Bambino e adulto di fronte a un planisfero. L'adulto indica l'Europa.
Trasformazione digitaleVetrina - ufficiale

In attesa della PEC europea: quattro chiacchiere con Aruba

Francesco Del Castillo 0 Commenti , ,

L’archivista digitale è attento agli argomenti della trasformazione digitale a cui guarda sempre con l’occhio archivistico della gestione documentale. Il tema del recapito elettronico di documenti è quindi di assoluto interesse. Lo dimostra, da ultimo, il post sulla revisione della posta elettronica certificata PEC secondo le specifiche tecniche REM individuate a livello europeo, realizzato in occasione della notizia dell’iscrizione della società Aruba nel registro nazionale tenuto dall’AgID come primo prestatore di servizi fiduciari qualificato (QTSP) che propone un servizio elettronico di recapito certificato qualificato basato sulle specifiche REM che, alla fine, è l’evoluzione europea della PEC nostrana.
L’archivista digitale è inoltre convinto che una trasformazione digitale utile e di qualità possa aversi solo quando il confronto fra le organizzazioni che intendono trasformarsi e i fornitori di prodotti e servizi tecnologici è costruttivo e riesce a trovare il giusto equilibrio fra le ragionevoli esigenze di minimizzare la spesa da una parte e di massimizzare i profitti dall’altra. Per questo, ha colto con piacere l’occasione di scambiare quattro chiacchiere con Aruba, nella sua duplice veste di gestore del rinnovato servizio di posta certificata e di parte attiva per la definizione della policy nazionale delle specifiche REM. A rispondere alle domande è Marco Mangiulli che, appunto, fa parte del gruppo di lavoro di lavoro coordinato dall’AgID per la redazione della REM-Policy-IT.

In attesa del dpcm che dovrebbe formalizzare definitivamente la REM-Policy-IT e dettare dei tempi certi, siamo in un periodo di transizione in cui tutti gli attuali gestori PEC si stanno muovendo per aggiornarsi alle specifiche REM. A che velocità avverrà il passaggio? Dobbiamo attenderci qualche disguido da assestamento, un periodo di convivenza?

Il DPCM definirà le tempistiche per il passaggio dalla PEC al nuovo servizio di recapito certificato qualificato e referenzierà le regole tecniche AgID e la REM-Policy-IT.

L’attuale quadro normativo, ed in particolare il decreto-legge 14 dicembre 2018, n. 135, sembra non lasciare spazio a soluzioni transitorie che prevedano la coesistenza tra i due servizi (si faccia riferimento in particolare all’articolo 8, comma 5, del suddetto dl). Si tratterà quindi di un passaggio che vede l’avvio del servizio di PEC Qualificata senza sovrapposizione con il servizio PEC.

In vista di un passaggio così importante, gli attuali Gestori PEC hanno iniziato già da tempo ad identificare i titolari delle caselle PEC e hanno definito delle strategie di migrazione.

Aruba, al fine di accompagnare l’utenza nell’adozione del nuovo servizio e garantire una transizione fluida, ha deciso di avviare questo passaggio fin da subito attraverso un sistema perfettamente conforme alle regole tecniche del servizio PEC, e che nel frattempo integra (per gli utenti che hanno completato la procedura di identificazione ed hanno attivato la Multifactor Authentication) tutti gli elementi distintivi del nuovo standard (REM Baseline + REM-Policy-IT). In questo modo gli utenti hanno da subito la possibilità di utilizzare il nuovo servizio e familiarizzare con le novità che questo prevede. Crediamo fortemente in questo approccio, che grazie ai continui investimenti dal punto di vista del Gestore, aiuta l’adeguamento per gli utenti e i processi di pubbliche amministrazioni e aziende che oggi si basano sulla Posta Elettronica Certificata.

Al momento del passaggio alla PEC Qualificata il servizio di Aruba dovrà semplicemente passare da una modalità ibrida (PEC + REM) ad una modalità REM pura.

Partiamo proprio dalle persone che già usano abitualmente la posta elettronica certificata. Fatta, una tantum, l’identificazione certa (SPID) con il gestore, attivato il doppio fattore di autenticazione e presaci un po’ di familiarità, l’esperienza d’uso non sembra cambiare molto quando si usa la webmail o un client di posta tradizionale. È così?

