PEC, PEC-ID e futuro dell’identità digitale nei rapporti con la Pubblica Amministrazione
di Paolo Palmieri
La disciplina della trasmissione telematica di comunicazioni, soprattutto nei confronti della pubblica amministrazione, è oramai indirizzata verso una completa integrazione comunitaria. Per un corretto passaggio agli standard del Regolamento eIDAS, però, è necessario chiarire le differenze terminologiche ed i nuovi requisiti richiesti per i servizi elettronici di recapito certificato qualificato.
Che cos’è la PEC?
La posta elettronica certificata è, soprattutto per i professionisti e le imprese, uno strumento di uso corrente. In alcuni settori, come ad esempio il processo telematico, è uno strumento imprescindibile per l’attività del professionista.
Da un punto di vista normativo esistono diverse tipologie di PEC: quelle per professionisti ed imprese (ma, ora, anche per i cittadini); quella per i cittadini (ma solo verso la PA, la c.d. CECPAC – Casella Elettronica Certificata Pubblica Amministrazione e Cittadini, chiusa dal 18 settembre 2015); e la PEC-ID, disciplinata dal DPCM del 27 settembre 2012, mai attivata, di cui parleremo in seguito.
I riferimenti normativi principali della PEC sono, oltre al CAD (d.lgs. n. 82 del 7 marzo 2005), il DPR dell’11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata», ed il Decreto Ministeriale del 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata».
La PEC, in soldoni, è un tipo speciale di email che consente di inviare e ricevere messaggi di testo e allegati con lo stesso valore legale di una raccomandata con avviso di ricevimento. È per questo che la PEC è uno degli strumenti chiave per digitalizzare il lavoro delle amministrazioni pubbliche.
L’art. 1, comma 1, lettera v-bis, definisce la PEC come un «sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi».
Il sistema di posta elettronica certificata risolve alcune carenze intrinseche della raccomandata tradizionale, ossia la conoscibilità certa della casella mittente (mentre non è tracciabile colui che spedisce una raccomandata); e la possibilità di legare in maniera certa ed opponibile ai terzi la trasmissione con il documento trasmesso, possibilità preclusa con la raccomandata.
La funzionalità della PEC è garantita dai gestori del servizio, i quali, infatti, sono tenuti a sottoscrivere le ricevute di accettazione e consegna mediante una firma elettronica che consente di rendere manifesta la provenienza, ed assicurare l’integrità e l’autenticità delle ricevute stesse; mentre la busta di trasporto è sottoscritta con una firma elettronica che garantisce la provenienza, l’integrità e l’autenticità del messaggio di posta elettronica certificata (art. 9, commi 1 e 2, DPR n. 68/2005).
E la PEC-ID?
La c.d. PEC-ID, invece, è un particolare tipo di posta elettronica certificata prevista già nel CAD, ma mai attivata.
L’art. 65, comma 1, lett. c-bis, infatti, considera valide le istanze e le dichiarazioni presentate alla pubblica amministrazione tramite «la propria casella di posta elettronica certificata purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato».
La PEC-ID è disciplinata dal DPCM 27 settembre 2012, e differisce dalla PEC “tradizionale” perché consente l’identificazione del titolare, ossia di individuare univocamente una persona fisica o giuridica attraverso credenziali di autenticazione personali in forma elettronica.
Da un punto di vista informatico, la PEC-ID fonda le sue regole su un modello di gestione federata delle identità digitali del Sistema Pubblico di Connettività, ed adotta il sistema SAML (Security Assertion Markup Language), uno standard informatico basato su XML per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra domini di sicurezza distinti, gestiti dagli Identity Provider. In altri termini, i gestori iscritti nell’elenco pubblico che erogano il servizio di PEC-ID opererebbero da Identity Provider, entità abilitate a creare, gestire e mantenere informazioni sull’identità digitale di soggetti che operano telematicamente, allo scopo di fornire supporto alla loro identificazione informatica, di cui all’articolo 1, comma 1, lettera u-ter del CAD.
