Lo scorso 27 giugno AgID (Agenzia per l’Italia Digitale) ha annunciato la pubblicazione dello standard ETSI EN 319 532–4, cui ha contribuito anche l’Italia con AgID stessa e i gestori di posta certificata, riguardante i profili di interoperabilità fra i servizi di Registered Electronic Mail (REM).
La nuova norma giunge dopo un processo lungo che ha portato alla definizione di nuove specifiche tecniche per rendere effettiva l’interoperabilità a livello europeo di un servizio di e-delivery qualificato (servizio di recapito certificato qualificato) in conformità con il Regolamento eIDAS, basato sull’utilizzo del protocollo di trasporto REM (dal sito AgID).
Il nuovo standard si basa sul modello italiano della PEC e riguarda la proposta di un’infrastruttura tecnologica condivisa (CSI-Common Service Interface) che consente un dialogo sicuro tra i Gestori dei servizi di recapito qualificato - e di conseguenza anche quello tra cittadini e imprese ed enti - in scenari multi-provider e cross-border, garantendo identità dei mittenti, integrità del contenuto, data e ora d’invio e recezione dei messaggi di un indirizzo basato sul framework REM (Registrated Electronic Mail).
L’adozione di questo standard è fondamentale per far diventare la PEC interoperabile con altri servizi europei di recapito certificato, mantenendone il suo valore probatorio.
La PEC, nata in Italia nel 2005, ha decisamente migliorato il sistema di comunicazione fra cittadini, imprese e PA: basti pensare alla riduzione di carta, al risparmio di tempo, alla riduzione degli spostamenti, alla rapidità in generale del servizio oltre che al valore probatorio garantito, per definizione e progettazione alla comunicazione stessa.
Ad oggi la PEC in Italia è uno strumento indispensabile e centrale tra le tecnologie digitali: nel 2021 si contano 13.912.811 account PEC che hanno generato 474.342.698 messaggi. Nel 2022, nel primo semestre, si contano 14.414.551 account PEC che hanno generato 492.932.292 messaggi (dati cumulati tratti dal sito AgID). I numeri mostrano dunque una crescente diffusione dello strumento PEC fra i cittadini i quali, in virtù di quanto stabilito dalla normativa italiana possono usare questo strumento, nei confronti della Pubblica Amministrazione, come sostituto della Firma elettronica Avanzata.
Ma come si è arrivati a parlare di evoluzione pan-europea della PEC? Cosa è lo standard ETSI EN 319 532?
Facciamo un passo indietro.
Il percorso storico PEC – REM - eIDAS
PEC
Con la legge n.3/2003, il legislatore italiano ha introdotto il concetto di innovazione tecnologica nelle PA prevedendo - tra gli obiettivi da raggiungere - all’Art. 27 lettera e) l’estensione dell’uso della posta elettronica nell’ambito delle PA e dei rapporti tra PA e privati.
Il D.P.R. 11 febbraio 2005 n.68 “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della Legge 16 gennaio 2003, n. 3” ha definito il termine “Posta elettronica certificata” e stabilisce le regole tecniche ed operative per la gestione dell’invio e della ricezione dei messaggi di posta elettronica certificata, non solo nei rapporti con la PA ma anche tra privati.
Inoltre, sono stati definiti con chiarezza i soggetti coinvolti nella corrispondenza: il Mittente, il Destinatario e il Gestore del servizio ossia colui che eroga il servizio e gestisce i domini, cioè il soggetto terzo che certifica l’avvenuta trasmissione e ricezione del messaggio apponendo una firma elettronica su ogni e-mail garantendone integrità e autenticità.
L’invio di un messaggio di Posta elettronica certificata, però, è equivalente all’invio di una raccomandata cartacea con avviso di ritorno secondo quanto previsto dall’art. 48 del D.lgs 7 marzo 2005 n.82 (CAD – Codice Amministrazione Digitale) così come successivamente modificato dal D.lgs 13 dicembre 2017, n. 217.
Data e ora di trasmissione e ricezione di un documento informatico risultano opponibili a terzi solo se conformi alle disposizioni di cui al D.P.R. 11 febbraio 2005 n.68 e alle relative regole tecniche.
Si sono poi susseguiti interventi normativi volti a stabilire sia le modalità di accreditamento per i soggetti che volevano svolgere il ruolo di gestore PEC, sia una serie di regole per la vigilanza e il controllo esercitati sui gestori PEC da parte di AgID.
Erano comunque gli arbori dell’introduzione del sistema di recapito certificato Italiano e il nostro Paese insieme a pochi altri si era mosso in autonomia.
Si era ben lontani dall’emanazione del Regolamento (UE) n° 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, meglio noto come eIDAS, ma comunque prossimi al lavoro di standardizzazione promosso dall’ETSI, acronimo di European Telecommunications Standards Institute, e dal suo comitato ESI, l’Electronic Signature and Infrastructure.
Infatti, ogni strumento di comunicazione per ogni Stato Membro era vincolato alle norme nazionali e a specifici requisiti tecnici tali da ostacolarne l’interoperabilità a livello europeo.
