Nel corso degli anni la PEC italiana (Posta Elettronica Certificata) è divenuta un vero e proprio punto di riferimento per imprese, professionisti e utenti privati (l’introduzione a titolo ufficiale nel nostro Paese è del 2005).
Come è oggi, conferisce alle comunicazioni requisiti di valore legale, tanto da essere equiparabile alla tradizionale raccomandata con avviso di ricezione (con costi nettamente inferiori e una diversa comodità nell’utilizzo).
Viene quindi sempre più spesso utilizzata, in luogo della raccomandata con ricevuta di ritorno, per le comunicazioni di lavoro, le comunicazioni con enti e Pubbliche Amministrazioni, la partecipazione a bandi e gare d’appalto, disdette di contratti e così via.
Pur essendo uno strumento certificato, fino ad oggi la PEC non accertava in maniera inoppugnabile l’autenticità e l’integrità dei documenti trasmessi (problema risolvibile con la firma digitale) e soprattutto non permetteva la verifica dell’identità del mittente e del destinatario.
Lo strumento che colma le lacune della PEC, alle quali abbiamo brevemente fatto riferimento, si chiama REM (Registered Electronic Mail)… ma continuiamo a chiamarla PEC.
La PEC europea è uno sforzo messo in campo dai vari Stati membri con l’obiettivo di accordarsi su uno standard condiviso per il recapito certificato qualificato.
L’evoluzione a livello europeo ha grandi vantaggi, che rendono ancor più importante l’adozione di quella che è stata una tecnologia nata strettamente entro i confini italiani.
Grazie al fatto che la PEC diventa valida in tutta l’Unione, si consentirà agli utenti di accedere facilmente a servizi fuori dai confini nazionali, permetterà alle aziende di dialogare più facilmente da remoto e, di fatto, consentirà a ogni cittadino europeo di poter più facilmente far valere i propri diritti anche a distanza, anche in un Paese differente dal proprio.
PEC europea obbligatoria: da quando?
Il sistema di recapito qualificato utilizzabile a livello europeo per lo scambio sicuro di comunicazioni elettroniche dotate di valore legale diventerà obbligatorio (per tutti i soggetti che per legge debbono dotarsene) nel corso del 2024: per le indicazioni in nostro possesso entro fine aprile 2024.
Chi già utilizza una casella PEC “italiana” avrà quindi tempo fino a quella data per adeguarla aggiungendo la certificazione dell’identità e l’autenticazione a due fattori, come prescritto dalla normativa (regolamento eIDAS e standard ETSI).
Coloro che non dovessero trasformare in PEC europea le caselle PEC esistenti, non potranno più usarle per inviare e ricevere comunicazioni con valore legale. Inoltre, le funzionalità saranno limitate alla consultazione dell’archivio dei messaggi.
Come adeguarsi
Tutti i gestori di PEC (p.es. Legalmail, Aruba…) offrono la possibilità di seguire un percorso guidato che consente di effettuare il riconoscimento come titolare della propria casella PEC, anticipando di fatto la futura obbligatorietà.
L’adeguamento della casella PEC agli standard europei richiede: il riconoscimento del titolare della casella e l’attivazione della verifica in 2 passaggi.
1. Riconoscimento dell’identità
Tale passaggio è necessario per garantire l’attendibilità del mittente, persona fisica o rappresentante legale di una persona giuridica (ATTENZIONE: non è la stessa cosa!)
La verifica dell’identità può essere fatta attraverso uno degli strumenti di identificazione elettronica riconosciuti dalla Commissione europea:
- Identità digitale SPID;
- Tessera Sanitaria / Carta Nazionale dei Servizi;
- Firma digitale anche remota;
- Carta d’Identità Elettronica (CIE 3.0);
- Piattaforma DVO (De Visu Online) con operatore.
2. Verifica in 2 passaggi (2FA)
L’autenticazione a 2 fattori rafforza il livello di sicurezza dell’account di posta attraverso il doppio controllo di accesso al servizio: inserimento delle credenziali (indirizzo PEC e password) e codice di autenticazione.
Il codice viene inviato su un dispositivo precedentemente verificato e secondo la modalità di ricezione che si è scelta:
- Notifica PUSH tramite app su dispositivo mobile;
- Token OTP tramite app;
- Token OTP via SMS.
Per esempio Aruba ha previsto un meccanismo di autenticazione a due fattori basato su notifica push, simile a quello che molti utenti sono già abituati ad usare con i loro applicativi di home banking. Ciò significa che dopo un primo step di autenticazione tramite username e password, viene inviata al device (normalmente uno smartphone) associato alla casella PEC una notifica push in cui si chiede all’utente di confermare la volontà di procedere con l’autenticazione.
