cerca nel sito...
Amministrazione Digitale ScuoleDiritto

Addio alla PEC: Scopri le novità del Regolamento Serc!

l'articolo appartiene alla categoria:

Amministrazione Digitale ScuoleDiritto

pubblicato il:

Il regolamento SERC di esecuzione 2025/1944 del 29 settembre 2025, che stabilisce le modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio riguardo alle norme relative ai processi di invio e ricezione dei dati nei servizi elettronici di recapito certificato qualificati e all’interoperabilità di tali servizi, è stato pubblicato nella Gazzetta Ufficiale comunitaria e entrerà in vigore il 20 ottobre 2025.

Il presente regolamento introduce significative novità sulla Posta Elettronica Certificata (PEC) e sulla sua evoluzione europea, nota come Remote Electronic Messaging (REM). Si di seguito un’analisi delle principali disposizioni.

Regolamento SERC: cosa stabilisce il nuovo regolamento

Il regolamento in questione è emesso ai sensi dell’articolo 44, paragrafo 2 del regolamento europeo 910/2014 (eIDAS), aggiornato dal regolamento 2024/1183 e dedicato ai “Requisiti per i servizi elettronici di recapito certificato”.

Nell’articolo 1 si stabiliscono le “Norme di riferimento e specifiche per i servizi elettronici di recapito certificato qualificati”, mentre l’articolo 2 riguarda le “Norme di riferimento e specifiche per l’interoperabilità dei servizi elettronici di recapito certificato qualificati”. Quest’ultimo articolo fa riferimento all’articolo 44, paragrafo 2 ter dell’eIDAS.

Il regolamento rinvia all’allegato I per dettagli ulteriori riguardanti l’articolo 1. La norma ETSI EN 319 521, che disciplina le politiche organizzative e di sicurezza dei servizi elettronici di recapito certificato (SERC), è referenziata e applicata con una serie di emendamenti al testo vigente. Vengono inoltre aggiornati riferimenti normativi e il glossario dei termini.

Regolamento SERC: novità per i gestori del servizio di recapito

Una delle principali novità per i gestori del servizio di recapito certificato qualificato è la seguente:

Il fornitore del servizio di recapito certificato qualificato verifica l’identità del destinatario con un elevato livello di sicurezza, direttamente o facendo affidamento su una terza parte, utilizzando uno o una combinazione dei seguenti mezzi:

  • a) Presenza fisica della persona o di un rappresentante autorizzato, sulla base di adeguate prove e procedure, conformemente al diritto nazionale;
  • b) Identificazione a distanza tramite un mezzo che rispetti i requisiti di identificazione elettronica di cui all’articolo 8 del regolamento (UE) n. 910/2014, oppure tramite portafoglio europeo di identità digitale;
  • c) Un certificato di firma elettronica qualificata o di sigillo elettronico qualificato;
  • d) Altri metodi di identificazione che garantiscano un livello di sicurezza molto elevato, confermato da un organismo di valutazione della conformità.

La materia trattata nella lettera b) sottolinea l’importanza di un livello di sicurezza “elevato” per la verifica dell’identità del destinatario, il che implica che metodi come l’utilizzo di una semplice coppia nome utente e password non siano sufficienti.

Regole per il mittente di PEC e REM

Per quanto concerne il mittente, il metodo di verifica è meno oneroso:

Il fornitore del servizio di recapito certificato qualificato verifica l’identità del mittente adeguatamente, direttamente o facendo affidamento su una terza parte, attraverso uno o più dei seguenti metodi:

  • a) Presenza fisica della persona o di un rappresentante autorizzato, basata su adeguate prove e procedure, conformemente al diritto nazionale;
  • b) Identificazione a distanza tramite portafoglio europeo di identità digitale o un mezzo di identificazione elettronica notificato con livello di garanzia “significativo”, a condizione che sia stato rilasciato sulla base di una precedente presenza fisica;
  • c) Un certificato di firma elettronica avanzata o sigillo elettronico avanzato, rilasciato conformemente alla “Normalised Certificate Policy” (NCP);
  • d) Altri metodi di identificazione che garantiscano un livello di sicurezza adeguato, confermato da un organismo di valutazione della conformità.

