La PEC europea sta arrivando e, per non arrivare impreparati, è utile muoversi per tempo per adeguare la propria casella di posta certificata. [FM1] Ma cosa si può fare, quali sono i vantaggi, come semplificherà la vita di tante aziende italiane? Per provare a capirne di più, e sottolineare il ruolo dell’Italia in questo processo, abbiamo rivolto queste e altre domande a Marco Mangiulli, CIO & Head of Software Development di Aruba, e Andrea Caccia, esperto UNINFO, ente federato dell’UNI per la standardizzazione in ambito ICT.
Partiamo dall’inizio. Cos’è la PEC europea?
Marco Mangiulli: È un servizio di recapito certificato qualificato conforme ad eIDAS, il Regolamento europeo sui servizi fiduciari che a partire dal 2014 ha sostituito la direttiva 1999/93/CE sulle firme elettroniche. È un servizio che di fatto risulta potenziato rispetto alla PEC attuale, avendo tra le sue caratteristiche distintive l'interoperabilità, ovvero la capacità di ‘interoperare’ al di fuori dei confini nazionali proprio perché basata su standard europei. La PEC europea prevede, inoltre, un maggiore livello di affidabilità nel riconoscimento e nell’identificazione del titolare della casella, e di conseguenza del mittente e dei destinatari dei messaggi scambiati.
Come semplificherà la vita alle tante Pmi e ai tanti professionisti italiani?
Marco Mangiulli: Sicuramente avranno tutti i vantaggi di cui hanno potuto godere in quasi 20 anni di utilizzo della Posta Elettronica Certificata. Parliamo di efficienza, riduzione dei tempi di attesa, digitalizzazione dei processi, riduzione degli spazi destinati all’archiviazione dei documenti analogici, riduzione degli spostamenti e quindi della CO2, ed in generale di tutto il valore che la PEC ha generato direttamente o indirettamente in questi anni. Avere un servizio che va al di fuori dai confini italiani e diventa europeo permetterà di raggiungere, anche per il recapito elettronico, gli obiettivi fondamentali del regolamento eIDAS: promuovere l’interoperabilità dei servizi digitali all’interno dell’Unione europea e il mutuo riconoscimento di questi servizi fra i vari stati membri, ma anche rafforzare sicurezza e fiducia nei cittadini e agevolare lo sviluppo dell’economia digitale preservando privacy e sicurezza dei dati dei singoli utenti.
Andrea Caccia: La PEC oggi è uno strumento che ha già incontrato il favore del pubblico. Quella europea dà il vantaggio di avere una certezza legale in un contesto crossborder. L’Europa sta introducendo progressivamente una serie di misure volte al digitale, come la riforma dell’Iva, che necessitano di strumenti di comunicazione affidabili. Le imprese, del resto, hanno già la possibilità di eliminare alcuni adempimenti fiscali grazie a strumenti di questo tipo e che permettono di scambiare contratti e messaggi. Ma anche i vari strumenti di partecipazione alle gare avranno sempre più bisogno di meccanismi che garantiscono autenticità e integrità come la PEC europea o altri sistemi che sono interoperabili solo se basati su standard. Ciò che oggi facciamo con la PEC dovremmo farlo sempre di più, col passare del tempo, con altri soggetti e autorità europee. Insomma, si andrà sempre più verso questa direzione è avere uno strumento digitale, standardizzato e riconosciuto, che permetta di svolgere queste funzioni in maniera semplice, non può che essere utile per l’utente. Sottolineo inoltre che adottando uno strumento del genere non si andrà a perdere nulla ma, invece, si avranno dei vantaggi rispetto alla situazione attuale dove non si ha ancora certezza del mittente e del destinatario dei messaggi. Questa esigenza porta spesso alla richiesta di allegare alla PEC la copia di un documento di identità, pratica poco sicura che espone il mittente al rischio di furto di identità.
Come si attiva una PEC europea con Aruba?