Se la notifica push per ragioni tecniche non viene ricevuta e/o confermata dall’utente, si attivano dei meccanismi quali l’inserimento di una OTP generata “manualmente” all’interno dell’app Aruba PEC o ricevuta tramite SMS al numero di telefono associato alla casella PEC.
Dopo che la verifica in 2 passaggi è stata attivata, per consultare la casella PEC sarà necessario inserire la password e autorizzare l’accesso o con la conferma della notifica PUSH, o con l’inserimento dell’OTP (One Time Password).
I metodi di riconoscimento
La conferma dell’identità del titolare è pertanto uno dei requisiti fondamentali per l’adeguamento della Posta Elettronica Certificata agli standard europei.
In altre parole, tale procedimento renderà gli utilizzatori del servizio identificati in modo sicuro e affidabile, a garanzia di ambo le parti della comunicazione. A tal fine, sono stati previsti numerosi metodi di identificazione che possono essere adoperati per attestare l’identità dei titolari delle caselle.
SPID
Un primo comodo strumento di riconoscimento è quello legato al servizio SPID (Sistema Pubblico d’Identità Digitale). Se si fa ricorso a tale metodologia, infatti, l’identificazione è garantita “alla fonte” dai gestori di identità digitale che, all’atto della registrazione, hanno già provveduto ad acquisire e verificare i dati e le informazioni di cittadini e imprese.
Firma Digitale
Un secondo metodo d’identificazione è la Firma Digitale. Questo noto meccanismo è legato all’impiego di appositi strumenti (lettore di smart card collegato al computer e codice PIN). È un sistema pratico che, non solo certifica l’identità del titolare della casella di posta, ma garantisce altresì l’autenticità e l’integrità di eventuali documenti inviati in allegato.
La stessa cosa si ottiene utilizzando la Firma Remota, che prevede l’inserimento delle proprie credenziali e la generazione di un codice OTP (One-Time Password).
CIE
Il riconoscimento del titolare può poi avvenire anche tramite la CIE, la Carta di Identità Elettronica. Il sistema prevede sempre l’inserimento di un PIN e l’utilizzo di un lettore NFC (contactless) collegato al PC. La CIE, nello specifico, contiene un microchip che racchiude i dati dell’individuo, tra cui nome, cognome, data di nascita e foto.
TS-CNS
Anche la TS-CNS, la Carta Nazionale dei Servizi, consente l’autenticazione digitale. Al pari della CIE, è dotata di un microchip che contiene le informazioni personali dell’utente (nome, cognome, data e luogo di nascita, codice fiscale e foto) e richiede l’uso di un lettore di smart card e del codice PIN. Una volta digitato quest’ultimo, dopo aver inserito la tessera nel dispositivo di lettura, il sistema di autenticazione verificherà la corrispondenza tra i dati presenti nella CNS e quelli dell’utente.
Piattaforma DVO
Non hai nessuno degli strumenti sopra indicati?
I gestori hanno abilitato procedure alternative (ma tutte a pagamento).
Il riconoscimento avviene tramite una videochiamata con operatore; è necessario un documento di identità ( Piattaforma DVO – De Visu Online, con operatore).
Se voglio conoscere la PEC di qualcuno, come posso fare?
In attesa di ulteriori sviluppi su questo fronte, in Italia un ruolo fondamentale sarà giocato dall’INAD
(https://domiciliodigitale.gov.it/dgit/home/public/#!/home),
l’Indice Nazionale dei Domicili Digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato non tenuti all’iscrizione in Albi, elenchi o registri professionali o nel registro delle imprese.
Intanto a questo indirizzo (https://www.inipec.gov.it/web/guest/home oppure https://www.registroimprese.it/ini-pec) si può accedere gratuitamente al registro INI-PEC del Ministero dello Sviluppo Economico (MISE) e ottenere indirizzi PEC di Professionisti ed imprese (almeno per i soggetti obbligati all’iscrizione nel registro imprese delle camere di commercio o ad ordini e collegi)
Nel portale iPA (https://indicepa.gov.it/ipa-portale/) è possibile conoscere i domicili digitali / indirizzi PEC delle Pubbliche Amministrazioni è a disposizione l’Indice dei domicili digitali della Pubblica Amministrazione e dei Gestori dei Pubblici Servizi.
Dubbi? Domande? Ti serve supporto?
Scrivici una mail ad assistenza@jcn.it o chiamaci – tel. 030 956647