Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la guida

Regolamento Serc, tutte le novità per la Pec: cosa cambia per provider e mittenti

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Approvato il Regolamento Serc, cioè il regolamento di esecuzione 2025/1944 del 29 settembre 2025 che apporta importanti cambiamenti ai servizi di recapito certificato in UE: un passo importante dalla Pec verso la Rem comunitaria

Pubblicato il 1 ott 2025
Giovanni Manca

consulente, Anorc

pec interoperabile; fattura elettronica; informatica forense; Cessione di beni con dichiarazione di intento; regolamento Rem; Formweb
E-invoice and online digital statements concept. Businessman using computer laptop with invoice icons on virtual screen.

Il regolamento SERC di esecuzione 2025/1944 del 29 settembre 2025 “recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme di riferimento applicabili ai processi di invio e ricezione dei dati nei servizi elettronici di recapito certificato qualificati e l’interoperabilità di tali servizi” è stato pubblicato nella Gazzetta Ufficiale comunitaria ed entrerà in vigore il 20 ottobre 2025

Questo regolamento Introduce importanti novità sulla PEC e sulla sua evoluzione europea nota come REM: vediamo quali.

eIDAS 2: tutto su identità digitale europea, IT wallet, servizi fiduciari

Regolamento Serc, cosa dice il nuovo regolamento

Il regolamento in esame viene emesso ai sensi dell’articolo 44, paragrafo 2 del regolamento europeo 910/2014 (eIDAS) così come modificato dal regolamento 2024/1183 e dedicato ai “Requisiti per i servizi elettronici di recapito certificato”.

Nell’articolo 1 stabilisce le “Norme di riferimento e specifiche per i servizi elettronici di recapito certificato qualificati”, nell’articolo 2 le “Norme di riferimento e specifiche per l’interoperabilità dei servizi elettronici di recapito certificato qualificati”. Quest’ultimo fa riferimento all’articolo 44, paragrafo 2 ter dell’eIDAS.

L’articolo del regolamento rinvia per i dettaglia all’allegato I che elenca quanto stabilito nell’articolo 1.

La norma ETSI EN 319 521 che tratta delle politiche organizzative e di sicurezza dei servizi elettronici di recapito certificato (SERC) viene referenziata e si applica con un serie di emendamenti al testo vigente.

Vengono aggiornati i riferimenti normativi e il glossario dei termini.

Regolamento Serc, le novità per i gestori del servizio di recapito

La prima importante novità, in capo al gestore del servizio di recapito certificato qualificato è la seguente:

“Il QERDSP (nota: il fornitore del servizio di recapito certificato qualificato) verifica con un livello di sicurezza molto elevato l’identità del destinatario, direttamente o facendo affidamento su una terza parte e utilizzando uno dei mezzi seguenti o di una combinazione degli stessi, ove necessario:

  • a) mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica, sulla base di adeguate prove e procedure, conformemente al diritto nazionale;
  • b) a distanza, mediante un mezzo di identificazione elettronica che rispetta i requisiti di cui all’articolo 8 del regolamento (UE) n. 910/2014 [i.1] per quanto riguarda il livello di garanzia «elevato», o mediante il portafoglio europeo di identità digitale;
  • c) mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato;
  • d) utilizzando altri metodi di identificazione che garantiscano che la persona fisica o il rappresentante autorizzato della persona giuridica possano essere identificati con un livello di sicurezza molto elevato. La garanzia che tale identificazione sia effettuata con un livello di sicurezza molto elevato è confermata da un organismo di valutazione della conformità”.

La lettura della lettera b) evidenzia la maggiore sicurezza richiesta per verificare l’identità del destinatario. Il livello da applicare è quello “elevato” quindi, per esempio, sono insufficienti la coppia nome utente e parola chiave, ma anche uno SPID livello 2.

Regole per il mittente di Pec e Rem

Meno impegnativo il metodo per il mittente:

“Il QERDSP verifica l’identità del mittente con mezzi adeguati, direttamente o facendo affidamento su una terza parte, sulla base di uno dei metodi seguenti o di una combinazione degli stessi, ove necessario:

  • (a)mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica, sulla base di adeguate prove e procedure, conformemente al diritto nazionale;
  • (b)a distanza, mediante il portafoglio europeo di identità digitale o un mezzo di identificazione elettronica notificato che rispetta i requisiti di cui all’articolo 8 del regolamento (UE) n. 910/2014 [i.1] per quanto riguarda il livello di garanzia «significativo», a condizione che sia stato rilasciato sulla base della precedente presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica;
  • (c)mediante un certificato di firma elettronica avanzata o di sigillo elettronico avanzato, a condizione che il certificato sia stato rilasciato alla persona fisica o a un rappresentante autorizzato della persona giuridica in base alla «Normalised Certificate Policy» (NCP) quale definita nella norma ETSI EN 319 411-1 [2]; o
  • (d)utilizzando altri metodi di identificazione che garantiscano che la persona fisica o il rappresentante autorizzato della persona giuridica possano essere identificati con un livello di sicurezza molto elevato. La garanzia che tale identificazione sia effettuata con un livello di sicurezza elevato è confermata da un organismo di valutazione della conformità”.