Questa peculiarità della PEC-ID consentirebbe, quindi, di inviare alle pubbliche amministrazioni dei documenti informatici non firmati digitalmente, i quali sarebbero riconducibili al mittente per il solo fatto di essere spediti da questo indirizzo PEC “speciale”.
Tali documenti assumerebbero piena valenza giuridica in quanto, per l’accesso al servizio PEC-ID, il gestore dovrebbe predisporre, ai sensi dell’art. 6 del DPCM del 27 settembre 2012, una delle seguenti modalità di identificazione del titolare:
- a) identificazione tramite certificato di autenticazione della Carta Nazionale dei Servizi;
- b) identificazione tramite certificato di autenticazione della Carta di Identità Elettronica;
- c) identificazione tramite credenziali di accesso basate su identificativo-utente, parola d’ordine (password) e parola d’ordine temporanea (one time password) trasmessa attraverso sistemi di telefonia mobile;
- d) identificazione tramite credenziali di accesso basate su identificativo-utente, parola d’ordine (password) e parola d’ordine temporanea (one time password) generata da un token crittografico rilasciato dal gestore medesimo.
Ragionando a contrario, un messaggio PEC non ha valore identificativo del mittente, a meno che non contenga un allegato firmato digitalmente. D’altronde, c’è da dire che l’art. 65, comma 1, lett. c) del CAD attribuisce valore identificativo anche ai messaggi PEC che contengono come allegato un documento di identità del mittente.
In realtà il TAR Campania, con la sentenza n. 1450/2015 ha in parte equiparato le due tipologie di posta elettronica, confermando la validità di un’istanza inviata a mezzo PEC “semplice” da un comune campano alla Regione Campania, e non firmata digitalmente, paragonando l’uso della PEC alla firma digitale; anche se, nel caso di specie, probabilmente a tale decisione si è arrivati in conseguenza della natura pubblicistica delle parti in causa.
Il nuovo quadro delineato dal Regolamento eIDAS
Al dichiarato fine di agevolare l’uso transfrontaliero dei mezzi di identificazione elettronica dei singoli Stati membri, a livello comunitario è stato adottato il Regolamento n. 2014/910 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di «identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno che abroga la direttiva 1999/93/CE», divenuto applicabile a decorrere dal 1.7.2016.
In sostanza, con il Regolamento eIDAS, il legislatore europeo ha voluto aprire, ai prestatori di servizi fiduciari dell’Unione, nuove opportunità di mercato per l’offerta di servizi elettronici di recapito certificato paneuropei; e lo ha fatto con lo strumento regolamentare, direttamente applicabile senza necessità di adeguamento da parte degli Stati membri.
Ma dato che il settore dei servizi fiduciari non era affatto regolato uniformemente dai singoli Stati, anche con il Regolamento eIDAS restano ancora alcuni nodi da scogliere.
L’art. 3 del Reg. eIDAS definisce servizio elettronico di recapito certificato il «servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate»; mentre definisce servizio elettronico di recapito certificato qualificato il «servizio elettronico di recapito certificato che soddisfa i requisiti di cui all’articolo 44».
Il servizio elettronico di recapito certificato (SERC) può dirsi qualificato, dunque, se:
– è fornito da uno o più prestatori di servizi fiduciari qualificati;
– garantisce un elevato livello di sicurezza l’identificazione del mittente;
– garantisce l’identificazione del destinatario prima della trasmissione dei dati;
– l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato, in modo da escludere la possibilità di modifiche non rilevabili dei dati;
– qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
– la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.
Da un’attenta lettura del Reg. eIDAS si evince che la PEC soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato, ma non soddisfa appieno i requisiti previsti, sempre dal Regolamento, per il servizio elettronico di recapito certificato qualificato, perché non è prevista la verifica certa dell’identità del richiedente la casella di PEC e non è previsto che il gestore debba obbligatoriamente sottoporsi a delle verifiche di conformità da parte degli organismi designati (ai sensi dell’art. 19, capo 3, del Reg. eIDAS).
