di Michele Pinassi*
“Dopo anni di attacchi ancora non avete capito chi sono i veri cattivi” (Anonymous Italia)
SIENA.L’attacco di Anonymous Italia alle caselle PEC degli avvocati iscritti all’Ordine di Roma, con tanto di “leak” delle credenziali di accesso (nome, cognome, username e password) degli oltre 12.000 accounts è destinato a diventare un evento significativo nella storia della cybersecurity nazionale.
Credo che questo caso evidenzi in modo magistrale il grande problema di consapevolezza sui rischi e sulle potenzialità di Internet che sta vivendo l’Italia.
Parliamo di avvocati, parliamo di Giustizia, parliamo di PEC. Parliamo di come nel 2019 ancora esistono sistemi informatici che, contro ogni misura di buonsenso e anche contro la normativa, compreso il GDPR, memorizzano in chiaro le credenziali di autenticazione.
“Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione (loss), dalla perdita (loss), dalla modifica (loss), dalla divulgazione (leak; estrusione) non autorizzata o dall’accesso (leak; intrusione), in modo accidentale o illegale, a dati personali trasmessi (in movimento), conservati (a riposo) o comunque trattati (in uso)”.Art.32 comma 2 GDPR
Parliamo anche dell’aspetto etico della vicenda, che certamente non pone in ottima luce l’operato dell’Ordine di Roma e credo metta anche a repentaglio il legittimo e sacrosanto diritto alla difesa dei clienti che figurano nelle comunicazioni a mezzo PEC.
A tal proposito è interessante il videomessaggio al Garante della Privacy di Matteo Flora, che ripercorre in modo puntuale le criticità che questo “leak” ha evidenziato, compresa quella sulla banalità sconcertante di molte delle password “rubate”.
Forse è questo il dato politico più interessante che Anonymous ha voluto evidenziare, ponendo l’accento sulle troppe vulnerabilità del nostro Paese soprattutto nei settori più delicati della società. E di come, ancora oggi nel 2019, quando gli strumenti informatici sono ormai entrati nella quotidianità anche professionale, non vi sia adeguata e sufficiente cultura della sicurezza informatica.
Come rivelano peraltro gli articoli che stanno già uscendo sui contenuti della casella di posta PEC del Sindaco di Roma, Virginia Raggi (Avvocato), l’impatto che una tale falla ha anche sulla vita privata è decisamente rilevante.
Certo, possiamo criticare (e condannare) chi ti entra in casa a sbirciare tra le tue cose se trova la porta aperta (o, peggio, rotta a tal punto da non essere chiudibile). Ma una parte di responsabilità l’ha anche chi non provvedere a chiuderla, no?
Lavorando nel settore della cybersecurity, l’importanza di utilizzare password sicure e proteggere la propria riservatezza è ancora troppo poco compresa. Nessuno metterebbe alla propria bicicletta o moto una catena da pochi euro apribile da chiunque con un po’ di forza. Eppure ancora oggi ci sono persone che, analogamente, usano “123456” o “pippo” come password anche per servizi essenziali, come le caselle di posta, o dichiara candidamente che “tanto non ho niente da nascondere”.
Password banali o male gestite, magari conservandole in chiaro nel database, rappresentano un fattore rischio difficilmente mitigabile: non è un caso se anche il GDPR pone l’accento sulla necessità di costruire sistemi “with security by default“: la prevenzione dai data leaks deve essere attuata sia attraverso una progettazione attenta che obbligando l’utente a scegliere password sicure, da cambiare periodicamente. E pace se per qualcuno rappresenta solo una scocciatura: le conseguenze, come casi come questo insegnano bene, possono essere davvero molto pesanti.
Attendiamo adesso di sapere come interverrà il Garante della Privacy, nella speranza che –parafrasando Matteo Flora– sappia tutelare adeguatamente i diritti di tutti noi cittadini. Perché credo che le vere vittime, in questa situazione, siano tutti coloro che figurano nelle mail PEC degli avvocati romani iscritti all’Ordine.
*www.zerozone.it