Regolamento eIDAS e recapiti elettronici certificati: gli impatti sulle soluzioni italiane
Tra le nuove soluzioni introdotte dal Regolamento europeo eIDAS in materia di identificazione elettronica e servizi fiduciari, figura anche il servizio elettronico di recapito certificato. Stando alle dichiarazioni degli addetti ai lavori, lo standard di riferimento di tale servizio, a cura dello European Telecommunications Standards Institute (ETSI), sarebbe prossimo al rilascio.
In considerazione di ciò, Giovanni Manca ha approfondito l’argomento su Agenda Digitale, riflettendo su come l’introduzione di questo nuovo strumento influirà sulle regole e le soluzioni in materia adottate in ambito nazionale. L’attenzione si concentra in particolare sulla posta elettronica certificata, in via di evoluzione, come scrive lo stesso Manca in apertura, verso lo strumento del domicilio digitale.
L’approfondimento si apre con una introduzione degli argomenti trattati:
Eidas, Pec, Serc e Rem
La nostra Posta Elettronica Certificata è certamente un servizio elettronico di recapito certificato e il Legislatore nel decreto legislativo 217/2017 ha modificato il Codice dell’amministrazione digitale (CAD) stabilendo che (art. 1, comma 1-ter) “Ove la legge consente l’utilizzo della posta elettronica certificata è ammesso anche l’altro servizio elettronico di recapito certificato qualificato ai sensi degli articoli 3, numero 37) e 44 del Regolamento eIDAS”.
Il servizio elettronico di recapito certificato (SERC) è uno dei servizi fiduciari di base stabiliti nel Regolamento eIDAS (Regolamento UE 910/2014) e come tale può essere erogato da un prestatore qualificato secondo quanto stabilito nel Regolamento medesimo. Esso è analogo all’emissione di certificati qualificati per la firma o di marche temporali che già hanno visto la qualifica di decine di soggetti in tutta Europa.
Rispetto alla nostra PEC il servizio europeo richiede la garanzia dell’identificazione del destinatario prima della trasmissione dei dati e anche un elevato livello di sicurezza per l’identificazione del mittente. Per il resto PEC e SERC soddisfano i principi richiesti, tecnologicamente neutri, di data e ora dell’invio e ricezione e di integrità dei dati.
I requisiti dei SERC qualificati
In particolare i SERC qualificati soddisfano i seguenti requisiti (articolo 44 del regolamento eIDAS):
- sono forniti da uno o più prestatori di servizi fiduciari;
- garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
- garantiscono l’identificazione del destinatario prima della trasmissione (nella versione inglese del regolamento 910/2014 il termine usato è delivery che significa consegna/recapito; quindi si rileva una differente traduzione di delivery tra il titolo dell’articolo e questa parola dell’articolo stesso) dei dati;
- l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
- qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
- la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata;
Qualora i dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti stabiliti nella lista precedente devono essere applicati a tutti i prestatori di servizi fiduciari qualificati.
Alcuni anni fa l’ente di standardizzazione europeo ETSI aveva standardizzato la REM (Registered Electronic Mail) in modo molto simile alla PEC senza però, ovviamente, tenere in conto i requisiti eIDAS perché stabiliti successivamente.