Sì, è corretto. L’esperienza d’uso per l’utente finale non cambia. Il servizio REM è simile, a livello funzionale, alla PEC. Del resto, l’Italia, nell’ambito dell’e-Delivery, rappresenta un caso di successo unico in Europa, con un servizio attivo da quasi 20 anni, 16 milioni di caselle e 2,5 miliardi di messaggi scambiati in un anno (dati AgID riferiti al 2023). Di conseguenza la REM ricalca, in molti aspetti, il funzionamento della PEC. Il gruppo di lavoro italiano ha inoltre contribuito in maniera determinante alla modifica degli standard, in modo che fossero raggiunti gli obiettivi di interoperabilità che hanno ispirato il nuovo regolamento eIDAS e che il sistema potesse supportare gli stessi scenari in termini di numero di utenti e di messaggi scambiati presenti sull’attuale servizio PEC.

Tornando alla domanda iniziale, l’utente non avrà alcun impatto nella sua esperienza d’uso: avrà a disposizione lo stesso servizio che è abituato ad utilizzare da quasi 20 anni, ma che in più è conforme ai requisiti dei servizi di recapito certificato qualificato previsti dal regolamento eIDAS, e, cosa ancora più importante, segue degli standard che lo rendono interoperabile a livello europeo.

Invece, per le organizzazioni che hanno integrato la PEC nei loro sistemi gestionali, anche per invii e ricezioni non presidiate da operatori, cosa cambia? Di certo, per esempio, non possono inserire un OTP a ogni interazione con la casella PEC.

La tematica relativa alle integrazioni applicative è molto sentita, così come quella legata alla possibilità di utilizzare client di posta elettronica tradizionali/di mercato.

Proprio per questo motivo, nonostante all’interno degli standard ETSI ci siano già delle indicazioni su come indirizzare queste tematiche, la REM-Policy-IT contiene specifiche sezioni dedicate ai client di mercato e alle integrazioni applicative, prevedendo il supporto sia per applicazioni in grado di integrare i più moderni meccanismi di autenticazione, sia per quelle più legacy.

Siamo consapevoli che le regole tecniche, per quanto complete ed esaustive, non possono indirizzare il 100% delle tematiche relative alle integrazioni. Per questo motivo i Gestori dovranno lavorare insieme ad aziende, pubbliche amministrazioni e system integrator, per trovare soluzioni e procedure che da una parte indirizzino l’integrazione di tutti i sistemi esistenti, ma che dall’altra consentano di mantenere inalterati i livelli di sicurezza previsti dal regolamento eIDAS, dagli standard ETSI e dalla policy italiana.

Ecco, la possibilità di interagire con la casella PEC anche tramite API di tipo Rest, oltre che con i consueti protocolli tipici del mondo e-mail, è una della novità delle specifiche REM che sicuramente apre alle organizzazioni scenari nuovi, tutti da esplorare. Come operatore della trasformazione digitale, tuttavia, ho un po’ il timore, alimentato dal fatto che la REM-Policy-IT lascia facoltativo per i gestori implementare alcuni protocolli di autenticazione e comunicazione, che si perda la piena interoperabilità tipica di posta elettronica e sue varianti (ormai anche un frigorifero sa accedere a una casella e-mail e leggere i messaggi). Nello specifico, le organizzazioni potrebbero dover scegliere un operatore di PEC europea in base ai gestionali che hanno in uso o viceversa? Se ne è parlato nel gruppo di lavoro, ci sono orientamenti condivisi fra i gestori?

All’interno del gruppo di lavoro c’è stata sempre ampissima condivisione e convergenza su queste tematiche.

L’obiettivo comune è stato quello di adeguare la PEC al regolamento eIDAS senza impattare l’esperienza degli utenti e i casi d’uso attualmente presenti. Non credo che alcun prestatore di servizi fiduciari abbia interesse nel fornire alla propria utenza meno opzioni di quelle previste dagli standard ETSI e dalla Policy nazionale. Resta tuttavia valida la considerazione che non possano essere tollerate pratiche fuori standard che mettano potenzialmente in pericolo la sicurezza e l’affidabilità alla base di ogni servizio trust.

Ancora in tema interoperabilità, sin da quando è uscito il regolamento eIDAS, la definizione tecnologicamente neutra di SERCQ ha fatto interrogare in molti su come raggiungere – a patto che ciò fosse nello spirito del regolamento – l’interoperabilità anche transfrontaliera fra SERCQ diversi basati su tecnologie diverse. Oggi in Italia abbiamo tre SERCQ qualificati, basati su tre tecnologie diverse: la piattaforma statale SEND per le notifiche a valore legale della pubblica amministrazione, il servizio tNotice di inPoste e, appunto, la PEC europea di Aruba alla quale si aggiungeranno le revisioni delle PEC degli attuali gestori. Cosa ci si deve attendere in tema di interoperabilità fra SERCQ presenti e futuri?

La tematica dell’interoperabilità è l’elemento più importante della trasformazione in atto.

