Nell’ambito delle comunicazioni informatiche, REM è l’acronimo di “Registered Electronic Mail”, espressione con cui si individua un protocollo informatico dei servizi di posta elettronica che soddisfa appieno i requisiti previsti dal Regolamento (UE) n. 910/2014 “eIDAS” (electronic IDentification Authentication and Signature) in materia di identificazione elettronica e servizi fiduciari.
Più in particolare, la REM è uno standard definito dall’organismo internazionale ETSI (European Telecommunications Standards Institute), che è dedicato alla posta elettronica “registrata” (cioè alla raccomandata elettronica): è a tale standard, dunque, che un servizio di posta elettronica (come la nostra PEC) deve fare riferimento per potere essere definito non solo come servizio elettronico di recapito certificato (SERC), ma anche come servizio elettronico di recapito certificato qualificato (SERCQ).
Regolamento “eIDAS”: standard comuni anche per la PEC
A livello europeo, il
Regolamento (UE) 23 luglio 2014, n. 910/2014 “
eIDAS” (
electronic IDentification Authentication and Signature), in materia di identificazione elettronica e “servizi fiduciari”, ha introdotto un quadro giuridico comune a tutti gli Stati membri dell’Unione europea che, tra le altre cose, potesse consentire l’utilizzo di un
servizio transfrontaliero di posta elettronica, riconosciuto da tutti gli ordinamenti giuridici dei singoli Paesi europei.
In pratica, la normativa europea dice che la
trasmissione di dati fra terzi per via elettronica, per potere essere sicura e legalmente valida (per le comunicazioni tra cittadini UE, per la presentazione di istanze e dichiarazioni alle Pubbliche Amministrazioni e ai gestori dei servizi pubblici, ecc.) e rientrare in tale modo nell’ambito dei “
servizi fiduciari qualificati” (forniti da prestatori di servizi fiduciari qualificati e, come tali, riconosciuti nell’Unione), oltre che per fornire caselle potenzialmente utili al cittadino per il domicilio digitale, deve rispettare i
requisiti previsti dal Regolamento (UE) n. 910/2014 “eIDAS” per i cosiddetti “
servizi elettronici di recapito certificato qualificato” (SERCQ).
Una delle principali
finalità del Regolamento (UE) n. 910/2014 “eIDAS” è, infatti, quella di fornire una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché del commercio elettronico nell’Unione europea: sotto tale profilo, il regolamento disciplina i “servizi fiduciari” (“
trust services”), quali, ad esempio, la firma digitale e le marche temporali, così come pure i
“servizi elettronici di recapito certificato qualificato”, ai quali la PEC deve essere resa conforme.
SERC e SERCQ
Per potere arrivare a comprendere meglio cosa sia la REM e quali siano i suoi rapporti con la PEC, è necessario richiamare la
differenza tra SERC e SERCQ.
Sono entrambi “
servizi elettronici di recapito”, ma con delle differenze definite dall’art. 3 del Regolamento (UE) n. 910/2014 “eIDAS”:
- il SERC (Servizio elettronico di recapito certificato) è un servizio che consente la trasmissione di dati fra terzi per via elettronica, che fornisce prove relative al trattamento dei dati trasmessi (fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati) e che protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;
- il SERCQ (servizio elettronico di recapito qualificato certificato) è un SERC che, in più, rispetta gli ulteriori requisiti dettati dall’art. 44 del medesimo Regolamento “eIDAS”.
La PEC verso l’interoperabilità europea
La
PEC italiana, nella sua conformazione “tradizionale” rientra nella categoria generale dei SERC, ma non in quella dei SERCQ, non rispettandone i requisiti, dato che, di per sé - semplificando - non è in grado di certificare l’identità del mittente e del destinatario. Inoltre, non essendo riconosciuta dagli altri Stati UE, ha una
validità legale soltanto nel territorio italiano.
Al fine di potere consentire agli utenti di continuare a utilizzare la PEC - forte dei suoi oltre 14 milioni di caselle e quasi 2,5 miliardi di messaggi scambiati all’anno in Italia - in conformità ai requisiti previsti dalla normativa europea per i SERCQ, il Regolamento “eIDAS” ha introdotto lo
standard REM, acronimo di “
Registered Electronic Mail”, che indica un
protocollo per i servizi di posta elettronica (simile alla PEC) che, però,
soddisfa appieno i
requisiti previsti dal Regolamento per il “servizio elettronico di recapito certificato qualificato”.
Dal punto di vista tecnico-operativo, la REM è, dunque, lo strumento che, una volta adottato, consente alla PEC di potere fare un passo in avanti e acquisire ulteriori caratteristiche, che ne aprono l’utilizzo tra i Paesi dell’UE, facendo divenire la
PEC “interoperabile” a livello europeo: è per questo che, in merito, si parla di “migrazione” dal servizio PEC italiano al servizio elettronico di recapito certificato qualificato secondo quanto previsto dal Regolamento “eIDAS”, inteso come passaggio a uno stadio più evoluto, che implementa nuovi servizi nell’assetto tradizionale della PEC.
Il processo di adeguamento della PEC
Per raggiungere tale risultato, nel 2018, l’Agenzia per l’Italia Digitale (AgID) ha costituito il primo Gruppo di Lavoro italiano, volto a definire le
regole che permettessero la
conformità del servizio PEC (Posta Elettronica Certificata)
al Regolamento “eIDAS”.
