PEC e REM: cosa cambia davvero (e cosa no) nella posta certificata

Per anni la PEC è stata una piccola rivoluzione silenziosa.

Chi la usa ogni giorno lo sa bene, ha semplificato la vita, ha dato certezza alle comunicazioni, ha tolto di mezzo una quantità enorme di carta e di incertezze.
In molti casi ha reso il diritto un po’ più vicino alla realtà quotidiana.

Ma ora qualcosa si muove, e vale la pena capire bene cosa.

La REM – Registered Electronic Mail – non nasce oggi, è il risultato di un percorso iniziato con il regolamento eIDAS del 2014 e accelerato dalla revisione contenuta nel Reg. UE 2024/1183, il cosiddetto eIDAS 2.
Solo ora, però, questo percorso inizia a toccare concretamente la vita di professionisti, imprese e, progressivamente, anche dei cittadini.

Il punto non è tanto capire cos’è la REM, il punto è capire perché adesso diventa rilevante, e cosa comporta per chi ogni giorno lavora con la posta certificata.

Quando un sistema funziona, ma non basta più

La PEC funziona e funziona bene.
Ha un valore giuridico chiaro, è riconosciuta, è entrata nelle abitudini. Non è uno di quegli strumenti digitali che promettono molto e restano sulla carta.

Ma ha un limite che per anni è rimasto sullo sfondo, è un sistema esclusivamente italiano.

E non è l’unico limite.

Chi segue questo sito sa che sulla PEC ho sollevato più volte perplessità strutturali: la presunzione di avvenuta lettura ancorata a meccanismi tecnici che il destinatario non sempre controlla, la dipendenza da server e provider centralizzati, la fragilità di un sistema che dà per certo ciò che nella realtà non sempre lo è.

La REM interviene su alcuni di questi aspetti, l’identificazione forte è un passo avanti concreto, ma non li risolve tutti, è bene tenerlo presente.

Tornando al limite principale, non è solo una questione di diffusione, il problema è tecnico e regolamentare.

Per il regolamento eIDAS, la PEC rientra nella categoria dei SERC – Servizi Elettronici di Recapito Certificato.
In pratica, certifica che un messaggio è stato inviato e consegnato: data, ora, ricevuta, ma non certifica chi lo ha inviato.

L’identità del mittente, nel sistema PEC, è garantita solo indirettamente, attraverso i registri pubblici come INI-PEC, che collegano un indirizzo a un soggetto specifico.

Fuori dall’Italia, quel collegamento non esiste.

Quindi appena si esce dal perimetro nazionale, la certezza giuridica della PEC si incrina, non scompare, ma non è più automatica, non è uniforme, non è riconosciuta.
In un contesto in cui imprese e professionisti si muovono sempre più spesso su scala europea, si pensi anche solo a una diffida inviata a un fornitore tedesco, o a una comunicazione contrattuale con un partner francese, questo limite diventa operativo.

Non subito, ma prima o poi arriva.

La differenza vera: dal messaggio al soggetto

Definire la REM come “la PEC europea” è comodo, ma fuorviante.
La REM non è un’estensione della PEC, è un servizio che nasce dentro un’altra logica.
Dove la PEC è un SERC, la REM è un SERCQ – un Servizio Elettronico di Recapito Certificato Qualificato.

La differenza non è solo una sigla in più, la “Q” significa che il servizio certifica non solo l’invio e la consegna del messaggio, ma anche l’identità del mittente e del destinatario.

In pratica, il sistema non si limita a dire “questo messaggio è stato recapitato”; dice “questo messaggio è stato inviato da questo soggetto identificato e ricevuto da quest’altro soggetto identificato”.

Sembra un dettaglio tecnico ma non lo è.

Significa che la comunicazione certificata inizia a legarsi in modo diretto all’identità digitale di chi la utilizza.

Non è più soltanto “un indirizzo/domicilio che invia e riceve qualcosa”, ma un soggetto riconosciuto all’interno di un sistema europeo di fiducia.

E quel sistema non si ferma alla posta, si collega alla firma digitale, ai servizi fiduciari qualificati, al futuro portafoglio europeo di identità digitale.

La REM, insomma, è un pezzo di un mosaico più grande.

C’è però un risvolto che vale la pena notare.
Ogni sistema che rafforza la certezza giuridica, allo stesso tempo, restringe uno spazio di libertà.

Con la PEC si poteva avere una casella intestata a una società e usarla in modo relativamente impersonale.

Con la REM il soggetto è sempre identificato, sempre tracciabile, sempre riconducibile a un’identità verificata.

È un guadagno in termini di affidabilità; ma è anche una scelta che va compresa fino in fondo, soprattutto in un’epoca in cui il confine tra sicurezza e sorveglianza non è mai così netto come vorremmo.

Cosa cambia nell’uso quotidiano

C’è un aspetto pratico che chi lavora con la PEC ogni giorno deve tenere presente.
Per accedere alla REM sarà necessaria un’autenticazione forte: un doppio fattore, come avviene già per l’home banking.

