LaPEC ha raggiunto altissimi livelli di diffusione con un numero di caselle attive pari a circa 14 milioni e mezzo (dati AgID a giugno 2022). Con la pubblicazione delle Regole tecniche per i servizi di recapito certificato a norma del regolamento eIDAS n. 910/2014 – Criteri di adozione standard ETSI – REM-Policy-IT da parte di AgID è iniziata la migrazione da PEC a REM da parte dei gestori italiani. Questa migrazione, pur non essendo di elevata complessità, non è esente da impatti sugli utenti e sulle imprese. Vediamo quali sono i principali e i loro impatti sul sistema PEC che è attivo e pressoché stabile dal 2005.
Il crepuscolo della PEC: arriva la REM, ecco cos’è e come funziona
Dalla PEC alla REM, cosa dicono le regole tecniche
Le regole tecniche sulla REM sono state redatte con la massima attenzione verso la minimizzazione delle modifiche all’architettura PEC. Questo aiuta e semplifica la migrazione favorendo la fondamentale interoperabilità tra gestori. La base tecnica detta “REM baseline” è strutturata in modo tale da indicare chiaramente cosa è incluso e cosa escluso nei modelli funzionali, inoltre gli elementi opzionali sono progettati in modalità tale da non essere invasivi rispetto alle funzionalità indispensabili.
Cosa devono fare i provider
I gestori PEC nella fase della migrazione devono aggiornare i meccanismi di accesso al servizio, la struttura delle varie tipologie di ricevute previste anche nel sistema PEC e altri aspetti di architettura indispensabili per essere conformi allo standard ETSI di interoperabilità (riferito come EN 319 532-4 versione 1.2.1 del maggio 2022). Tale standard è stato aggiornato esplicitamente per quanto necessario al sistema PEC ma con attenzione alle regole normative primarie del Regolamento 910/2014 (eIDAS).
La maggior parte delle modifiche è trasparente all’utente e le dichiarazioni dei maggiori gestori sembrano confermare che le modalità operative e d’uso saranno, per quanto possibile, identiche a quelle della PEC che poi sono quelle della posta elettronica ordinaria. Le regole comunitarie impongono delle modifiche operative. Il mittente deve essere riconosciuto con certezza e l’accesso al sistema dovrà utilizzare l’autenticazione a doppio fattore. In tal senso alcuni gestori stanno già informando gli utenti e provvedendo ai nuovi meccanismi.
Cosa cambia con il passaggio alla REM per le imprese
L’utilizzo di SPID per questa attività può essere estremamente semplice ed efficace. La migrazione dei messaggi dalla casella PEC a quella REM è pressoché indolore viste le analogie di architettura tra i due sistemi. L’accesso con doppio fattore di autenticazione a un sistema di posta elettronica non è usuale a livello mondiale ma le esigenze sempre più stringenti di sicurezza cibernetica lo rendono indispensabile, come dimostra anche la disponibilità di tale funzione nella posta GMail di Google. Il principio di base è che, come al solito, una maggior sicurezza ha impatti sull’esperienza utente ma, allo stato delle cose, è inevitabile.
Gli utenti industriali della PEC ovvero i cosiddetti integratori di sistema devono aggiornare il loro software per la gestione e conservazione delle ricevute e per l’invio massivo dei messaggi. Nel primo caso il problema è relativo, in quanto la ricevuta è un file e anche nel sistema REM continua ad esserlo, anche se con una struttura dati aggiornata. Quindi, nei fatti, deve essere gestito sempre un file ed elaborare un nuovo formato della ricevuta non rappresenta particolari difficoltà. L’invio massivo dei messaggi è una funzionalità utilizzata, per esempio, nei sistemi di fatturazione elettronica che si integrano con i sistemi gestionali dell’impresa e che, con la REM non possono più accedere alla casella con credenziali a singolo fattore (nome utente e password).
Il sistema REM risolve il problema con i meccanismi tipici della web authentication che usano i protocolli SSL/TLS su connessioni HTTPS. In questo scenario il sistema gestionale che genera i messaggi apre una canale autenticato e cifrato con il sistema REM e procede all’invio con la stessa interfaccia di posta precedente. Per le aziende questo comporterà l’adeguamento delle interfacce all’utilizzo dei certificati digitali per l’autenticazione dei siti web. Questi certificati possono essere emessi anche in modalità qualificata ai sensi del Regolamento eIDAS. I livelli di sicurezza di questi certificati qualificati è più efficace per disporre di una maggiore sicurezza cibernetica.
Le imprese non avranno solo oneri da questa migrazione ma, come sempre nelle evoluzioni tecnologiche, nascono anche delle opportunità. La standardizzazione europea della REM consente anche di offrire nel mercato interno comunitario la nuova opportunità di scambiare posta elettronica conforme al Regolamento eIDAS. L’interoperabilità consente lo scambio di messaggi tra differenti gestori stabiliti nei paesi collocati nell’ambito di applicazione del Regolamento eIDAS, ma è anche possibile offrire l’accesso al sistema REM da parte di un gestore a un utente che opera in uno stato differente da quelli dove è stabilito il gestore stesso.
Quali sono i prestatori di servizi fiduciari qualificati
Alla data dell’11 gennaio 2023 i prestatori di servizi fiduciari qualificati ai sensi del Regolamento eIDAS sono 31 in 10 Paesi (nessuno in Italia). Al primo posto troviamo la Spagna con 14 soggetti. Dal punto di vista operativo dobbiamo sottolineare che nessun soggetto utilizza gli standard ETSI e, in ogni caso, il recente aggiornamento dello standard richiede un po’ di tempo per eventuali adeguamenti. In Spagna la maggior parte dei soggetti sono qualificato per i Servizi Elettronici di Recapito Certificato che prevedono scambi di messaggi anche con protocolli “non postali” basati sui web services. In Spagna sono molto utilizzati per la fatturazione elettronica.
Certamente la disponibilità di interoperabilità favorisce utilizzi innovativi a livello globale. Lo scenario più interessante è quello degli ambienti di gestione di transazioni digitali (Digital Transaction Management) dove attualmente viene usata la posta elettronica ordinaria. Il colloquio nella gestione degli accordi (agreement) con meccanismi REM è certamente valido per arricchire il processo degli elementi probatori garantiti dalla REM. Ulteriori sviluppi potranno avvenire se supportati da norme che, come in Italia, stabiliscono per un messaggio di PEC (e anche per un messaggio di REM gestito da un prestatore di servizi qualificato ai sensi del Regolamento eIDAS) lo stesso valore legale di una raccomandata tradizionale con avviso di ricevimento.
Conclusione
L’impulso innovativo dell’Italia porterà a risultati internazionali anche con la promozione politica comunitaria degli standard ETSI che, ricordiamolo, oggi non sono presenti negli atti secondari (decisioni di esecuzione) della Commissione Europea e quindi sono un riferimento per il mercato ma non hanno riferimenti legali comunitari. Il prossimo Regolamento europeo eIDAS in fase avanzata di approvazione dovrà essere seguito rapidamente dall’emissione di questi specifici atti.
La migrazione PEC verso la REM solo in Italia, pur valida per l’azione innovativa sviluppata, senza uno sviluppo comunitario non porterebbe vantaggi particolari né al mercato, né agli utenti. Questa reale ed efficace collaborazione e coordinamento tra istituzioni e imprese ha comunque dimostrato che “uniti si vince”, anche all’estero.