Sul piano legislativo, integrando le norme del CAD (Codice dell’amministrazione digitale), il D.L. 14 dicembre 2018, n. 135 (decreto Semplificazioni), prevede che, con decreto del Presidente del Consiglio dei Ministri, sentiti l’AgID e il Garante per la protezione dei dati personali, siano adottate le misure necessarie a garantire la conformità dei servizi di posta elettronica certificata (PEC), di cui agli artt. 29 e 48 del D.Lgs. 7 marzo 2005, n. 82 (per l’appunto, il CAD), al Regolamento (UE) n. 910/2014.
Nel 2020, il Gruppo di Lavoro presenta la prima proposta di una
Common Service Interface (CSI) - un’infrastruttura tecnologica condivisa tra gli operatori UE, per uno scambio sicuro tra i gestori di servizi di recapito qualificato - e redige un documento tecnico contenente le richieste per garantire l’interoperabilità tra i
Trust Service Provider europei: il documento viene esaminato dal Comitato tecnico ESI (
Electronic Signature and Infrastructures) e, poi, presentato alla commissione ETSI (
European Telecommunications Standards Institute), l’organismo internazionale che ha il compito di emettere gli
standard di telecomunicazione validi per l’Unione europea, che lo accoglie favorevolmente, lanciando il servizio
PEC verso i nuovi standard europei.
“REM Baseline”: i requisiti minimi della PEC
Nel 2022, il comitato tecnico ESI approva la versione finale della “
REM Baseline”: in concreto, si tratta di un documento tecnico che specifica l’insieme dei
requisiti minimi necessari da rispettare per garantire, nell’ambito dello standard ETSI REM, l’
interoperabilità a livello europeo e l’uso della
PEC come
servizio di recapito certificato qualificato.
La redazione delle regole tecniche sulla REM (REM Baseline) ha seguito il principio adottato della
minimizzazione delle modifiche all’architettura PEC.
Il nuovo standard ETSI
Nello stesso anno, l’AgID pubblica sul sito istituzionale le
regole tecniche ufficiali per i SERCQ, che rappresentano la base normativa italiana sulla quale i Gestori possono basare l'evoluzione del servizio PEC: in questo quadro, la “nuova” posta elettronica certificata assicura l’
autenticazione e l’identificazione di mittente e destinatario attraverso la registrazione dell’utenza presso un REMSP (
Registered Electronic Mail Service Provider) e l’individuazione dell’
utenza identificata.
In merito, nel giugno 2022, a seguito della pubblicazione del
nuovo standard ETSI EN 319 532-4, che rende effettiva l’interoperabilità a livello europeo dei sistemi di
eDelivery, qualificato in conformità al Regolamento “eIDAS”, basato sull’utilizzo del protocollo di trasporto REM, l’AgID dichiara che: “
Il nuovo standard ETSI specifica gli elementi chiave di un’interfaccia tecnologica condivisa (CSI - Common Service Interface) che consente finalmente il dialogo sicuro tra i Gestori di servizi di recapito qualificato e, di conseguenza, anche quello tra cittadini e imprese e enti governativi degli Stati Membri: vengono infatti certificate le identità dei possessori di un indirizzo di posta certificata, ovunque risiedano nella UE, l’integrità del contenuto nonché data e ora d’invio e ricezione dei messaggi.
In questo modo, l’italiana PEC si evolverà in un sistema di recapito elettronico certificato qualificato utilizzabile anche a livello europeo per lo scambio sicuro di comunicazioni elettroniche dotate di valore probatorio.” (AgID
, “Pubblicato il nuovo standard ETSI: la PEC europea diventa realtà”, 27 giugno 2022
).
I vantaggi della “migrazione” ai nuovi servizi
Il
processo di adeguamento ai requisiti previsti dal Regolamento “eIDAS” se, dal punto di vista dei
provider e grazie allo sviluppo da parte loro di nuove apposite piattaforme informatiche, comporta una evoluzione della PEC con i SERCQ conformi alla normativa “eIDAS”, nei fatti, per gli
utenti che già utilizzano la PEC, realizza una
migrazione verso tali nuovi servizi, che risulta indolore, grazie a pochi “clic”, che consentono di beneficiare, in più rispetto al “tradizionale” servizio PEC, della
verifica certa dell’identità del titolare della casella e di un ulteriore livello di
sicurezza all’accesso, grazie alla
doppia autenticazione (“verifica in 2 passaggi”).
Definizioni utili
L’art. 3 del Regolamento “eIDAS” fornisce, tra le altre, le seguenti definizioni:
- «servizio fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
- creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
- creazione, verifica e convalida di certificati di autenticazione di siti web; o
- conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;
- «servizio fiduciario qualificato», un servizio fiduciario che soddisfa i requisiti pertinenti, stabiliti nello stesso Regolamento “eIDAS”;
- «servizio elettronico di recapito certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;
- «servizio elettronico di recapito qualificato certificato», un servizio elettronico di recapito certificato che soddisfa i requisiti di cui all’art. 44 del medesimo Regolamento “eIDAS”.
|
A cura di Wolters Kluwer