eIDAS e servizi di consegna qualificati: cosa sono e quanto sono diffusi

Pubblicato: 2022-10-27

In questo post, ci concentreremo su un tema importante e di attualità, con alcuni importanti aggiornamenti all'orizzonte. Inizieremo con questioni tecniche e legislative, ma queste hanno un impatto quotidiano sulla vita di tutti noi: sia come individui che come aziende.

Si tratta del Servizio Elettronico di Consegna Certificata Qualificata, noto come SERCQ. È bene partire, quindi, con il quadro relativo alle normative vigenti; ci arriveremo nella prossima sezione.

Successivamente, esamineremo le differenze tra SERCQ (Qualified Certified Electronic Delivery Service) e SERC (Certified Electronic Delivery Service) e quindi ci concentreremo sulla PEC , che è specifica per l'ecosistema digitale e legislativo italiano. Qui, si noti che sono in arrivo nuovi sviluppi in questo campo e tutti mirano a collocare la PEC all'interno degli standard europei unificati.

Procediamo con ordine.

Nuovo invito all'azione

Servizio di consegna certificati elettronici qualificato ed eIDAS

Spacchettamo velocemente un altro acronimo che sta alla base di questa discussione: eIDAS (electronic IDentification, Authentication and trust Services) è il regolamento europeo 910/2014 che si concentra sull'identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel mercato interno.

eIDAS fornisce una base normativa comune per interazioni elettroniche sicure tra cittadini, imprese e pubbliche amministrazioni nell'Unione Europea . Inoltre, eIDAS affronta la sicurezza, la trasparenza e l'efficacia dei servizi elettronici e delle transazioni di e-business e di e-commerce.

Tale regolamento ha introdotto, tra l'altro, il Servizio di recapito elettronico certificato ( SERC ) e il Servizio di recapito elettronico certificato qualificato ( SERCQ ). Questi due acronimi possono essere fuorvianti e confondenti. Occorre infatti prestare molta attenzione, in quanto esistono differenze decisive tra i due sistemi , che hanno impatti decisivi a livello giuridico e burocratico più in generale.

A questo proposito, ci interessano di più gli articoli 43 e 44. Ve li spieghiamo in dettaglio di seguito:

  • Articolo 43: Gli effetti giuridici di un servizio di recapito elettronico certificato
  1. Ai dati trasmessi e ricevuti tramite un servizio di recapito elettronico certificato non sono negati gli effetti giuridici e l'ammissibilità come prova in giudizio per il solo fatto della loro forma elettronica o perché non rispondenti ai requisiti del servizio di recapito elettronico certificato qualificato.
  2. I dati inviati e ricevuti dal servizio di recapito elettronico qualificato godranno della presunzione dell'integrità dei dati, dell'invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato, e dell'esattezza della data e dell'ora di invio e ricezione indicate dal servizio di recapito elettronico certificato qualificato.
  • Articolo 44: Requisiti per i servizi di recapito elettronico certificati qualificati
  1. I servizi di consegna elettronica certificati qualificati devono soddisfare i seguenti requisiti:

a) sono forniti da uno o più prestatori di servizi fiduciari qualificati;

(b) garantire l'identificazione del mittente con un elevato livello di sicurezza;

(c) garantire l'identificazione del destinatario prima della trasmissione dei dati;

(d) l'invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato, in modo da escludere la possibilità che i dati siano modificati in modo non rilevabile;

(e) le eventuali modifiche ai dati necessarie per inviarli o riceverli sono chiaramente indicate al mittente e destinatario dei dati;

(f) la data e l'ora di invio e ricezione e l'eventuale modifica dei dati sono indicate da una marca temporale elettronica qualificata.

Qualora i dati siano trasferiti tra due o più prestatori di servizi fiduciari qualificati, i requisiti di cui alle lettere da a) a f) si applicano a tutti i prestatori di servizi fiduciari qualificati.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di invio e ricezione dei dati. Il rispetto dei requisiti di cui al comma 1 si presume qualora il processo di invio e ricezione dei dati soddisfi tali standard. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.

Le differenze tra il servizio di consegna elettronica certificato (SERC) e il servizio di consegna elettronico certificato qualificato (SERCQ)

Qui arriviamo ad un punto delicato e importante, quello relativo alle differenze tra SERC e SERCQ . Il regolamento eIDAS che abbiamo citato poco sopra è esaustivo al riguardo. Ma riassumiamolo di seguito, in modo netto e chiaro.

SERC consente la trasmissione elettronica di dati tra terzi, fornisce prove in merito al trattamento dei dati trasmessi, inclusa la prova che i dati sono stati inviati e ricevuti, e protegge i dati trasmessi dal rischio di perdita, furto o modifica non autorizzata. Soddisfa inoltre i principi richiesti di "accuratezza della data e dell'ora di invio e ricezione". Ciò che manca al SERC sono le garanzie, con alti livelli di sicurezza, dell'identificazione del mittente, in primis. E poi del destinatario, nelle fasi precedenti alla trasmissione dei dati. E sono proprio queste le caratteristiche e gli standard garantiti dal Servizio Elettronico di Consegna Certificata Qualificata (SERCQ). Nel contesto dell'Unione Europea, i sistemi SERC e SERCQ sono ormai diffusi, a tutti i livelli. L'Italia, in questo senso, è un'anomalia.

Attualmente abbiamo PEC solo in Italia. La normativa italiana, però, già consente l'utilizzo dei servizi SERCQ: tradotti, è solo questione di tempo prima che si diffondano ampiamente anche qui. Prepararsi in anticipo può essere un importante vantaggio competitivo.

Inoltre, presta attenzione a un altro aspetto. Ci sono alcuni importanti sviluppi all'orizzonte solo sul fronte PEC, che potrebbe presto adattarsi agli standard SERCQ. Ne parleremo nella prossima sezione.

Il futuro della PEC punta verso SERCQ

La PEC (Posta Elettronica Certificata) è qualcosa che tutti conosciamo. Ora è uno strumento quotidiano per un ampio segmento di professionisti e non solo. Secondo gli ultimi dati disponibili, gli indirizzi PEC attivi sono più di 14 milioni ; mentre, nel 2016, erano tra i 7 e gli 8 milioni.

Semplificando, si può dire che PEC corrisponde alla vecchia raccomandata con ricevuta di ritorno; e, come abbiamo sottolineato sopra, è una particolarità tutta italiana che però si sta adeguando agli standard europei. Ma procediamo con ordine.

Quel che è certo è che il PEC può essere considerato un Servizio di Consegna Elettronica Certificata (SERC), in quanto risponde ai requisiti di cui all'articolo 43 del regolamento eIDAS che abbiamo citato sopra. Attenzione, però: non può essere considerato un Servizio di Consegna Elettronica Certificata Qualificato (SERCQ).

La distinzione, infatti, è quella che abbiamo già isolato poco sopra: le garanzie su mittente e destinatario. In particolare, allo stato attuale, non è prevista una verifica certa dell'identità del richiedente della casella PEC. Inoltre, non vi è nemmeno l'obbligo per l'operatore di sottoporsi a audit di conformità obbligatori da parte degli organismi designati. Ecco perché lo spam e alcune truffe a volte arrivano anche nella casella di posta delle caselle di posta certificate: la PEC ha procedure più semplificate (quindi meno sicure) per identificare i richiedenti (più leggere e aggirabili, ad esempio, di quelle previste per SPID).

La buona notizia, tuttavia, è che la PEC non sta ferma . Della sua evoluzione si discute ormai da tempo, e il percorso sembra già ben segnato nella direzione del suo inserimento tra i Servizi di Consegna Elettronica Certificata Qualificati.

Ci sono due acronimi da tenere a mente in questo percorso: ETSI e REM . ETSI è l'Istituto europeo per gli standard delle telecomunicazioni. Questi sono gli standard dedicati all'interoperabilità a livello dell'Unione Europea dei sistemi di firma digitale e dei sistemi REM. Ed ecco il nostro secondo acronimo: Registered Electronic Mail. I protocolli REM includono già la PEC italiana.

Senza perdersi in tecnicismi, basti pensare che nel 2019 è stato costituito un gruppo di lavoro tra Agenzia Italia Digitale, operatori PEC, Uninfo e Assocertificatori che sta definendo le regole tecniche necessarie per fare “rank up” PEC affinché possa essere conforme agli standard europei richiesti per il Servizio Qualificato di Consegna Elettronica Certificata (SERCQ).

Questo per evitare la creazione di strumenti alternativi. In effetti, soppiantare uno strumento ampiamente utilizzato e diffuso come il CEM sarebbe lento, molto inefficiente e sicuramente antieconomico.

Oltre la conformità: le opportunità di una digitalizzazione matura

Quando si parla di digitalizzazione, identità digitale, autenticazione e sistemi di certificazione, non bisogna mai dimenticarlo: non si tratta solo di adempimenti, ma di opportunità da cogliere . Innanzitutto ci sono i grandi vantaggi in termini di sicurezza, trasparenza, convenienza e maggiore efficienza.

Ma c'è un'ulteriore parola chiave da tenere sempre a mente: integrazione . Questa è una parola chiave assolutamente determinante quando si passa dal regno dei privati ​​a quello delle imprese.

Insomma, una vera rivoluzione, che si trasforma in una spirale di continua ottimizzazione!