PEC e CEC-PAC, ecco la differenza

Qual è la differenza tra PEC e CEC-PAC? Sono entrambi strumenti relativamente nuovi, forniti dalla tecnologia e dalla normativa per le comunicazioni sicure tra privati e tra privati e PA. L’obiettivo, in entrambi i casi, è quello di semplificare i rapporti formali tra cittadini e Pubblica amministrazione e abbattere i costi della burocrazia.

Per comprendere le differenze tra PEC e CEC-PAC bisognerà partire dal comprendere cosa significano i due acronimi.

PEC sta per Posta Elettronica Certificata, mentre CEC-PAC, per esteso, si legge Comunicazione Elettronica Certificata tra Pubblica Amministrazione e Cittadino (anche nota come Postacertificat@ e caratterizzata dal dominio @postacertificata.gov.it).

La PEC è una soluzione di posta elettronica di valore legale, dato che rilascia una certificazione comprovante l’invio e la ricezione di comunicazioni e documenti e tutti i dati relativi a tale corrispondenza (nome certo del mittente e del destinatario, data certa di invio e ricezione, etc.). Un vero e proprio sostituto delle comunicazioni tramite raccomandata con ricevuta di ritorno.

La CEC-PAC è una tipologia di posta elettronica certificata introdotta con Decreto legge 29 novembre 2008, n° 185 che dà la possibilità a ogni cittadino di scambiare comunicazioni esclusivamente con la PA. La differenza principale tra questa PEC gratuita fornita dallo Stato al cittadino e le altre tipologie di PEC è che la CEC-PAC non può essere impiegata per la corrispondenza tra privati.

Il Ministero dello sviluppo economico, nella nota n° 6391 del 15/01/2014, ha voluto fare chiarezza sull’impiego della CEC-PAC da parte di professionisti iscritti agli ordini e ai collegi professionali: l’utilizzo della posta elettronica gratuita non può essere utilizzata quale recapito di imprese e professionisti per la formazione dell’indice nazionale, ribadendo la sostanziale differenza tra la CEC-PAC e le altre tipologie di PEC, vale a dire l’impossibilità di usufruirne per le comunicazioni tra aziende e professionisti.

Certificazione di sicurezza delle firme digitali

Il 19 luglio 2012, con Decreto del Presidente del Consiglio dei Ministri (GU n° 237 del 10 ottobre 2012) venne fissata la data di un appuntamento importante per la dematerializzazione e la sicurezza delle firme digitali: il 25 luglio 2014 tutte le firme generate da dispositivi server dovranno ottenere il certificato. È il certificato che attesta il superamento, da parte dei dispositivi di firma digitale, di una verifica di sicurezza in conformità agli standard introdotti da una direttiva europea.

Un appuntamento importante per due motivi:

  • Armonizzazione degli standard europei di dematerializzazione;
  • Diffusione dello strumento della firma digitale sicura in Italia e nei rapporti transnazionali.

La diffusione di tale strumento porta già con sé una serie di vantaggi in termini di risparmi (nel pubblico e nel privato) in consumabili d’ufficio e in tempi.

Si pensi, ad esempio, al processo che segue un documento nativo digitale che debba essere sottoscritto da più soggetti: il documento digitale viene stampato (in una o più copie), viene sottoposto ai sottoscrittori che, uno per volta, apporranno la loro firma autografa; il documento firmato da tutti verrà nuovamente acquisito otticamente.

Una spesa in termini di risorse e tempo che può assumere dimensioni rilevanti.

L’appuntamento del 19 luglio 2014 con il certificato di sicurezza dei dispositivi server di firma digitale avvicina l’Italia al futuro della digitalizzazione. Non vi sarà più timore d’impiego di questo strumento nei rapporti tra privati: l’unica firma digitale ammessa sarà quella sicura.

Firma elettronica: le regole tecniche per decreto

Il 22 febbraio 2013, con decreto del Presidente del Consiglio dei Ministri, sono state emanate le regole tecniche sulla firma elettronica. Nello specifico si tratta dei requisiti tecnici in materia di generazione, apposizione e verifica per ciò che riguarda le firme elettroniche avanzate, qualificate e digitali.