Significa che al momento dell’accesso alla casella, tramite il portale del proprio provider, bisognerà inserire un codice aggiuntivo, tipicamente una OTP via app o SMS.

Le modalità concrete dipenderanno dall’implementazione dei singoli provider, e non è escluso che l’esperienza d’uso risulti più fluida di quanto il requisito tecnico lasci immaginare.

Per chi ha una sola casella e la gestisce in autonomia, il cambiamento è minimo.
Ma per le aziende e gli studi professionali che gestiscono più caselle, magari condivise tra più operatori, la questione è diversa.

L’autenticazione a due fattori, per sua natura, è personale e questo impone di ripensare i flussi operativi interni, chi accede, come accede, con quali credenziali.

Quanto all’adeguamento tecnico in sé, per chi ha già una PEC il passaggio dovrebbe essere relativamente semplice.

I provider stanno predisponendo procedure di migrazione che prevedono l’identificazione del titolare tramite SPID, CIE o firma digitale, seguita dall’attivazione della 2FA.

Stando a quanto comunicato finora dai principali provider, non servirà cambiare indirizzo o aprire una nuova casella ma servirà attivarsi, e farlo nei tempi giusti.

A che punto siamo, davvero

Il quadro normativo c’è, ma la transizione non ha ancora una data certa.
Il percorso è iniziato nel 2022, con la pubblicazione degli standard ETSI che definiscono i requisiti minimi di interoperabilità per la REM, la cosiddetta REM Baseline.

La scadenza iniziale per l’adeguamento era il 1° gennaio 2025, poi rinviata.

Ad oggi, il passaggio obbligatorio dalla PEC alla REM richiede un DPCM (previsto dal Decreto-Legge 135/2018) che è ancora in fase di bozza.

La normativa prevede un periodo di almeno 18 mesi dall’entrata in vigore del decreto, il che rende improbabile una scadenza effettiva prima della seconda metà del 2026, forse oltre.

Nel frattempo, la PEC resta pienamente valida e utilizzabile nel contesto nazionale.

Non c’è nessuna urgenza immediata, nessuno switch-off dietro l’angolo.

Ma la direzione è tracciata e chi si muove in anticipo, soprattutto tra imprese e professionisti che operano in ambito transfrontaliero, avrà un vantaggio concreto nel momento in cui il sistema entrerà a regime.

I nodi aperti

Non tutto è lineare e non tutto è già risolto.

L’interoperabilità, per esempio, è uno di quei concetti che funzionano perfettamente sulla carta.

Poi bisogna vedere come si traducono nella realtà dei diversi sistemi nazionali, con provider differenti, standard di implementazione non sempre omogenei, e un’adozione che procederà inevitabilmente a velocità diverse da Paese a Paese.

C’è poi un aspetto meno visibile ma concreto, i costi.

L’innalzamento dei requisiti di sicurezza, identificazione forte, 2FA, standard ETSI, si tradurrà in servizi più complessi e, presumibilmente, più costosi.

Per le grandi imprese il tema è marginale; per i piccoli studi professionali e per i cittadini che oggi pagano pochi euro l’anno per una PEC, potrebbe non esserlo.

C’è un rischio che va detto con chiarezza: le caselle PEC che non verranno adeguate agli standard europei, una volta scaduto il periodo transitorio, perderanno validità legale.

Non diventeranno “PEC di serie B”, a transizione completata, diventeranno caselle di posta ordinaria, inutilizzabili per comunicazioni certificate.
Finché il periodo transitorio è in corso non cambia nulla, ma chi non si adegua per tempo resterà fuori.

La PEC sparirà?

No, non a breve, e non nel senso che molti temono.
Per un periodo, che potrebbe essere anche lungo, PEC e REM convivranno.
La PEC continuerà a essere utilizzata nei rapporti interni, con piena validità nel contesto italiano.

Nessuno si sveglierà un mattino con la casella bloccata.

Ma la direzione è chiara, quando esiste un’infrastruttura che funziona su scala europea, quella tende, nel tempo, a diventare il riferimento, non per sostituzione immediata, ma per progressiva evoluzione.

E quando l’evoluzione sarà completa, chi non si sarà adeguato non avrà più uno strumento legalmente valido.

Un cambio di prospettiva

Il passaggio dalla PEC alla REM non è un aggiornamento tecnico, è un cambio di prospettiva.
Si passa da un sistema in cui certifico un messaggio, a un sistema in cui agisco come soggetto riconosciuto all’interno di uno spazio digitale europeo.

Non è più solo una questione di “inviare qualcosa con valore legale”, è una questione di come esistiamo, giuridicamente, nel digitale, e questo richiede qualcosa in più.
Non solo strumenti nuovi, ma un modo diverso di pensarli e usarli.

Perché quando la comunicazione entra dentro l’identità, non è più semplice corrispondenza, è il modo in cui ci presentiamo, come professionisti, come imprese, come cittadini, in uno spazio giuridico che ormai non si ferma ai confini nazionali.

E forse è proprio questo il passaggio da interiorizzare, non stiamo cambiando provider, stiamo ridefinendo cosa significa essere presenti, giuridicamente, nel digitale.

---

FAQ