Il quadro giuridico agli art. 43 e 44 del Regolamento UE n. 910 del 2014 disciplina i servizi elettronici di recapito SERC e SERCQ, i quali presentano delle differenze rilevanti tra loro; in particolare:
- il SERC (Servizio elettronico di recapito certificato) consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi (fra cui avvenuto invio e avvenuta ricezione), protegge quindi i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate
- il SERCQ (servizio elettronico di recapito qualificato certificato) è un SERC con gli ulteriori requisiti del Regolamento “eIDAS” (Regolamento UE n. 910 del 2014)
La PEC italiana è oggi uno strumento ormai imprescindibile che nella sua conformazione “tradizionale” rientra nella categoria generale dei SERC, ma non in quella dei SERCQ perché non è in grado di certificare l’identità del mittente e del destinatario.
Si è dunque inserita la cosiddetta “PEC europea” o protocollo REM (Registered Electronic Mail), che trasforma l’attuale PEC un servizio SERCQ a tutti gli effetti.
Attenzione però, perché la migrazione richiede un passaggio dall’attuale autenticazione con username + password verso un sistema di autenticazione a due fattori e può creare diversi problemi di gestione.
Ad esempio, l’accesso ai client di posta elettronica oggi può avvenire in automatico dopo avere memorizzato le credenziali di accesso, in seguito dovrà essere di volta in volta gestito attraverso il codice OTP ricevuto sullo smartphone.
Anche il dialogo con altri sistemi che accedono automaticamente alla casella di PEC (es. i sistemi di conservazione) rischiano di essere inibiti se incompatibili o non correttamente configurati con il nuovo sistema di autenticazione.
È bene pertanto effettuare le opportune valutazioni prima di effettuare un passaggio alla REM e contrariamente ad alcune voci che si possono leggere online, non è assolutamente urgente procedere con tale adeguamento.
Infatti, l’art. 65, comma settimo, del decreto legislativo n. 217 del 2017 prevede che: “con decreto del Presidente del Consiglio dei ministri, sentiti l’Agenzia per l’Italia digitale e il Garante per la protezione dei dati personali, sono adottate le misure necessarie a garantire la conformità dei servizi di posta elettronica certificata di cui agli articoli 29 e 48 del decreto legislativo del 7 marzo 2005, n. 82, al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. A far data dall’entrata in vigore del decreto di cui al primo periodo, l’articolo 48 del decreto legislativo n. 82 del 2005 è abrogato”.
Il decreto previsto dalla suddetta norma non è ancora stato emanato e certamente la sua entrata in vigore non sarà ad effetto immediato. Per cui, al momento (Agosto 2024), la migrazione verso la REM non è un obbligo.