Anche se bisognerebbe aprire una parentesi per i professionisti e le imprese, in quanto l’art. 6 bis, comma 2-bis del CAD recita che «L’INI-PEC (ndr: l’Indice nazionale degli indirizzi PEC delle imprese e dei professionisti) acquisisce dagli ordini e dai collegi professionali gli attributi qualificati dell’identità digitale ai fini di quanto previsto dal decreto di cui all’articolo 64, comma 2-sexies»; ma l’art. 64, comma 2-sexies del CAD disciplina lo SPID e, in particolare, le relative caratteristiche di interoperabilità con i sistemi di identità digitale («Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l’innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento: … c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l’interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell’identità digitale nei riguardi di cittadini e imprese»).
Quest’ultimo passaggio consente di ipotizzare una futura interoperabilità tra il registro INI-PEC, SPID e PEC; in tale ipotetico futuro, la PEC potrebbe effettivamente essere considerata un servizio di recapito certificato qualificato perché avente i requisiti richiesti dal regolamento eIDAS.
Prospettive future
Questa situazione di non precisa corrispondenza con la normativa comunitaria è legata alla semplice circostanza che il servizio fiduciario più importante del nostro Paese, la PEC, ha delle peculiarità specifiche non esistenti a livello comunitario.
Com’è noto, il nostro legislatore ha cercato di “adeguarsi” al Reg. eIDAS con il d.lgs. n. 179/2016 recante modifiche e integrazioni al CAD, ai sensi dell’art. 1 della l. 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.
E soprattutto con l’art. 51 del d.lgs. n. 179/2016, si va ad incidere fortemente sull’art. 65 del CAD in materia di validità delle istanze presentate alla pubblica amministrazione, prevedendo che le stesse si considerano valide se sottoscritte mediante la firma digitale o elettronica qualificata, rilasciata da un certificatore qualificato (e non più accreditato); o se l’autore è identificato attraverso il Sistema Pubblico di Identità Digitale (SPID), la Carta d’Identità Elettronica (CIE) o la Carta Nazionale dei Servizi (CNS).
Le istanze sono altresì valide qualora siano sottoscritte e presentate unitamente alla copia del documento d’identità; e se trasmesse dall’autore mediante la propria casella di posta elettronica certificata «purché le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalità definite con regole tecniche adottate ai sensi dell’articolo 71, e ciò sia attestato dal gestore del sistema nel messaggio o in un suo allegato».
Resta dunque da sciogliere il nodo delle regole tecniche, considerando, poi, che a tutto questo deve aggiungersi il Sistema Pubblico di Identità Digitale (SPID), partito dal 15 marzo 2016 con l’obiettivo dichiarato di favorire l’offerta di servizi online per cittadini e persone giuridiche da parte di imprese e pubbliche amministrazioni.
Nonostante gli sforzi dell’AgID, tale servizio di autenticazione, che dovrebbe fungere da passe-partout per l’accesso ai servizi pubblici quale unico login, non è ancora decollato completamente, anche perché le pubbliche amministrazioni che ne hanno implementato l’utilizzo sono tutt’ora poche.
Nonostante non siano state confermate le previsioni, SPID rappresenta di sicuro uno dei pilastri futuri del rapporto con la pubblica amministrazione, perché facilita la vita di cittadini ed imprese, consentendogli di usare un unico strumento di accesso ai servizi online della pubblica amministrazione; ed è probabile che costituirà anche la chiave di volta per l’allineamento ai servizi di recapito certificato individuati a livello comunitario.
Articoli citati
R. Guarasci, E. Sorrentino – Il valore probatorio degli allegati inviati a mezzo PEC
E. Prosperetti, Pec, Pec-ID e Cad: chiariamo le norme per questi strumenti
Autore:
