REM-Policy-IT 2.0: la rivoluzione silenziosa della PEC qualificata

Verso l’interoperabilità europea dei servizi di recapito certificato

Il documento pubblicato da AGID il 15 maggio 2024 – “REM SERVICES – Criteri di adozione standard ETSI – Policy IT versione 2.0” (premere qui per leggere) – racchiude la meticolosa attività di recepimento degli standard ETSI e delle innovazioni introdotte dal nuovo Regolamento eIDAS 2.0 (Regolamento UE 2024/1183), viene tracciato il percorso di transizione verso i servizi elettronici di recapito certificato qualificato (QERDS).

Il documento ha un carattere fortemente sistemico: si rivolge non solo agli operatori tecnici, ma anche al legislatore, alle autorità di vigilanza e ai fornitori di servizi fiduciari che dovranno garantire la conformità normativa e l’interoperabilità transfrontaliera.

---

1. Un quadro normativo in fermento

La PEC, sinora strumento giuridicamente riconosciuto solo a livello nazionale, viene rifondato secondo una logica federata, interoperabile e transnazionale. Il DPCM attuativo del DL 135/2018 sancisce l’abrogazione dell’art. 48 CAD e apre la strada alla piena armonizzazione con il Regolamento eIDAS.

In questo contesto, la REM-Policy-IT 2.0 si propone di:

• stabilire una baseline tecnica nazionale per i servizi di recapito certificato;
• garantire l’interoperabilità con altri operatori europei aderenti alla REM baseline;
• sostenere la portabilità e la competitività dei provider italiani sul mercato digitale europeo.

---

2. Un modello tecnico-giuridico stratificato

Il cuore del documento consiste in una dettagliata attività di gap analysis tra i sistemi PEC esistenti e i nuovi requisiti imposti dagli standard ETSI. Il modello adottato da AGID si basa su:

• SMTP, IMAP e S/MIME, mantenendo la compatibilità con l’infrastruttura PEC esistente;
• utilizzo obbligatorio di firme digitali CAdES e XAdES, con timestamp qualificati;
• adozione della REM baseline per assicurare l’interoperabilità.

Sono esplicitamente esclusi, per ora, modelli più innovativi ma meno consolidati come lo Store and Notify (S&N), a favore del più sicuro e collaudato Store and Forward (S&F).

---

3. Ruoli, responsabilità e governance del REMID

La definizione della REMID Policy introduce una vera e propria autorità di dominio incaricata di:

• stabilire le regole organizzative, tecniche e di sicurezza;
• vigilare sull’aderenza degli operatori alle specifiche;
• garantire il routing attraverso DNS e la coerenza semantica delle evidenze.

Ogni REM Service Provider (REMSP) dovrà possedere un proprio user directory e aderire alla EU Trusted List per legittimare la fiducia nei confronti dei certificati impiegati.

---

4. Impatti concreti e vantaggi giuridici

L’adozione della REM-Policy-IT 2.0 consente:

• presunzioni legali forti ex art. 44 eIDAS 2.0 per integrità, provenienza e consegna dei messaggi;
• riduzione dell’onere della prova per i mittenti grazie alla conservazione delle ERDS evidence;
• continuità operativa per imprese e PA italiane, minimizzando l’effetto dirompente della transizione.

Il documento ribadisce l’impossibilità di ignorare l’evoluzione digitale: l’interoperabilità non è più un’opzione, ma un imperativo tecnico e normativo.

---

5. Una transizione programmata e consapevole

AGID prevede che l’Allegato Tecnico sia suscettibile di aggiornamento, in quanto le soluzioni implementative dovranno seguire l’evoluzione delle tecnologie di messaging, dell’identificazione e delle firme elettroniche.

Le scelte discrezionali (verbali modali should e may) sono state tutte interpretate in coerenza con le esigenze di stabilità e compliance del sistema PEC italiano, ma con apertura a evoluzioni future.