LE CASELLE DI POSTA ELETTRONICA DEGLI AVVOCATI SONO STATE VIOLATE?

16.05.2019

Nei giorni scorsi è circolata insistentemente la voce relativa alla presunta violazione di circa 150.000 indirizzi di posta elettronica certificata a seguito di una serie di accessi ai database di uno dei più importanti fornitori di servizi p.e.c. degli ordini professionali forensi, il dato reale sulle caselle potenzialmente coinvolte è di circa 27.500.
A seguito dell’attacco subito le società Infocert (certificatore accreditato e fornitore del servizio) e Visura (intermediario della commercializzazione) hanno, in accordo con il Garante della protezione dei dati personali, bloccato tutte le caselle ipoteticamente suscettibili di violazione per svolgere i controlli necessari a scongiurare qualsiasi violazione effettiva o presunta e, successivamente, ripristinato il servizio.

Cosa è realmente successo e quali sono i pericoli reali o ipotetici che hanno corso i titolari delle caselle di posta elettronica certificata ed i dati eventualmente in esse contenuti?

I server contenenti alcuni archivi di dati sono stati violati e di conseguenza molte informazioni sono divenute accessibili a soggetti non legittimati, ma quali dati contenevano questi file?
Al momento non è possibile rispondere alla domanda ma per restare ai profili qui di interesse pare siano state acquisite le informazioni relative alle “userid” ed alle “password” fornite in fase di prima attivazione del servizio di posta elettronica certificata a quegli avvocati che avevano aderito ai servizi offerti in convenzione a molti consigli degli ordini forensi.
Prendiamo per buona tale ipotesi e vediamo quale conseguenze pratiche potrebbero, o meglio, avrebbero potuto verificarsi visto che allo stato non risultano esiti conosciuti, tenendo presente che le norme e le buone prassi sulla sicurezza informatica prevedono che le password di accesso a qualsivoglia sistema informatico dovrebbero essere cambiate al primo accesso e periodicamente con frequenza perlomeno trimestrale.

1) Il titolare della casella pec in fase di prima attivazione ha immediatamente cambiato la propria password di accesso.
In questo caso la conoscenza della password rilasciata in fase di prima attivazione dal fornitore del servizio non consente in alcun modo a chicchessia di accedere alla casella del titolare e questo è al riparo da qualsivoglia violazione dei propri archivi.

2) Il titolare della casella pec ha comunque nel corso del periodo di utilizzo modificato la password originaria.
Come nel caso di cui al n. 1) nessun accesso non autorizzato alla casella è possibile.

3) Il titolare della casella pec non ha mai cambiato la password e continua ad utilizzare quella fornita in fase di attivazione.
Questa ipotesi non implica che la casella sia stata effettivamente violata e che dunque vi sia stato un accesso non autorizzato ai dati, la conoscenza della password da parte di soggetti non legittimati non implica né l’accesso alla casella né l’acquisizione dei dati, delle informazioni e dei documenti in essa contenuti.
In effetti, proprio per evitare l’accesso a soggetti diversi dal titolare della casella o da esso delegati, sono stati bloccati per alcuni giorni tutti gli indirizzi che ipoteticamente avrebbero potuto essere sottoposte ad accessi non autorizzati.
Successivamente, dopo un controllo svolto in modo sistematico su ampia scala sono state ripristinate dapprima le caselle per le quali le password erano state regolarmente modificate ed in seguito  tutte le altre previa comunicazione ai titolari delle modalità per effettuare l’accesso previo cambiamento della password; l’intermediario ha naturalmente potuto contattare direttamente solo gli utenti dei quali aveva a disposizione un indirizzo di posta elettronica ordinaria, a tutti gli altri è stata illustrata con avviso pubblicato sui siti del fornitore e dei consigli degli ordini, la procedura per la forzatura della password e lo sblocco della casella.

Allo stato possiamo dunque dire con buona approssimazione che quasi nessuna delle caselle pec ipoteticamente interessate ha subito accessi indebiti a seguito dei fatti sopradescritti, l’analisi dei file di log delle singole utenze effettuata dal fornitore del servizio non ha evidenziato un numero rilevante di accessi anomali ove anche si tenga conto che – nell’ipotesi in cui qualcuno abbia utilizzato la password ricavata dai file sottratti – al sistema informatico non può risultare alcuna anomalia essendo stati nome utente e password validi ed attivi fino alla loro sospensione da parte dell’amministratore di sistema.