Marco Mangiulli: Il processo per aggiornare la propria casella e renderla conforme alla PEC europea è davvero trasparente dal punto di vista dell’utente finale. Il servizio e le modalità di fruizione continueranno ad essere le stesse, così come l’indirizzo di posta, ma ci saranno dei semplici step di aggiornamento che consentiranno di adempiere ai requisiti aggiuntivi previsti dal regolamento eIDAS. L’utente che ha già una casella PEC non deve far altro che lasciarsi guidare dal gestore nelle procedure minime che servono per l’aggiornamento: farsi identificare in maniera certa (utilizzando strumenti ormai di uso comune come ad esempio Spid o firma digitale) e abilitare un meccanismo di autentificazione multi-fattore che introduce un maggior livello di sicurezza, fondamentale per proteggere l’accesso ai servizi fiduciari come il recapito qualificato. Abbiamo cercato di venire incontro a tutti gli utenti, fornendo diverse alternative, per semplificare al massimo questi passaggi.
I mittenti saranno identificati più facilmente?
Marco Mangiulli: Sia i mittenti che i destinatari saranno identificati dai rispettivi gestori. Di base ogni titolare di una PEC europea sarà un utente identificato in maniera certa. Sarà sempre possibile, di conseguenza, tracciare il mittente e i destinatari di ogni comunicazione certificata, così come certificare tutti gli eventi che attestano l’invio e la ricezione dei messaggi, la data/ora certa e l’integrità dei dati trasmessi. Questo grazie ad uno standard interoperabile a livello europeo, alle evidenze generate dai gestori e a tutte le informazioni che ogni gestore è obbligato ad annotare e conservare in maniera affidabile secondo tempistiche e modalità definite dal quadro normativo.
L’Italia è in prima linea nello sviluppo della PEC europea. Come mai?
Andrea Caccia: La PEC è nata molto tempo fa ma con l’entrata in vigore del regolamento eIDAS, che regola i servizi di recapito certificato a livello europeo, si è creata di fatto una situazione per cui nei vari stati dell’Unione sono state introdotte delle modalità di recapito certificato compatibili con eIDAS ma non interoperabili in quanto nessuno basato su standard, non consentendo di cogliere l’opportunità offerta dal Regolamento. Inoltre, solo un servizio qualificabile può ambire ad avere quelle caratteristiche di natura legale (garanzia della data certa, dell’invio e dell’integrità del messaggio, etc..), ma questo non è possibile se manca l’identificazione di mittente e destinatario. Questo sia nella PEC che in altri sistemi in uso in Europa. La differenza è che la PEC, in Italia, già al momento dell’entrata in vigore di eIDAS, aveva un numero di utenti elevatissimo e questo fa dell’Italia un unicum non solo a livello europeo ma mondiale. Il passaggio a un sistema di recapito basato su standard unito alla massa critica della PEC può portare a cogliere le opportunità offerte dalla base legale comune fornita da eIDAS.
Marco Mangiulli: Il fatto che l’Italia avesse quei numeri elevatissimi, milioni di caselle e miliardi e di messaggi scambiati ogni anno, ha fatto sì che noi potessimo contare sull’esperienza derivante da un caso d’uso unico al mondo nell’ambito del recapito qualificato. Quando il gruppo di lavoro italiano ha iniziato a definire gli step necessari per aggiornare la PEC agli standard europei ha analizzato questi standard in maniera approfondita, evidenziando che, come tutti gli standard non ancora applicati su larga scala, ci fossero delle indicazioni di alto livello che nella pratica non erano utilizzabili, almeno per scenari unici come quello italiano con tanti gestori, milioni di caselle e miliardi di messaggi scambiati ogni anno. Lo sforzo tutto italiano è stato quindi quello di rivedere in maniera critica questi standard e proporre delle modifiche motivandole con esempi e test realmente effettuati. Queste modifiche sono state poi approvate dalle commissioni competenti. Se oggi abbiamo degli standard applicabili in scenari di utilizzo complessi lo dobbiamo soprattutto allo sforzo dell’Italia che, grazie al suo unicum, ha potuto verificare la distanza reale tra uno standard contenente indicazioni di alto livello e uno contenente tutti i dettagli necessari alla sua applicazione in un contesto reale.