REM
Al tempo, nel panorama europeo, altri Stati oltre l’Italia (come Belgio e Germania) avevano cominciato ad adottare i propri sistemi di corrispondenza elettronica con valore legale differente da quello ordinario.
Tuttavia, l’utilizzo diffuso ha portato all’attenzione dell’ETSI la necessità di stabilire delle basi comuni per garantire l’interazione tra i diversi servizi di trasmissione dei dati al fine di superare i limiti delle norme locali per la validità e il confronto.
È infatti il 2006, l’anno in cui parte un complesso studio ad opera dell’ente che ha prodotto l’emissione di alcune specifiche tecniche nell’agosto del 2008 rinominate in ETSI TS 102 640 riguardanti la così definita Registered Electronic Mail identificata nell’acronimo REM: “Enhanced form of mail transmitted by electronic means (e-mail) which provides evidence relating to the handling of an e-mail including proof of submission and delivery”
Ossia, una forma avanzata di corrispondenza trasmessa per via elettronica che fornisce prove dell’invio e della consegna.
“The present Technical Specification is to ensure a consistent form of service across Europe, especially with regard to the form of evidence provided, in order to maximize interoperability even between e-mail domains governed by different policy rules”
*dall’introduzione TS 102640 -1
Quindi, nella sezione introduttiva del documento che illustra ETSI TS 102 640 -1 si chiarisce che l’obiettivo della specifica tecnica è quello di garantire un servizio che sia coerente in Europa per quanto riguarda il mezzo di prova fornito, allo scopo di assicurare quanto meno interoperabilità tecnica dei domini di posta elettronica anche se definiti da regole Nazionali diverse.
Difatti, la REM è ispirata dall’esperienza della PEC Italiana e propone a livello europeo una base per la standardizzazione. È quindi una particolare “istanza” di un ERDS (Electronic Registered Delivery Services) che si basa sui protocolli della posta elettronica e i relativi standard. l nostro Paese è stato pioneristico, come in altri contesti, in questo campo nell’ideare e proporre a livello europeo un sistema di recapito certificato.
La REM rappresenta, quindi, una base tecnica comune per la realizzazione di servizi di recapito certificato interoperabili tra i gestori che volessero adottare questi standard. Il framework ha avuto lo scopo di fornire agli utenti un mezzo di scambio di informazioni idoneo a garantirne valore probatorio tramite lo strumento della notifica di invio e ricezione di un messaggio di posta certificata.
Si tratta di un modello che ha lo scopo di supportare varie implementazioni di REM che possono originare diversi modelli di funzionamento ma che presentino una funzionalità e logica certa.
Oltre questo, la norma prevede anche un sistema di liste di operatori allo scopo di consentire al gestore di una REM di farsi riconoscere e di riconoscere un altro Gestore all’interno dell’Unione Europea.
Il set di standard tecnici ETSI TS 102 640, diviso in cinque parti (Architecture; Data requirements, Formats and Signatures for REM; Information Security Policy Requirements for REM Management Domains; REM-MD Conformance Profiles; REM-MD Interoperability Profiles) è stato poi modificato, arricchito e armonizzato nel corso degli anni, sempre allo scopo di identificare una forma coerente di prova per la posta elettronica in tutta Europa.
eIDAS – ETSI EN
Nel 2014, con effettiva attuazione dal 01 luglio 2016, è entrato in vigore il Regolamento (UE) n°910/2014 noto come eIDAS allo scopo di intraprendere un percorso di armonizzazione, a livello comunitario, dei meccanismi di identificazione elettronica e dei servizi fiduciari per le transazioni elettroniche. Nell’ambito di questa armonizzazione, eIDAS ha spronato gli Stati Membri a dotarsi di un sistema sicuro e affidabile per le comunicazioni, senza però imporne uno valido per tutti.
Gli strumenti di comunicazione e di trasmissione dei dati diffusi nei diversi Paesi UE, infatti, prima delle norme erano vincolati alle norme nazionali e legati a specifici requisiti tecnici che ne impedivano l’interoperabilità.
Dato però il successo di uno strumento di corrispondenza così importante come nel caso della PEC e nell’ambito del progetto di creazione di un mercato unico digitale, il regolamento eIDAS ha riconosciuto la REM come servizio elettronico di recapito certificato, ossia un servizio uno dei servizi fiduciari di base stabiliti nel regolamento eIDAS che quindi, come tale, può essere erogato da un prestatore qualificato secondo quanto stabilito dal medesimo regolamento.
Successivamente, con l’obiettivo di supportare la realizzazione di servizi di recapito conformi ai requisiti specificati negli articoli 43 e 44 eIDAS relativi ai Registered Electronic Mail Services e Electronic Registered Delivery Services (ERDC o SERC in italiano), nell’ottobre del 2016 ETSI ha avviato (per conto della Commissione UE) un processo di armonizzazione che è partito dalla ETSI TS 102 640 e si è concluso nel 2018 con la pubblicazione della norma multi-parte ETSI EN 319 532.
