L'analisi

Il domicilio digitale: PEC e servizi di recapito certificato

Approfondiamo il rapporto tra la PEC e il domicilio digitale, alla luce della normativa attuale e dello scenario futuro che si prospetta per queste innovazioni

09 Apr 2020

Tra i passaggi fondamentali su cui si basa la digitalizzazione del Paese, ci sono l’Anagrafe Nazionale della Popolazione Residente (ANPR), l’identità digitale e il domicilio digitale. Quest’ultimo rappresenta il luogo virtuale mediante il quale si possono scambiare comunicazioni elettroniche aventi valore legale. Approfondiamo il rapporto cruciale esistente tra ANPR, identità e domicilio digitale evidenziando possibili evoluzioni di quest’ultimo attraverso la PEC – Posta Elettronica Certificata e i servizi elettronici di recapito certificato qualificato stabiliti nel regolamento europeo 910/2014 (eIDAS).

Ricordiamo intanto che il domicilio digitale è stabilito nel Codice dell’amministrazione digitale già nelle definizioni (articolo 1, comma 1, lettera n-ter) dove si specifica che è eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato come definito nel regolamento eIDAS.

La stabilità giuridica della PEC

La PEC è la fattispecie giuridica più stabile tra quelle utilizzate per i servizi legati alla trasformazione digitale. Infatti la PEC nasce giuridicamente all’inizio del 2005 (11 febbraio) con il DPR 68 e ha una longevità giuridica e tecnica superiore ad ogni altra fattispecie normativa e tecnica di supporto alla trasformazione digitale della pubblica amministrazione; infatti dalle origini ad oggi pochissime sono state le modifiche al sistema PEC che è rimasto pressoché identico a quello originale.

Il mercato ha risposto alle esigenze operative e alle necessità derivanti dagli obblighi di legge rispondendo prima con una forte diffusione di caselle e poi, via via, con l’aumento delle comunicazioni a supporto dei processi telematici, della fatturazione elettronica, della comunicazione tra amministrazioni e tra imprese. L’espressione “ho inviato una PEC” è diventata simbolo dell’avvenuto adempimento dell’operazione e magari anche del passaggio di responsabilità del generico procedimento dal mittente del messaggio al destinatario dello stesso. La PEC presenta qualche vizio di gioventù che non sembra però rallentarne la costante diffusione e l’utilizzo sempre più ampio anche nel servizio privato.

Parliamo dell’inopportuno utilizzo della PEC come protocollo di trasferimento file, della mancanza di certezza dell’identità del mittente a causa dello scarso sviluppo del PEC Identifier e, in tempi recenti, dell’uso della PEC come veicolo di malware ovvero come bersaglio di importanti attacchi di pirateria informatica. La PEC sembrava abrogata dal primo gennaio 2019 per venire sostituita come principio giuridico dal domicilio digitale, ma così non è stato e l’abrogazione è stata rinviata all’emissione di un decreto. All’entrata in vigore del medesimo la PEC verrà abrogata a livello primario (delegificata) per vivere come supporto operativo del domicilio digitale.

Servizi elettronici di recapito certificato

Nella definizione di domicilio digitale alla PEC si affiancano i servizi elettronici di recapito certificato qualificati (SERCQ). I SERC sono stabiliti nella Sezione 7 a loro specificamente dedicata del regolamento eIDAS. Gli articoli sono il 43 e il 44 rispettivamente rubricati “Effetti giuridici di servizio elettronico di recapito certificato” e “Requisiti per i servizi elettronici di recapito certificato qualificati”. Si rimanda al testo della norma per i dettagli. In questa sede è comunque utile riportare il testo del paragrafo 2 dell’articolo 43, in quanto descrittivo degli effetti giuridici di un servizio elettronico di recapito certificato qualificato (SERCQ):

“2. I dati inviati e ricevuti mediante servizio elettronico di recapito certificato qualificato godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio elettronico di recapito certificato qualificato”.

Come è noto le normative comunitarie sono tecnologicamente neutre in conformità al diritto comunitario. Quindi i SERC possono essere realizzati operativamente sia tramite sistemi di tipo “postale” che sistemi che garantiscono i requisiti richiesti dal regolamento eiDAS tramite web services. In questo caso parliamo di protocolli “non postali”. Altro elemento cruciale da ricordare è nella lettera c) dell’articolo 44, paragrafo 1.

“1. I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti: c) garantiscono l’identificazione del destinatario prima della trasmissione dei dati”. La traduzione è scorretta come risulta evidente dal testo inglese della medesima norma: “c) they ensure the identification of the addressee before the delivery of the data”. Delivery non è trasmissione ma recapito dei dati e questa circostanza modifica significativamente gli aspetti realizzativi di un SERC.

Queste regole impongono di definire un’identità digitale a mittente e destinatario. In Italia oggi abbiamo a supporto dell’identità digitale “forte” (strong authentication) la Carta d’Identità Elettronica (CIE), la Carta Nazionale dei Servizi (CNS) e lo SPID. La qualifica dei SERC è indispensabile per avere l’equivalenza alla PEC nel domicilio digitale. Ad oggi in Italia non è possibile qualificare questo servizi per la mancanza dello specifico schema (che invece è disponibile per certificati digitali e marche temporali).

La diffusione della PEC e il domicilio digitale

WHITEPAPER
Digital transformation: il viaggio delle aziende italiane verso l’innovazione
Digital Transformation

A partire dal 2006, con l’accreditamento dei primi soggetti gestori della Posta Elettronica Certificata (PEC) la Legislazione italiana ha introdotto una serie di obblighi normativi che hanno, man mano, favorito la diffusione della PEC individuata comunemente anche come raccomandata elettronica pur essendo normativamente equivalente alla notifica cartacea a mezzo posta. Tra gli obblighi è utile ricordare il legame tra una casella di PEC e il protocollo informatico, i processi telematici, scambi di informazioni tra banche e amministrazioni come il Ministero dell’Economia, la trasmissione al fisco delle fatture elettroniche e l’obbligo per le imprese e i professionisti iscritti agli albi di disporre di una casella di PEC.