Come si evince dalla lettera b), in questo caso il livello di garanzia è “significativo”. Il differente livello di garanzia richiesto per mittente e destinatario introduce asimmetria nelle misure di sicurezza con problematiche gestionali nel sistema di posta elettronica dove l’accesso alla casella non può distinguere tra le due tipologie di operatività dell’utenza. Quindi, in generale, l’accesso alla casella dovrà essere a livello “elevato”.

Il framework normativo per la Rem

Altre regole di sicurezza riguardano i colloqui sicuri tra sistemi tramite protocollo TLS, controlli crittografici e sicurezza della rete.

L’allegato II, come già scritto, stabilisce le norme di riferimento e le specifiche stabilite nell’articolo 2 di questo regolamento.

Perché mancano gli standard ETSI sulla REM

A sorpresa l’elenco pubblicato non contiene gli standard ETSI sulla REM (la posta elettronica con protocolli operativi descritti negli standard ETSI con indicatore 532 nella sigla di riferimento e presi a riferimento da AgID per le specifiche tecniche nazionali per la migrazione da PEC a REM) che quindi non è direttamente applicabile al quadro di interoperabilità comunitaria.

Il principio di presunzione di conformità

In questo nuovo scenario di regole bisogna tenere in conto del principio di presunzione di conformità descritto in numerosi regolamento di esecuzione oltre a questo in esame:

“La presunzione di conformità di cui all’articolo 44, paragrafo 1 bis, del regolamento (UE) n. 910/2014 dovrebbe applicarsi solo se i servizi fiduciari qualificati per la fornitura di servizi elettronici di recapito certificato qualificati sono conformi alle norme stabilite nel presente regolamento. Tali norme dovrebbero rispecchiare le prassi consolidate ed essere ampiamente riconosciute nei settori pertinenti. Esse dovrebbero essere adattate in modo da includere controlli supplementari che garantiscano la sicurezza e l’affidabilità dei servizi fiduciari qualificati”.

Il concetto è chiaro, se vengono rispettate le prescrizioni del presente regolamento, si è certamente conformi all’eIDAS. In caso contrario, l’organismo di valutazione della conformità (CAB) analizza il servizio che si vuole qualificare e, se i requisiti stabiliti in eIDAS sono soddisfatti, viene emesso una relazione di valutazione della conformità (CAR) positiva e l’organismo di vigilanza (AgiD in Italia) può procedere alle operazioni di valutazione per la qualifica del servizio.

Cosa cambia con la nuova normativa Serc: da Pec a Rem

Tutto ciò premesso è naturale chiedersi cosa cambia nell’applicazione del decreto legge n. 135 del 14 dicembre 2018 che prevede che con DPCM, sentita l’AGID e il Garante per la protezione dei dati personali, siano adottate le misure necessarie a garantire la conformità dei servizi di posta elettronica certificata (PEC), di cui agli articoli 29 e 48 del decreto legislativo n. 82 del 7 marzo 2005 (il CAD), al regolamento (UE) n. 910 del Parlamento europeo e del Consiglio del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

E’ utile ricordare che a “far data dall’entrata in vigore del suindicato DPCM, l’articolo 48 del decreto legislativo n. 82 del 2005 è abrogato”.

Arriva la REM in Italia

In altre parole ha ancora senso il passaggio da PEC a REM?

A livello nazionale non ci sono problemi e si attende il decreto che attua questa previsione normativa. Il mercato nazionale è pronto per la REM e non ci sono ostacoli legali per il decreto che chiude il ciclo di vita della PEC.

Gli impatti del regolamento SERC

Questo regolamento di esecuzione non incide negativamente anche per i servizi elettronici di recapito certificato qualificati basati sugli standard in allegato II come il servizio SEND della cruciale piattaforma delle notifiche gestita da PagoPA. Per altri soggetti qualificati si applica la presunzione di conformità.

Nel medio termine è molto probabile che si creino le condizioni favorevoli per l’attuazione dell’articolo 44, paragrafo 2 bis dell’eIDAS, “I fornitori di servizi elettronici di recapito certificato qualificati possono concordare l’interoperabilità tra i servizi elettronici di recapito certificato che forniscono. Tale quadro di interoperabilità rispetta i requisiti di cui al paragrafo 1 (nota: i requisiti base dei SERC) e tale rispetto dei requisiti è confermato da un organismo di valutazione della conformità”.

Questa regola può riaprire il discorso europeo per la REM ed ETSI sta iniziando a lavorare per l’adeguamento degli standard. Come sempre saremo vigili sulle novità e le evoluzioni della materia.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • archiviazione digitale, documenti, scrittura, dati Modello Oais; font; digitalizzazione contratti; obblighi fiscali professionisti; eidas atti esecuzione terzo lotto; valore probatorio pec; Genesis; low code

  • scenario

    Documento informatico, nel 2025 serve armonia tra norme UE e nazionali

    21 Gen 2025

    di Giovanni Manca

    Condividi
  • web reputation Gestione workflow documentale

  • sponsored story

    Workflow documentale, gestione più veloce grazie alla firma elettronica

    14 Apr 2025

    Condividi
  • identità digitale (2) (1) eudi wasllet; identità digitale svizzera

  • approfondimento

    Identità digitale, cosa insegna il referendum svizzero all’Italia e all’Europa

    30 Set 2025

    di Tania Orrù

    Condividi