Purtroppo tutto quanto sopra descritto non è stato privo di conseguenze pratiche poiché, proprio in ragione del blocco imposto da parte del Garante, le caselle non hanno funzionato per alcuni giorni con la conseguente impossibilità per i titolari tra l’altro di effettuare i depositi telematici e le notificazioni ai sensi dell’art. 3-bis L. 53/94 con ricadute di vario tipo anche sugli uffici giudiziari alcuni dei quali hanno espressamente autorizzato i depositi cartacei degli atti non inviabili telematicamente. La quasi totalità delle caselle ha ripreso in toto la propria funzionalità nella giornata del 13.05.2019.

Questi in sintesi i fatti che confermano come non sia affatto semplice la completa e puntuale protezione dei dati personali e come ancora molto ci sia da fare in materia di sicurezza informatica da parte delle grandi aziende fornitrici di servizi informatici, sia da parte di utenti in genere poco attenti, nonostante la professione svolta, ai profili della riservatezza dei propri archivi.
Molto ci sarebbe da dire in primo luogo su tutti quei servizi che utilizzano il sistema di autenticazione semplice basato su userid e password che come ampiamente noto viene spessissimo usato in modo molto superficiale e risulta dunque facilissimamente violabile, anche se per alcuno può sembrare assurdo che professionisti del diritto non abbiano mai modificato la password di accesso alla propria casella di posta elettronica certificata il fatto non è né raro né così assurdo. La cultura informatica di base è di livello bassissimo nella quasi totalità degli operatori del diritto e diventa mediocre se applicato all’ambito della sicurezza e delle relative misure se è vero che le password maggiormente utilizzate sono le date di nascita di mariti, mogli, figli, animali domestici, seguite da sequenze di caratteri digitate sulla tastiera del pc del tipo QWERTY o 123456.
Non è questa la sede ove affrontare le questioni sulla sicurezza dei propri dispositivi ma in tema di utilizzo di password sarebbe opportuno sapere, per esempio, che quanto più una password è lunga, tanto più è difficile violarla, che le semplici sequenze numeriche sono molto più deboli di sequenze che prevedano l’uso di varie tipologie di caratteri e che una password composta da otto caratteri non è affatto forte quanto si potrebbe pensare; in ogni caso oltre alla password dovrebbe essere sicuro il supporto fisico o digitale sul quale la/le stessa/a vengono memorizzate ma qui si aprirebbe un capitolo a parte.

Passiamo ora a considerare alcuni aspetti pratici dell’utilizzo della p.e.c. nella pratica legale, in teoria una volta che un deposito telematico si è perfezionato non è affatto necessario conservare sulla propria casella di posta tutte le pec relative e sarebbe opportuno scaricarle in locale (o in un servizio cloud veramente sicuro) in un archivio preferibilmente non connesso alla rete se non per il periodo necessario al trasferimento dei dati, identico discorso per le notificazioni a mezzo p.e.c. per le quali, una volta depositate presso gli uffici giudiziari le relative risultanze che provino la notificazione, non è necessario né opportuno conservare tutti i messaggi nella propria casella.

Per coloro i quali non siano riusciti a depositare gli atti al PCT nel periodo di blocco o malfunzionamento delle caselle p.e.c. e non abbiamo proceduto al deposito cartaceo ove autorizzato è sempre possibile chiedere la rimessione in termini utilizzando la comunicazione di malfunzionamento rilasciata dal gestore e dal fornitore del servizio.
Gli uffici giudiziari si sono mossi in varie direzioni e così, mentre il Presidente della Corte di Appello di Roma ha emesso un provvedimento di autorizzazione al deposito cartaceo per i giorni 8 e 9 maggio, nel distretto di Genova è stata disposta la sospensione delle comunicazioni e delle notificazioni a mezzo p.e.c.

Lascia un commento

Occorre aver fatto il login per inviare un commento