Nella lettera b), il livello di garanzia richiesto è “significativo”, pertanto vi è un’asimmetria nelle misure di sicurezza tra mittente e destinatario, sollevando problematiche gestionali nel sistema di posta elettronica.

Il framework normativo per la REM

Altre regole di sicurezza includono colloqui sicuri tra sistemi tramite protocollo TLS, controlli crittografici e sicurezza della rete.

Le norme di riferimento e specifiche stabilite nell’articolo 2 sono dettagliate nell’allegato II.

Perché mancano gli standard ETSI sulla REM

È significativo sottolineare che l’elenco pubblicato non include gli standard ETSI sulla REM, che non sono direttamente applicabili al quadro di interoperabilità comunitaria.

Il principio di presunzione di conformità

Nel nuovo contesto normativo, è rilevante considerare il principio di presunzione di conformità, delineato in vari regolamenti di esecuzione. Tale principio stabilisce che la conformità a eIDAS sia garantita solo se i servizi fiduciari qualificati per i servizi elettronici di recapito certificato rispettano le norme stabilite dal regolamento in esame.

Se soddisfatti i requisiti, l’organismo di valutazione della conformità può emettere una relazione di valutazione positiva, consentendo successivamente all’organismo di vigilanza (AgiD in Italia) di proseguire con le operazioni di qualifica.

Cosa cambia con la nuova normativa SERC: da PEC a REM

Risulta quindi essenziale chiedersi quali modifiche siano apportate all’applicazione del decreto legge n. 135 del 14 dicembre 2018, che prevede l’adozione delle misure per garantire la conformità dei servizi PEC al regolamento (UE) n. 910/2014 in materia di identificazione elettronica.

Vale la pena notare che, a partire dall’entrata in vigore di tale DPCM, l’articolo 48 del decreto legislativo n. 82 del 2005 verrà abrogato.

Arriva la REM in Italia

Appare dunque pertinente domandarsi: ha ancora senso il passaggio da PEC a REM? Attualmente, non ci sono ostacoli legali e il mercato nazionale è preparato per la REM, in attesa del decreto che concluderà il ciclo di vita della PEC.

Gli impatti del regolamento SERC

Il presente regolamento di esecuzione non avrà effetti negativi sui servizi elettronici di recapito certificato qualificati, come il servizio SEND di PagoPA. Per altri soggetti qualificati, si applica la presunzione di conformità.

Nel medio termine, è probabile che si creino le condizioni favorevoli per attuare l’articolo 44, paragrafo 2 bis dell’eIDAS, riguardante l’interoperabilità tra i servizi elettronici di recapito certificato qualificati. Tale norma potrebbe riaprire le discussioni a livello europeo sulla REM, e si prevede che ETSI inizi a lavorare per l’adeguamento degli standard.

Condividi sui social:

Articoli popolari

Altro nella categoria
Related

Risparmia fino al 30%! Offerte esclusive per docenti e ATA: scopri come accedere!

webm -
Il Ministero dell'Istruzione e del Merito ha recentemente introdotto...

Scopri l’Art. 50 dell’AI Act: La Chiave per la Trasparenza nell’Intelligenza Artificiale

webm -
La trasparenza rappresenta un elemento fondamentale all’interno dell’AI Act,...

Gestione Efficace di Modifiche Contrattuali: Ruoli di Direttore Lavori e RUP in Esecuzione

webm -
  Modifiche contrattuali, variazioni e varianti: gestione in fase di...

Guida Pratica: Differenze tra Appalto di Servizio e Incarico Professionale Individuale

webm -
  La distinzione tra appalto di servizio, come previsto dal...

il presente Blog è realizzato dalla redazione di RedigoPA e rappresenta una iniziativa per aggiornare gli operatori del mondo scolastico sui temi propri della missione di RedigoPa ed Educonsulting.

Edu Consulting Srl, via XX Settembre n. 118 00187 ROMA
RedigoPA è una piattaforma di Apicella Sistemi Srl