La guida

PEC europea, che cos’è e come funziona: tutti i requisiti

Il 31 gennaio si è aperta l’inchiesta pubblica, la cui conclusione è prevista il 4 novembre, sulla nuova versione dello standard ETSI per concretizzare il progetto della posta elettronica certificata compliant al regolamento e-IDAS: vediamo le funzioni e le caratteristiche

09 Feb 2022
Alessandro Mastromatteo

Avvocato, Studio Legale Tributario Santacroce & Associati

Pec europea

È in arrivo la PEC europea. Il 31 gennaio 2022 è stata avviata l’inchiesta pubblica che si concluderà, seguendo la roadmap predefinita, il prossimo 4 novembre con la pubblicazione della nuova versione dello standard ETSI per la realizzazione del servizio di posta elettronica certificato conforme al regolamento e-IDAS. Si tratta di un passaggio essenziale nello sviluppo della piena interoperabilità a livello europeo dei meccanismi di scambio di posta elettronica tra cittadini e imprese di tutti gli Stati Membri.

Verso una Pec europea: ecco come funzionano il modello REM e il sistema e-Delivery

PEC europea, le regole in italia

Quanto alla regolamentazione nazionale, AgID ha già avuto modo di pubblicare il 14 giugno 2021 un documento per i servizi di recapito certificato qualificato e-IDAS (“REM SERVICES – Criteri di adozione degli standard ETSI – Policy IT”) a valle delle attività svolte dal gruppo di lavoro, costituito nel 2019, tra la stessa Agenzia, i gestori PEC, Uninfo e Assocertificatori. Le regole tecniche di derivazione nazionale puntano a rendere la casella di PEC – Posta Elettronica Certificata compliant con i servizi di recapito certificato qualificato e-IDAS in particolare intervenendo e garantendo circa l’identità di mittenti e destinatari. Ebbene, la nuova versione dello standard ETSI EN 319 532-4 si innesta proprio in questo processo di regolamentazione a livello europeo, individuando come elemento tecnologico, in grado di assicurare e garantire interoperabilità, integrità, riservatezza e non ripudio, una interfaccia di servizio comune CSI – Common Service Interface la quale costituirà l’interfaccia condivisa su cui si appoggeranno i vari gestori del servizio elettronico di recapito qualificato.

WHITEPAPER
Documenti digitali vs cartacei: come diventare un'azienda digitale a tutti gli effetti?
Dematerializzazione
Fatturazione elettronica

Regolamento e-IDAS e posta elettronica certificata

Il Regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, individua, al considerando numero 66, come risulti essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato. La caratteristica essenziale di tali servizi è quella di consentire la trasmissione di dati fra terzi per via elettronica, fornendo prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e proteggendo altresì i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate.

I requisiti

A tale riguardo l’articolo 44 del regolamento individua puntualmente i requisiti necessari ai fini della individuazione di servizi elettronici di recapito certificato qualificati, i quali:

  1. sono forniti da uno o più prestatori di servizi fiduciari qualificati;
  2. garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
  3. garantiscono l’identificazione del destinatario prima della trasmissione dei dati;
  4. l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
  5. qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
  6. la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.

PEC europea, com’è lo standard

Lo standard europeo ETSI EN 319 532-4 V1.1.7 (2022-01), ora in discussione, chiarisce come il regolamento e-IDAS definisce un insieme di principi che promuovono le direzioni emerse dall’Agenda digitale dell’UE e le successive conclusioni del Consiglio europeo. Gli obiettivi di tali principi sono orientati a contrastare la mancanza di interoperabilità e l’aumento della criminalità informatica, attraverso l’uso transfrontaliero dei servizi online, creando le condizioni adeguate al riconoscimento reciproco di abilitatori chiave attraverso le frontiere come, tra gli altri, servizi di consegna elettronica. L’infrastruttura da realizzarsi si fonda sui seguenti due elementi:

• Electronic Registered Delivery Services (ERDS);

• Registered Electronic Mail (REM) Services.

Il REM baseline specifica un insieme minimo di requisiti volti a garantire la massima interoperabilità nel settore e, in particolare, nell’uso transfrontaliero dei servizi REM. La conformità con la base REM mira a semplificare il supporto tecnico del REM da parte delle autorità competenti degli Stati membri che sostengono i servizi di recapito elettronico registrati qualificati. Senza la presenza di requisiti di base comuni, il supporto tecnico del REM risulterebbe invece essere molto costoso e impegnativo. Le caratteristiche principali saranno i seguenti:

  • si tratta di un sistema “non chiuso” in quanto l’insieme dei partecipanti non è limitato né predefinito;
  • sono disponibili metodi di verifica semplici;
  • sono anche disponibili chiari punti di accesso e regole per l’interoperabilità.

Gli elementi chiave per soddisfare nel modo più ampio possibile, tra gli altri, l’obiettivo/requisito del regolamento e-IDAS di facilitare il riconoscimento transfrontaliero tra i sistemi giuridici nazionali esistenti relativi ai servizi elettronici di recapito registrato, consistono nell’utilizzo di firma digitale e marche temporali, al fine di far fronte all’esigenza di individuare “che cosa” viene incrociato/condiviso tra i sistemi, e la Common Service Interface (CSI) che permette di rispondere alla questione su “come” interoperare in tale ecosistema di messaggistica digitale. Ad ogni modo, uno dei punti chiave per l’interoperabilità è proprio il formato dei dati scambiati e le prove (in sostanza: “cosa” viene scambiato, da chi e come provarlo). Il formato dei dati è garantito per definizione nelle strutture di dati REM, poiché utilizza un formato e-mail e standard diffuso.

La prova sfrutta la struttura della ERDS per usarla come una base auto-consistente, virtualmente condivisibile tra soluzioni di e-delivery potenzialmente diverse attraverso l’apposizione di una firma digitale e la marcatura temporale time-stamp, le quali permettono di discriminare e gestire correttamente la variabilità delle situazioni nel corso dell’esecuzione dei flussi. Inoltre, l’interfaccia CSI è chiamata a garantire un insieme di elementi quali l’instradamento dei messaggi, la costituzione di fiducia – trust, l’individuazione e la gestione delle capacità del sistema oltre al supporto alla governance. Più precisamente, quanto all’instradamento dei messaggi, l’uso degli standard internazionali DNS costituisce il requisito di base per il routing ed è considerato fondamentale per raggiungere l’interoperabilità. Sono state comunque individuate alcune misure di sicurezza aggiuntive alle operazioni DNS in quanto necessarie a ridurre i rischi di criminalità informatica. Quanto invece alla costituzione di un trust, la costruzione di un insieme di REMS di fiducia reciproca è un passo fondamentale per raggiungere l’interoperabilità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4