È in questo particolare momento, infatti, che si passa da una specifica tecnica (TS: Technical Specification) a una norma europea (EN: European Norm). È la ETSI EN 319 532, la norma applicabile ai servizi elettronici di recapito certificato qualificati così come previsto all’art. 44 del Regolamento eIDAS.
L’art. 43 chiarisce gli effetti giuridici di un servizio di recapito certificato, stabilendo che il contenuto delle corrispondenze certificate godono degli effetti giuridici e dell’ammissibilità come prova nei procedimenti giudiziali anche nel caso di dati inviati e ricevuti mediante un servizio di recapito certificato ma non qualificato.
Godono, inoltre, di presunzione di integrità dei dati che passa dall’invio di questi da parte del mittente e della loro recezione da parte di un destinatario identificato, dall’accuratezza della data e dell’ora di invio e ricezione indicate dal servizio.
All’articolo 44 invece, vengono espressamente elencati i requisiti che un servizio elettronico di recapito certificato deve possedere per definirsi qualificato e dunque interoperabile a livello europeo, tra i quali possiamo citare:
- Garanzia di un elevato livello di sicurezza di identificazione del mittente
- Garanzia di identificazione del destinatario prima della trasmissione dei dati
- Indicazione chiara e puntuale di una qualsiasi modifica dei dati sia al destinatario che al mittente
E la PEC?
Come argomentato, la ETSI EN 319 532 delinea un quadro normativo necessario al funzionamento della tecnologia REM che ai fini della validità negli scambi intraeuropei, richiede:
- la garanzia dell’identificazione del destinatario della corrispondenza prima della trasmissione dei dati;
- un elevato livello di sicurezza per l’identificazione del mittente.
La PEC, così come definita a livello nazionale, rispetta tutti i principi richiesti da eIDAS, ma pecca di qualifica ai sensi dell’Art. 44.
Infatti, fin quando non sono stati eseguiti i necessari adeguamenti e superati i dovuti test non è stato possibile riconoscere la PEC come strumento in grado di garantire l’identificazione preventiva delle parti nelle corrispondenze e dunque non è stato possibile considerarla come sistema di recapito certificato qualificato, quindi interoperabile a livello europeo.
C’è comunque da considerare che una delle chiavi di successo della PEC in Italia, e agli occhi degli Stati Membri, è stata l’implementazione di un sistema distribuito basato appunto su una pluralità di service provider sottoposti alla vigilanza e al controllo da parte dell’Agenzia per L’Italia Digitale (AgID). Questo fattore ha concorso a garantire comunque livelli di sicurezza e affidabilità non indifferenti.
AgID ha svolto il ruolo di garante della qualificazione, garante della vigilanza e dell’operatività di questi gestori. Tuttavia, la PEC, ancora non poteva considerarsi un servizio qualificato, ovvero poteva considerarsi un servizio qualificato a livello nazionale.
È questa la ragione per cui AgID nel 2019 ha istituito un tavolo di lavoro coinvolgendo tutti i gestori PEC (riuniti in Assocertificatori) al fine di adoperare sul sistema di posta elettronica certificata gli opportuni aggiustamenti per farla evolvere in un servizio di recapito qualificato ai sensi del Regolamento eIDAS.
Il gruppo ha riconosciuto l’opportunità di adeguare la PEC alla norma che stava subendo un suo iter di aggiornamento e adeguamento, fino ad arrivare all’ETSI EN 319 532-4.
L’evoluzione della PEC a servizio qualificato ha riguardato quindi il meccanismo di garanzia dell’autenticazione e identificazione del mittente e del destinatario che passa attraverso la registrazione dell’utenza presso un REM SP (service provider), al fine di identificare prima dell’utilizzo del servizio, le parti coinvolte.
Parallelamente quindi, dal gruppo di lavoro è emersa la necessità di aggiornare lo standard ETSI in collaborazione con l’European Telecomunications Standard Instiutite.
Nel 2020 si sono aggiunti al tavolo dei lavori altri Stati Membri rendendo possibile la definizione dei requisiti minimi che ogni servizio di recapito certificato e qualificato deve rispettare per avere l’interoperabilità a livello europeo.
La verifica degli esiti dei lavori si è concretizzata nell’opportunità di partecipare ai Plugtest che ogni servizio di recapito certificato deve svolgere per la verifica della loro adeguatezza agli standard. Il nostro Paese con gli adeguamenti effettuati sulla PEC ha superato questi test, dimostrando quindi il rispetto dei requisiti stabiliti da ETSI EN 319 532 come previsto all’Art. 44 del Regolamento eIDAS.
Nel 2021 AgID ha poi redatto e pubblicato il documento “REM Service-criteri di adozione degli standard ETSI-Policy IT” contenente la proposta delle regole tecniche da seguire per i servizi di recapito certificato qualificato in compliance a EIDAS.
Si attendeva quindi, approvazione da parte della commissione europea.
A gennaio 2022 vi è stata la pubblicazione della bozza dello standard, approvato il 2 maggio.
Il processo di adeguamento iniziato presso tutti i gestori di PEC vedrà la sua conclusione entro il 2024: infatti, sebbene il passo fatto sia decisivo, la strada per la sua piena applicazione è ancora lunga.