Un servizio elettronico di recapito qualificato, secondo le prescrizioni del regolamento eIDAS, garantendo l’interoperabilità a livello europeo dei meccanismi di scambio della posta elettronica tra cittadini e imprese di tutti gli Stati Membri: si tratta di fatto dell’evoluzione della PEC – Posta Elettronica Certificata nazionale la quale risulta carente, per essere qualificata eIDAS, del requisito della certificazione circa l’identità di mittenti e destinatari.
Si tratta degli effetti del documento per i servizi di recapito certificato qualificato eIDAS, “REM Services – Criteri di adozione degli standard ETSI – Policy IT”, pubblicato da AgID il 14 giugno 2021 a valle delle attività svolte dal gruppo di lavoro, costituito nel 2019, tra la stessa Agenzia, i gestori PEC, Uninfo e Assocertificatori. Il documento contiene la proposta di regole tecniche per i servizi di recapito certificato qualificato eIDAS compliance. In attesa all’approvazione finale da parte della Commissione europea, di sicuro interesse è comprendere come può evolvere il sistema PEC nazionale, con l’obiettivo di renderlo un servizio qualificato eIDAS pienamente interoperabile. In quest’ottica, in parallelo è stata sviluppata a livello europeo anche una modalità di comunicazione tra pubbliche amministrazioni, cittadini e imprese: si tratta del cosiddetto e-Delivery.
REM, le caratteristiche
Gli articoli 43 e 44 del Regolamento eIDAS definiscono gli effetti giuridici di un servizio elettronico di recapito certificato e i requisiti funzionali per i servizi elettronici di recapito certificato qualificati. L’ETSI (European Telecommunications Standards Institute) ha attivato nell’ottobre del 2016 all’interno del comitato tecnico Electronic Signatures and Infrastructures committee (TC ESI) lo sviluppo di una serie di standard con l’obiettivo di supportare la creazione di servizi conformi ai requisiti specificati negli articoli 43 e 44 del Regolamento eIDAS, in particolare relativi a:
• Electronic Registered Delivery Services (ERDS)
• Registered Electronic Mail (REM) Services.
REM è una particolare “istanza” di un ERDS che si basa sui protocolli della posta elettronica e i relativi standard. Il modello REM si basa su protocolli di posta elettronica e risulta la soluzione più prossima alla PEC. Tuttavia, la Posta Elettronica Certificata soddisfa solamente i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, non è attualmente prevista la verifica certa dell’identità del richiedente della casella di PEC, ne è previsto che il gestore debba obbligatoriamente sottoporsi alle verifiche di conformità da parte degli organismi designati.
Fattura elettronica, le nuove regole tecniche dal primo luglio: che cambia
L’evoluzione della PEC a servizio qualificato risiede proprio nel meccanismo di garanzia dell’autenticazione e identificazione di mittente e destinatario che passa attraverso la registrazione dell’utenza presso un REMSP e nella individuazione della utenza identificata: il processo di registrazione prevede che il titolare dell’utenza venga “identificato” prima di utilizzare il servizio (tipicamente questa procedura avviene solo una volta, ed in accordo all’interpretazione e gli adattamenti alle realtà locali, che sono stabiliti dai regolamenti nazionali vigenti. Ciò garantirà la piena interoperabilità delle caselle di posta certificate e qualificate, con possibilità di scambio di documenti e atti a pieno valore legale attestandone data di trasmissione e ricezione.
Che cos’è il sistema e-Delivery
Il sistema e-Delivery coinvolge maggiormente anche i soggetti privati e quindi i rapporti tra cittadini e imprese, a differenza del sistema cosiddetto e-Delivery europeo, disegnato invece per le amministrazioni pubbliche con cui le stesse possono scambiare dati e documenti elettronici con altre amministrazioni pubbliche, imprese e cittadini, in modo interoperabile, sicuro, affidabile e fidato. Questo sistema è strutturato come una rete di nodi per le comunicazioni digitali, basato su un modello distribuito dove ogni partecipante diventa un nodo utilizzando protocolli di trasporto e politiche di sicurezza standard.
Il CEF eDelivery building block è basato sul protocollo di messaggistica AS4, aperto e libero per tutti, sviluppato dall’organizzazione di sviluppo degli standard Oasis. Per facilitare la sua adozione in Europa, eDelivery usa le linee guida di implementazione AS4 definite dagli Stati membri nel pilota su larga scala e-SENS. Le organizzazioni devono installare a tal fine un Access Point, o utilizzare un Service Provider, per scambiare informazioni con il protocollo di messaggistica AS4. Da precisare come non esista un singolo nodo eDelivery per Stato membro, ma diversi nodi.
e-Delivery, come funziona
Ognuno di questi nodi è distribuito per uno specifico progetto paneuropeo all’interno di un determinato dominio politico, come eJustice, eProcurement. Tipicamente, i nodi di eDelivery sono uni-dominio e uni-progetto. I nodi di eDelivery possono essere implementati a qualsiasi livello amministrativo: nazionale, regionale, locale o da singole organizzazioni. Il modello di implementazione deve essere definito in anticipo dal progetto paneuropeo. I proprietari di domini politici coinvolti nell’implementazione di politiche europee o nazionali che richiedono lo scambio sicuro di documenti e dati sono in realtà il principale obiettivo dei servizi di eDelivery DSI.
Adottando e-Delivery, questi attori si assicurano che le PA possano scambiare qualsiasi tipo di dati e documenti attraverso i confini. Questo significa permettere la comunicazione Amministrazione-Amministrazione (A2A) contribuendo alla creazione di un mercato unico europeo adatto all’era digitale. L’eDelivery può anche essere usato negli scenari Administration to Business (A2B) e Business to Administration (B2A), come dimostrato dall’implementazione di eDelivery da parte di PEPPOL nel campo dell’eProcurement, permettendo altresì l’interconnessione delle amministrazioni pubbliche con i cittadini (A2C e C2A) quando viene adottato nello sviluppo di portali web. Le comunicazioni tra cittadini (C2C) o imprese non rientrano perciò nell’ambito di eDelivery.
