di recapito certificato) è un servizio che consente la trasmissione di dati fra terzi per via elettronica, che fornisce prove relative al trattamento dei dati trasmessi (fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati) e che protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;
- il SERCQ (servizio elettronico di recapito qualificato certificato) è un SERC che, in più, rispetta gli ulteriori requisiti dettati dall’art. 44 del medesimo Regolamento “eIDAS”.
La PEC italiana, nella sua conformazione “tradizionale” rientra nella categoria generale dei SERC, ma non in quella dei SERCQ, dato che, per sua configurazione tecnologica, non è in grado di certificare l’identità del mittente e del destinatario. A conferma di ciò basta pensare al fatto che, nei casi in cui essa è considerata domicilio digitale riferibile a una persona (o società / pubblica amministrazione) individuata con esattezza, lo si deve al fatto che gli indirizzi PEC vengono raccolti all’interno di pubblici registri che effettuano un controllo di corrispondenza e univocità tra indirizzo di posta elettronica (certificata) e titolare di quell’indirizzo.
In questo contesto si è dunque inserito lo sviluppo della cosiddetta “PEC europea”, ovvero del protocollo REM (Registered Electronic Mail) che consente, per l’appunto, di ovviare ai punti critici sopra evidenziati e di rendere in tutto e per tutto la nostra posta elettronica certificata un SERCQ a tutti gli effetti.
Va detto però che, dal punto di vista pratico, il passaggio al suddetto protocollo rischia di non essere esattamente indolore: la migrazione verso i nuovi servizi richiede infatti un passaggio dall’autenticazione semplice ad oggi in uso (username+password) ad un sistema di autenticazione a due fattori, che è il modo prescelto dallo standard europeo per garantire l’identità certa del titolare della casella di posta. Agli occhi di molti, questo può apparire un passaggio insignificante ma così non è, visto che può creare diversi problemi di gestione quali ad esempio:
- l’accesso da parte dei client di posta elettronica (es. Outlook, Thunderpec) che al momento avviene in automatico, avendo questi sistemi memorizzato password ad un unico fattore e potendosi creare difficoltà di accesso nel momento in cui dovrà essere inserito di volta in volta un secondo fattore di identificazione, come ad esempio una OTP ricevuta sullo smartphone;
- il dialogo con altri sistemi che ricavano dati in automatico dalla casella di PEC: è per esempio il caso dei sistemi di conservazione; essi riescono ad accedere alla casella dalla quale devono estrarre i messaggi da archiviare proprio grazie al fatto di aver memorizzato nei loro server la password della casella PEC; è evidente che il passaggio al doppio fattore di autenticazione rischia di impedire tale dialogo informatico se non correttamente configurato.
È bene pertanto essere consapevoli di tali problematiche prima di effettuare un passaggio tecnologico come quello illustrato; occorrerà infatti eseguire tutte le azioni complementari che consentano di continuare a utilizzare agevolmente i sistemi sopra esposti.
Peraltro, contrariamente ad alcune voci che di tanto in tanto si sentono, non è assolutamente urgente procedere con tali adeguamenti di carattere tecnologico; ciò per una precisa ragione in diritto.
La PEC nella sua configurazione attuale, così come disciplinata dall’art. 48 del CAD, è tuttora pienamente utilizzabile. Si ricorda infatti che l’art. 65, comma settimo, del decreto legislativo n. 217 del 2017 prevede che: “con decreto del Presidente del Consiglio dei ministri, sentiti l’Agenzia per l’Italia digitale e il Garante per la protezione dei dati personali, sono adottate le misure necessarie a garantire la conformità dei servizi di posta elettronica certificata di cui agli articoli 29 e 48 del decreto legislativo del 7 marzo 2005, n. 82, al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. A far data dall’entrata in vigore del decreto di cui al primo periodo, l’articolo 48 del decreto legislativo n. 82 del 2005 è abrogato”.
Ancorché dal punto di vista tecnologico il quadro sia pressoché completo, manca un elemento fondamentale in diritto: il decreto previsto dalla suddetta norma non è ancora stato emanato e certamente, quando lo sarà, la sua entrata in vigore non sarà ad effetto immediato.
La migrazione verso i nuovi standard non è dunque allo stato un obbligo codificato, sicché soprattutto i professionisti possono continuare a utilizzare i sistemi esistenti con assoluta compliance normativa. Come detto, grazie alle norme che hanno istituito pubblici registri come INI-PEC, REGINDE o Registro Imprese (per dirne alcuni) gli indirizzi di costoro già godono di un meccanismo legale che ne assicura univocità e identificazione del mittente e del destinatario al punto che, già allo stato attuale, la PEC è un elemento fondante dell’identità digitale.