|
|
■ ritorna alle news di questo mese
| ■ archivio completo
|
| fonte: www.punto-informatico.it -
www.dirittomoderno.it |
|
data: 02/12/2009 |
PECcati professionali
di A. Buti e P. Menichelli - Come avviene l'assegnazione delle credenziali della PEC? I rischi sono dietro l'angolo. E il furto d'identità è un rischio non indifferente, a maggior ragione per un professionista
A fine mese è scaduto il termine entro il quale i professionisti iscritti in
albi (avvocati, medici, ingegneri etc) avrebbero dovuto comunicare ai rispettivi
Ordini Professionali il proprio indirizzo PEC. Al fine di agevolare la creazione
di una casella di email PEC molti Ordini hanno stipulato convenzioni con
fornitori di caselle di posta PEC (provider) per conto e nell'interesse dei
propri iscritti. Alcuni comunicano agli iscritti le credenziali di
autenticazione (userID e password randomizzate) attraverso una normale
mail.
Non pare che tale sistema dia sufficienti garanzie di segretezza e
completezza per i seguenti motivi:
1) la mail normale viaggia in chiaro e
chiunque (seppur commettendo un illecito) potrebbe prendere conoscenza delle
credenziali comunicate (viene illustrata la possibilità - non l'obbligo - di
modificare la password al primo accesso);
2) le probabilità che quanto sopra
descritto accada sono probabilmente maggiori se l'invio è effettuato con
un'azione di mailing "massiva" che potrebbe "stuzzicare" eventuali interessati
(azione illecita, ma sicurezza...gabbata). È, infatti, plausibile ipotizzare che
un provider possa aver inoltrato qualche migliaia di mail, considerato che solo
gli avvocati sono circa 200mila, circa la metà i commercialisti, ancora di più i
medici etc.
3) La mail normale potrebbe non essere nell'esclusiva
disponibilità del titolare potenzialmente inconsapevole, in quanto non
preventivamente ne direttamente pre-avvertito in merito, con conseguente
possibile furto di identità digitale difficile da dimostrare.
A monte di
tutto ciò è poi da notare che gli iscritti non hanno avuto un contatto diretto
con il fornitore - provider della casella di posta PEC, quindi:
a) non è
chiaro come il provider - che nel momento in cui rilascia la PEC diventa
probabilmente certificatore (ex art. 1, lett. g) del Codice Dell'Amministrazione
Digitale, che lo indica come "il soggetto che presta servizi di
certificazione o che fornisce altri servizi connessi con queste ultime") e
quindi pubblico ufficiale - possa aver "identificato con certezza" il titolare
dell'account (obbligo previsto dall'art. 32, comma 3, lett. A) del CAD - D. lgs.
82/2005);
b) non è stato espresso un consenso informato considerato che la
conclusione dell'accordo che ha ad oggetto la fornitura di indirizzi PEC è
avvenuta tra ordini e provider, senza diretto coinvolgimento del soggetto che è
interessato (ex d. lgs. 196/2003) e titolare di PEC (ex d.p.r. 68/2005);
c) è
possibile che alcuni interessati abbiano provveduto autonomamente ad una scelta
diversa e volontaria, per esempio utilizzando alcune opzioni disponibili al
momento dell'apertura della posizione presso enti preposti, fornitori di servizi
internet o altro, creando una duplicazione non prevista né gestita dei possibili
recapiti di "domicilio elettronico" del professionista.
Tutta questa premessa per chiederci e chiedervi: considerato che l'utilizzo
della PEC produce effetti giuridici (identificazione - in qualche modo - del
mittente, invio e ricezione di documenti informatici come se fosse utilizzata
una raccomandata di superficie, avente valore legale certo di inoltro e recapito
al momento stesso della consegna al server del provider che ha creato, senza
esplicito consenso dell'interessato, la casella di posta PEC) l'invio di
credenziali in chiaro offre standard di sicurezza adeguati? E la creazione di un
profilo senza consenso esplicito e informato? O sarebbe stato necessario optare
per canali più sicuri (magari meno tecnologici, come una busta cartacea
"oscurata" simile a quella con cui viene comunicato il PIN del
bancomat)?
Non siamo ovviamente contro la tecnologia e l'innovazione, a
patto che l'evoluzione avvenga rispettando un aspetto fondamentale: quello della
sicurezza degli strumenti e degli interessati. Una volta che il furto di
identità si sia verificato sarebbe infatti difficile per il "derubato":
-
accorgersene, poiché non essendo stato sottratto nulla di materiale, nessuno
sospetterebbe di essere stato oggetto di un furto finché non si evidenzi un
illecito;
- contestare di non essere l'autore di eventuali atti illeciti (di
natura sia civile che penale) perpetrati utilizzando l'identità digitale rubata,
per esempio inviando comunicazioni di qualunque tipo verso clienti, fornitori,
terzi o pubblica amministrazione, il tutto con pieno valore legale, equiparato
per legge ad una raccomandata con ricevuta di ritorno, anche tra un mese, un
anno o chissà, se non si cambia immediatamente la password della casella
"donata".
La maggior parte delle persone (inclusi Ordini e provider) di
fronte a scenari come quelli appena prospettati, sembra tendere, purtroppo ad
auto-giustificarsi o a minimizzare pensando "chi vuoi che sia interessato ai
questi dati?".
Ce ne sono di interessati, ce ne sono: il fatto è che fintanto
che si continuerà a non vedere o non percepire il problema - senza aumentare di
conseguenza i livelli di sicurezza - i criminali avranno gioco facile in un
numero sempre crescente di casi. Per ora sono pochini e non fanno notizia: è già
disponibile una sentenza di Cassazione sulla sostituzione di persona commessa
attraverso al creazione di falsi account email.
Domani si potrebbe leggere
di truffe a mezzo PEC. Perché qualcuno ha comprato, utilizzando l'identità
digitale altrui, beni o servizi.
Si può lavorare per ridurre al minimo tale
rischio o aspettiamo di leggere le sentenze in merito?
Andrea Buti e
Paolo Menichelli
|
|