L’ultima versione del Codice dell’Amministrazione Digitale (CAD) ha ulteriormente rafforzato il ruolo della PEC introducendo il domicilio digitale. Questo può essere realizzato mediante una casella di PEC o mediante l’analoga fattispecie comunitaria del Servizio Elettronico di Recapito Certificato Qualificato (SERC Qualificato). Nei fatti, l’assenza di normativa esecutiva a livello comunitario sui SERC impone per il domicilio digitale l’utilizzo della PEC. Il sopra citato CAD stabilisce anche che, con scadenza non predefinita, di dotare di un domicilio digitale tutti i cittadini italiani applicando il principio che in un mondo digitale anche il domicilio del cittadino deve esserlo. Questa azione sarà stabilita con apposito decreto e per gestire l’inevitabile divario digitale lo stesso decreto stabilirà come “intermediare” il domicilio digitale ai soggetti non in grado di utilizzare le tecnologie della società dell’informazione e della comunicazione.

Negli ultimi mesi del 2018 e nei primi del 2019 l’ente di standardizzazione europeo ETSI ha pubblicato un gruppo di standard che consentono di attivare i SERC stabiliti nel regolamento europeo 910/2014 (eIDAS) e quindi di attivare la raccomandata elettronica europea unica e interoperabile tra Stati membri o generici realizzatori denominata Registered Electronic Mail (REM). La piena applicazione della REM comunitaria con eventuali obblighi per gli Stati membri necessita di un apposito provvedimento della Commissione Europea (Decisione di Esecuzione). Tale provvedimento certamente non è ipotizzabile prima del terzo trimestre 2020 visto l’insediamento della nuova Commissione a fine 2019. In ogni caso la normativa nazionale ha sospeso l’abrogazione della PEC, prevista per il primo gennaio 2019, in attesa di nuove regole conformi al regolamento europeo.

Domicilio digitale: lo scenario futuro

La completa attuazione del domicilio digitale richiede il completamento dell’ANPR. Il CAD stabilisce che a seguito di questo evento si provvede al trasferimento dei domicili digitali contenuti nell’ Indice Nazionale dei Domicili Digitali delle persone fisiche e degli altri enti di diritto privato. Questi domicili sono ulteriori di quelli già disponibili nell’Indice Nazionale dei domicili digitali delle imprese e dei professionisti (INI-PEC). Si ricorda che questi soggetti sono obbligati ad avere un indirizzo di PEC. In sintesi, a regime, si avrà un indice nazionale e tutti gli attori potranno dialogare tra loro e con la PA (tramite l’indice denominato IPA).

Gli articoli dal 6 al 6-quinquies del CAD forniscono il quadro della situazione. L’articolo 3-bis del CAD stabilisce le regole che pongono in relazione identità digitale e domicilio digitale. Nel comma 3-bis si stabilisce che dovrà essere emanato un decreto mediante il quale è stabilita la data a decorrere della quale i soggetti ai quali si applica il CAD e quelli che non hanno un domicilio digitale comunicano esclusivamente in forma elettronica.

Naturalmente con lo stesso decreto sono determinate le modalità con le quali ai soggetti appena citati è reso disponibile un domicilio digitale e viene gestito l’eventuale divario digitale per i soggetti che non sono in grado di accedere direttamente a un domicilio digitale. Alla data non appare probabile e ragionevole l’abbandono della PEC (visti i miliardi di messaggi scambiati tramite essa). Certamente il Legislatore nazionale ha in atto modifica delle regole di accreditamento e vigilanza dei gestori PEC a quelle comunitarie (tra l’altro è previsto l’azzeramento del capitale sociale per i prestatori di servizi fiduciari qualificati, per SPID, la PEC e la conservazione digitale).

Il medesimo Legislatore dovrà decidere come gestire gli obblighi comunitari che verranno sui SERC e come questi si dovranno porre rispetto alla PEC. Non è utile ignorarli, visto anche il CAD (articolo 1, comma 1-ter “ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di altro servizio elettronico di recapito certificato qualificato”. Oggi ci sono una quindicina di soggetti stranieri qualificati ai sensi di eIDAS che possono operare in operare in Italia. Questi soggetti potrebbero contestare l’obbligo di utilizzo pratico della PEC quindi non sembra sostenibile la tenuta di due sistemi paralleli anche se eradicare la PEC appare estremamente complesso e quindi è indispensabile valutare un sistema di “traduzione” di formati tra PEC e REM. Gli standard emessi da ETSI consentono tale convivenza in modo sostenibile ma ovviamente da realizzare.

Conclusione

In conclusione si può affermare che il Legislatore italiano dovrebbe modificare la normativa PEC per convergere a passi predefiniti verso regole organizzative e tecnologiche di natura comunitaria. Certamente, a normativa vigente, si assisterà a una convergenza dell’accreditamento per i gestori di PEC verso le regole di qualifica comunitarie. In tempi brevi ci saranno valutazioni di gap analysis tra PEC e SERC “postali”.

Infine si dovrà decidere quale identità digitale si adotterà per i SERCQ o se semplicemente lo si farà per la PEC. Il decollo del domicilio digitale e della comunicazione elettronica per tutti nel medio periodo sarà certamente tramite PEC che, se ci saranno obblighi comunitari, conviverà con i SERCQ.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4