Come è noto il Regolamento europeo 910/2014 noto anche come eIDAS ha introdotto il servizio elettronico di recapito certificato (Serc) come un “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate”.
La nostra Posta Elettronica Certificata è certamente un servizio elettronico di recapito certificato e il Legislatore nel decreto legislativo 217/2017 ha modificato il Codice dell’amministrazione digitale (CAD) stabilendo che (art. 1, comma 1-ter) “Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo è ammesso anche l’altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37) e 44 del Regolamento eIDAS”.
Il servizio elettronico di recapito certificato (SERC) è uno dei servizi fiduciari di base stabiliti nel Regolamento eIDAS (Regolamento UE 910/2014) e come tale può essere erogato da un prestatore qualificato secondo quanto stabilito nel Regolamento medesimo. Esso è analogo all’emissione di certificati qualificati per la firma o di marche temporali che già hanno visto la qualifica di decine di soggetti in tutta Europa.
Differenza tra Serc e Pec
Rispetto alla nostra PEC il servizio europeo richiede la garanzia dell’identificazione del destinatario prima della trasmissione dei dati e anche un elevato livello di sicurezza per l’identificazione del mittente. Per il resto PEC e SERC soddisfano i principi richiesti, tecnologicamente neutri, di data e ora dell’invio e ricezione e di integrità della trasmissione.
Alcuni anni fa l’ente di standardizzazione europeo ETSI aveva standardizzato la REM (Registered Electronic Mail) in modo molto simile alla PEC senza però, ovviamente, tenere in conto i requisiti eIDAS perché stabiliti successivamente.
Quindi ETSI per conto della Commissione UE ha iniziato una specifica attività di standardizzazione che dovrebbe portare a sette documenti. La pubblicazione degli standard è prevista per la fine di febbraio 2019. La piena operatività nell’ambito del Regolamento eIDAS si avrà solo con la referenza degli standard da parte della Commissione europea in uno specifico atto (presumibilmente una decisione di esecuzione).
Questo atto della Commissione europea, seguente all’approvazione degli standard ETSI da parte degli Stati membri, determinerà l’obbligo per questi ultimi di applicare queste regole.
Il gruppo di lavoro ETSI ha già fornito una serie di informazioni sull’impostazione degli standard. Queste informazioni sono disponibili alla pagina internet referenziata di seguito.
Nell’ambito di questo gruppo di lavoro si è scelto di aggiornare le regole per la Registered Electronic Mail (REM) dando evidenza al fatto che i servizi elettronici di recapito certificato non sono solamente basati su meccanismi di posta elettronica.
Infatti gli standard riguardano anche sistemi di recapito non postali che hanno i web services come tecnologia di base mantenendo ovviamente le funzionalità stabilite nel Regolamento eIDAS.
Il lettore che vuole approfondire questi temi può consultare il seguente documento ETSI
Sul portale ETSI sono disponibili le prime bozze degli standard.
Serc e domicilio digitale
Ritornando alle vicende nazionali è opportuno ricordare che il decreto legislativo 217/2017 nella sua regolamentazione del domicilio digitale stabilisce che questo può essere realizzato sia tramite una casella di PEC, sia mediante un SERC qualificato.
In coordinamento con la circostanza che il Sistema Pubblico di Identità Digitale (SPID) ha iniziato il percorso verso l’identità europea possiamo ipotizzare che tramite la credenziale SPID si accede al servizio di PEC o al SERC qualificato e si ottiene un sistema ad alta affidabilità verso l’Europa.
In sede tecnica si può decidere di sostenere dei sistemi di interfaccia tra PEC e SERC (non sono complessi) ovvero di far migrare il sistema PEC verso quello SERC qualificato o non qualificato.
Naturalmente dovrà essere utilizzato il gruppo di standard di tipo postale.
Per la natura legislativa di un Regolamento europeo il valore legale di questi sistemi è a carico della legislazione nazionale quindi l’efficacia della PEC e, visto il CAD vigente, dei SERC qualificati è quella già nota (notifica a mezzo posta, domicilio digitale, ecc.) e potrà comunque essere aggiornata e integrata.
L’opinione di chi scrive è che si dovrebbe andare nella direzione tecnologica comunitaria eliminando i sistemi proprietari nazionali.
L’utilizzo dei SERC non basati su protocolli di posta elettronica sarà utile per quelle operazioni di trasferimento di dati, opponibile ai terzi, di dimensione elevata (decine di Megabyte).
Infatti uno dei motivi che rende “impopolare” la PEC è la difficoltà nella gestione di allegati “grandi”. La scelta di fare trasferimento dati con un sistema postale è stata particolare e i nuovi meccanismi comunitari sono utili per passare a protocolli di trasferimento più adeguati e efficienti senza perdere nulla in termini di efficacia probatoria e requisiti legali.