Ci saranno altre modifiche per il regolamento Eidas?
Andrea Caccia: Il regolamento eIDAS, essendo un provvedimento legale, prevede dei principi che sono neutrali. Il regolamento prevede la possibilità di referenziare degli standard tramite la pubblicazione di atti delegati da parte della Commissione europea ma non consente di definire delle specifiche tecniche. Finora questi atti non sono stati emessi, forse nella speranza che il mercato si autoregolasse, ma anche come conseguenza dell’attuale frammentazione. Il passo compiuto dall’Italia può modificare questa situazione grazie ai numeri che si porterà dietro. Inoltre, il regolamento eIDAS è in fase di revisione e una delle modifiche che potrebbe venire attuata è quella di porre l’obbligo per la Commissione, non soltanto la facoltà, di referenziare gli standard. Una misura che dovrebbe orientare il mercato verso soluzioni interoperabili, eliminando le tante ‘isole’ proposte singolarmente dai gestori di recapito certificato dando una linea più chiara e precisa.
La PEC europea diventerà obbligatoria negli anni?
Marco Mangiulli: In Europa è difficile parlare di obblighi nell’utilizzo di uno specifico servizio. Quello che potrebbe succedere però è che i vantaggi di questo strumento possano diventare tali e tanti che, più di parlare di obbligo, si può immaginarne un’adozione massiva. I vantaggi sono indubbi: il costo di un invio tramite un sistema di recapito qualificato è una frazione piccolissima del costo di una raccomandata cartacea o di altri strumenti che danno stesse garanzie legali. Si riducono, inoltre, i ‘viaggi’ delle raccomandate e quello che comportano in termini di gestione, tempi d’attesa, inquinamento e archiviazione “tradizionale”. Tutti questi elementi fanno pensare ad investimenti molto rilevamenti nello sviluppo di questi servizi, che potranno a loro volta generare un indotto importante.
Non ci saranno costi maggiori per gli utenti?
Marco Mangiulli: Aruba sta sostenendo tutti i costi di adeguamento del servizio e agli utenti che hanno una PEC non viene richiesto alcun onere aggiuntivo per aggiornare la propria casella. Abbiamo già da tempo predisposto un percorso guidato che consente di effettuare l’aggiornamento della casella in maniera assolutamente gratuita.
Quando una persona dovrebbe aggiornare la PEC?
Marco Mangiulli: Noi invitiamo i titolari di casella a farlo il prima possibile per due motivi: non ci sono oneri e ci sono solo vantaggi. Si hanno maggiori certezze abilitando degli strumenti che aumentano la sicurezza della propria casella e il valore legale dei messaggi scambiati. In generale suggeriamo di farlo il prima possibile proprio per evitare preoccupazioni e corse dell’ultimo minuto quando verranno definiti i tempi tramite gli opportuni strumenti normativi. In termini di esperienza utente Aruba ha massimizzato gli sforzi al fine non solo di non complicare, ma addirittura di semplificare la vita degli utilizzatori. A tal proposito ha recentemente messo a disposizione un nuovo meccanismo di autenticazione multi-fattore basato semplicemente su un QR code. I nostri utenti possono inquadrarlo tramite la nostra app, installata su un device certificato, ed accedere alla propria casella.
Per gli utenti che hanno deciso di anticipare il percorso di aggiornamento della propria casella, Aruba ha deciso di arricchire i messaggi PEC con tutti quegli elementi distintivi del nuovo standard in modo tale che, già oggi, chi invia una PEC ha tutta una serie di elementi aggiuntivi che potenzialmente la renderebbero da subito interoperabile a livello europeo. Se il servizio partisse domani sarebbe, insomma, già tutto pronto. Un motivo in più per non posticipare questa scelta.
Clicca e scopri l’impegno di Aruba per un servizio PEC già pronto per gli standard europei
I contenuti di questo articolo sono prodotti dallo sponsor in collaborazione con Agi