È vero che il regolamento eIDAS è neutrale dal punto di vista tecnologico, ma è anche vero che la Commissione può referenziare, tramite atti implementativi, degli standard di riferimento per i servizi trust, al fine di promuoverne l’interoperabilità a livello nazionale e transfrontaliero.

Quando il gruppo di lavoro, guidato da AgID ed incaricato di definire i requisiti tecnici per l’adeguamento della PEC ai servizi di recapito certificato qualificato, si è trovato di fronte alla scelta relativa al tipo di standard da adottare, non ha avuto alcun dubbio. Erano presenti lo standard ETSI EN 319 522 per i servizi ERD (Electronic Registered Delivery), e lo standard ETSI EN 319 532 per le implementazioni dei servizi ERD basate sull’utilizzo dei protocolli di posta elettronica ordinaria (Registered Electronic Mail). La scelta, per ovvie ragioni, è caduta sullo standard 532. L’ipotesi di adottare uno standard chiuso, non interoperabile, o valido solo all’interno dei confini nazionali o tra soggetti che aderiscono allo stesso servizio non è stata mai presa in considerazione.

Il fatto che la strada percorsa sia quella giusta è confermato da importanti riscontri a livello internazionale sulla bontà del lavoro fatto in Italia. Per fare un esempio, ETSI (European Telecommunications Standards Institute) evidenzia all’interno di un report come l’Italia, con la sua decisione di fare evolvere il sistema di recapito elettronico nazionale (PEC) verso un sistema interoperabile conforme al regolamento eIDAS, abbia avuto un ruolo determinante nella definizione e l’evoluzione degli standard di interoperabilità per i sistemi di e-Delivery, indicando tali standard come punto di riferimento per tutti i futuri sistemi che verranno sviluppati dagli altri Stati Membri.

Per quanto riguarda altri sistemi SERCQ esistenti o futuri, dipende molto da come sono stati concepiti. Gli standard ETSI garantiscono, indipendentemente dai protocolli (binding) utilizzati, una gestione coerente e standardizzata dei metadati di trasmissione, degli eventi legati al ciclo di vita delle comunicazioni certificate e delle evidenze prodotte per gli eventi principali.

Se i sistemi sono stati concepiti seguendo questi standard, allora sarà possibile farli interoperare anche se si basano su protocolli differenti.

Se viceversa i sistemi sono stati concepiti in modo “chiuso”, allora per farli interoperare potrebbero essere necessari onerosi “traduttori”. Personalmente non credo molto a questo tipo di soluzioni. Basti pensare che la stessa evoluzione del regolamento eIDAS, incentrata sull’adozione dello European Digital Identity Wallet, è stata originata dalla necessità di superare la frammentazione dei sistemi nazionali di identità digitale, la cui mancanza di interoperabilità, solo parzialmente “mascherata” dai “nodi eIDAS”, è stata una delle cause principali della scarsa diffusione e adozione.

Per concludere, credo che l’interoperabilità possa essere garantita solo tra sistemi che adottano gli standard ETSI, che molto probabilmente saranno referenziati all’interno dei prossimi atti implementativi della Commissione.

I sistemi “chiusi”, nel pieno rispetto dei principi della neutralità tecnologica, potranno essere legittimamente utilizzati nello scambio di comunicazioni tra soggetti che si siano preventivamente accordati sul loro utilizzo. Sebbene questi strumenti abbiano pieno valore legale, difficilmente sarà possibile utilizzarli in un contesto di piena interoperabilità a livello europeo.

Per concludere, abbiamo nominato il rinnovato servizio di recapito sempre con giri di parole: PEC europea, PEC rinnovata, PEC adeguata a REM… Continuare a chiamarla PEC, infatti, non dà conto delle novità introdotte e del nuovo respiro transfrontaliero; usare un nome del tutto diverso  invece, non darebbe conto della continuità, che, effettivamente esiste e testimonia che la PEC italiana è stato ed è un ottimo punto di incontro (a mio giudizio ancora ineguagliato) fra  semplicità d’uso e affidabilità per gli scambi telematici. Per caso, il dpcm ci riserverà qualche sorpresa al riguardo?

Concordo perfettamente. Con REM si fa riferimento principalmente allo standard ETSI che definisce la specifica implementazione di Electronic Registered Delivery basata sui protocolli della posta elettronica ordinaria. Il nome PEC va affiancato da parole chiave quali “europea“, “qualificata” in modo da evidenziare le importanti novità introdotte per l’evoluzione in ottica regolamento eIDAS e standard ETSI, mantenendo l’acronimo PEC che consente di identificare il servizio in maniera immediata ed in continuità con quello attuale.

Foto di Mojca-Peter da Pixabay

Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *