Come è noto il Regolamento 910/2014 noto anche come eIDAS ha introdotto i servizi elettronici di recapito certificato come un “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate”.

La nostra Posta Elettronica Certificata è certamente un servizio elettronico di recapito certificato ma, con scelta che lascia estremamente perplessi, il Legislatore nazionale ha stabilito con le recenti modifiche al Codice dell’amministrazione digitale (CAD) che “ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’utilizzo di altro servizio elettronico di recapito certificato” (art. 1, comma 1-ter).

In questa sede non si intende dettagliare gli elementi che lasciano perplessi ma è facile comprendere che il sistema PEC, ben definito in termini organizzativi e tecnologici anche ai fini della sicurezza e dell’interoperabilità del sistema non può interagire con un principio tecnologicamente neutro come quello stabilito in eIDAS per i servizi elettronici di recapito certificato.

Le istituzioni hanno ben presente il problema e a breve, nel previsto decreto correttivo del CAD, potremmo trovare adeguate modifiche sul tema. Certamente AgID ha ben chiara la necessità di adeguare la normativa nazionale sulla PEC a quanto stabilito nell’articolo 44 di eIDAS in tema di requisiti per i servizi elettronici di recapito certificato qualificati.

Un requisito da aggiornare nella PEC è relativo alla garanzia dell’identificazione del destinatario prima della trasmissione dei dati ma anche il livello di sicurezza per l’identificazione del mittente.

Nel frattempo ETSI per conto della Commissione UE ha iniziato l’attività di standardizzazione basata su 7 documenti con previsione di conclusione a fine febbraio 2019 con la pubblicazione di tutti i documenti previsti.

Una decisione di esecuzione della Commissione europea seguente all’approvazione degli standard ETSI da parte degli Stati membri sancirà l’obbligo per questi ultimi di applicare queste regole.

E’ utile ricordare che uno di questi standard conterrà l’evoluzione delle regole per la Registered Electronic Mail (REM) e che i servizi elettronici di recapito certificato non sono solamente basati su meccanismi di posta elettronica.

Il lettore che vuole approfondire questi temi può consultare il seguente documento ETSI