Il decreto è divenuto legge con la pubblicazione nella Gazzetta Ufficiale n° 117 del 21 maggio 2013.

La novità principale della normativa tecnica sulla firma elettronica riguarda l’introduzione di specifiche relative all’argomento caldo del 2013 in fatto di autenticazione digitale dei documenti: la firma grafometrica.

Le regole tecniche si soffermano sull’utilizzo della coppia di chiavi per la creazione e la verifica della firma elettronica qualificata e digitale stabilendo per norma che ciascuna coppia di chiavi debba essere associata a una sola procedura e a un solo dispositivo sicuro di apposizione della sottoscrizione elettronica.

Con l’entrata a regime delle regole tecniche sulla firma elettronica (5 giugno 2013), si apre una nuova stagione dedicata alla semplificazione e alla dematerializzazione dei rapporti tra Pubblica Amministrazione, cittadini e imprese.

Il Garante della privacy apre nei confronti della firma grafometrica

Il provvedimento del 12 settembre 2013 n° 396 del Garante della privacy apre in modo deciso nei confronti dell’impiego dei dati biometrici quali parametri d’autenticazione di una firma digitale avanzata. Vale a dire: sulla firma grafometrica. La diffusione dei tablet device per l’apposizione di firma autografa in ambito bancario ha posto con pressante urgenza una presa di posizione da parte del Garante sul ricorso a banche di dati biometrici a supporto dell’autenticazione delle firme elettronica autografa.

Quest’ultimo ok da parte del Garante della privacy viene rilasciato sull’impiego dei dati biometrici comportamentali quali parte integrante del processo identificativo e non come mero sistema di controllo per l’accesso a un certificato di firma remota.

Secondo la procedura sottoposta alla valutazione del Garante della privacy da parte di un istituto di credito, il titolare della firma, a seguito del rilascio del consenso all’impiego dei dati personali, sottoscrive il contratto digitale di servizio. Nell’ambito di tale sottoscrizione effettuata tramite tablet, il sistema raccoglie i dati biometrici come pressione, velocità e movimento che diventano la chiave di autenticazione dell’utente. Il sistema sottoposto all’attenzione del Garante della privacy è strutturato in modo che i dati biometrici, ritenuti particolarmente sensibili, non siano accessibili in chiaro.

Il via libera da parte del Garante è stato rilasciato a seguito dell’accertamento che il sistema di firma grafometrica prospettato risulti sicuro e non improntato per il passaggio di informazioni relative alla salute del titolare o ne leda in altro modo la privacy.

Linee guida dell’Agenzia sul contrassegno elettronico

La gestione documentale digitale fa un passo avanti con la Circolare n° 62/2013 emanata dall’Agenzia per l’Italia Digitale. Con tale documento sono state rese pubbliche le linee guida per il contrassegno elettronico, strumento previsto dall’art 23-ter, comma 5 del CAD al fine di dotare la gestione documentale digitale di un nuovo strumento che avesse la stessa valenza di legge della firma autografa.

Il contrassegno digitale è stato pensato anche per rispondere alle esigenze che nascono dal particolare momento in cui ci troviamo: periodo di transizione dal regime documentale cartaceo a quello digitale.

Questo speciale strumento al servizio della gestione dei documenti digitali consiste in una sequenza codificata di bit che rappresentano un documento amministrativo, una parte di esso, una copia, un duplicato o i dati che lo identificano. Grazie al contrassegno elettronico può essere verificata l’effettiva corrispondenza di un documento in formato cartaceo al documento originale digitale o digitalizzato.

Attualmente, il contrassegno elettronico viene impiegato principalmente nei rapporti tra cittadini e PA per ciò che riguarda la produzione di certificati da utilizzare nei rapporti tra privati.

Le linee guida emanate dall’Agenzia per l’Italia Digitale serviranno a fornire uno standard vincolante affinché il contrassegno elettronico possa diffondersi anche in altri ambiti.