Innovazione

Le Pec degli avvocati sono insicure. Parola di Garante. Tutti gli inghippi delle password per i legali

di

PEC avvocati violate

Due giorni dopo l’attacco che Anonymous ha sferrato alle PEC degli avvocati di tutta Italia si contano ancora i danni. La sola certezza è che il sistema di posta elettronica certificata non è affatto sicura. Lo dimostra l’hackeraggio della serata dell’8 maggio e la confusione che ne è seguita (tuttora in corso), lo dice ora il Garante della Privacy. Ma andiamo con ordine.

COSA HA DETTO IL GARANTE SULLE PEC

«Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti», ha dichiarato il Garante della Privacy, Antonello Soro. «Sin da ora, emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la PEC, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico».

LE RIVENDICAZIONI DEI PIRATI

La Web Radio a tema giuridico IusLaw ha intervistato il collettivo di pirati italiani che avrebbero commesso la violazione. «Non siamo noi a violare alcunché ma siete voi a lasciare le porte aperte e si sa: se qualcuno lascia le porte aperte, altri possono entrare», hanno puntualizzato. «La nostra è una forma di protesta», hanno aggiunto. «Siamo apolitici, ci interessa la giustizia equa per tutti. Non siete voi avvocati il nostro vero bersaglio. Siamo a favore della privacy e della sicurezza informatica. Vogliamo spronare le persone comuni e gli addetti ai lavori ad avere maggior attenzione sulla privacy e la sicurezza dei dati personali di tutti».

ROMA E NAPOLI TORNANO ALLA CARTA

Nel frattempo il Foro capitolino, il più colpito da Anonymous, e quello partenopeo tornano alla carta. Il Presidente Vicario della Corte di Appello di Roma, a seguito della nota ricevuta dal Consiglio dell’Ordine degli Avvocati di Roma, ha infatti autorizzato il deposito degli atti e documenti, previa autocertificazione degli Avvocati attestante il mancato funzionamento della propria casella PEC nei giorni 8 e 9 maggio 2019, per evitare la paralisi del sistema e le conseguenze del mancato rispetto dei termini nelle procedure che, come abbiamo visto, possono essere molto serie e ledere diritti costituzionalmente garantiti delle parti in causa.

L’ORDINE DEGLI AVVOCATI DI ROMA: CAMBIARE PASSWORD

Questa invece la comunicazione dell’Ordine degli Avvocati di Roma:

Gentili Colleghi,

abbiamo appreso da notizie di stampa che la banca dati del nostro fornitore delle caselle di posta elettronica certificata è stata violata ed alcune password di accesso sarebbero ora nella disponibilità di soggetti non ancora identificati dalla Polizia Postale.

Sembra, in particolare, che siano a rischio quelle caselle PEC per le quali il Collega fruitore non ha modificato la chiave di accesso fornita all’origine.

E’ stata posta in essere una grave e inaccettabile violazione del diritto all’inviolabilità della corrispondenza e della riservatezza dei difensori e dei loro assistiti. Consiglio a tutti di modificare periodicamente la password di accesso alla PEC per evidenti ragioni di sicurezza informatica e, sopratutto, è opportuno che lo facciano subito i Colleghi che fino ad ora non hanno provveduto.

Inoltre, in questi minuti, ci sono state segnalate anche difficoltà di accesso alle predette caselle di posta elettronica certificata. Tali segnalazioni sono state immediatamente inoltrate al fornitore per sua competenza e, nel momento in cui pubblichiamo questa notizia, apprendiamo che entro le ore 21.00 dovremmo avere la risoluzione definitiva di tali problematiche tecniche.

Ovviamente, l’Ordine sarà al fianco dei Colleghi e stiamo seguendo con attenzione l’iter delle indagini in corso.

LA TESTIMONIANZA DI UN AVVOCATO

A 48 ore dall’attacco, la situazione stenta ancora a normalizzarsi. “In seguito alla violazione degli indirizzi PEC agli iscritti all’ordine degli avvocati Roma – ha raccontato a StartMag un legale del Foro capitolino-  da questa mattina [ieri ndR] sul sito del Consiglio dell’Ordine si legge il seguente avviso: Si avvisano i gentili clienti che le attività di verifica sono state completate e che è iniziata la graduale riapertura delle caselle di posta certificata. Il processo di riapertura, essendo graduale, si concluderà entro la fine della giornata odierna. Dopo alcuni tentativi di accesso e richieste cambio password per accedere alla mia PEC dovrò effettuare una procedura di forzatura password. Se andrà bene la procedura, che al momento incontra ancora problemi, dovrebbe essere ristabilito il tutto entro 24 ore”.

LA NUOVA PROCEDURA PER ACCEDERE ALLA PROPRIA PEC

La procedura obbligatoria Lextel chiede i dati dell’avvocato, il codice utente (che più legali, sentiti sul punto, ci hanno garantito normalmente non venga richiesto per effettuare l’accesso o altre operazioni comuni) e una mail differente, anche non PEC, cui sarà inoltrata la password provvisoria da cambiare al primo accesso.

COSA DICE LEXTEL IN MERITO

Da parte sua Lextel, sul proprio sito comunica che: “Si avvisano i gentili clienti che le attività di verifica sono state completate e che è iniziata la graduale riapertura delle caselle di posta certificata. Il processo di riapertura, essendo graduale, si concluderà entro la fine della giornata odierna. Ricordiamo che, qualora l’impedimento all’accesso al sistema di PEC avesse causato il mancato rispetto delle scadenze processuali, sarà possibile scaricare la relativa certificazione cliccando QUI. Ci scusiamo per il disagio».

LE RESPONSABILITA’ DEGLI AVVOCATI

C’è poi la possibilità che anche alcuni avvocati abbiano la loro parte di colpe. Per esempio i professionisti che non hanno avuto cura di modificare la password iniziale o ne hanno scelta una troppo facile che non rispetta standard di sicurezza ritenuti adeguati. «Nella normativa comunitaria sulla privacy c’è l’obbligo, peraltro già presente nella vecchia legge italiana che ha sostituito, per i soggetti che custodiscono i dati altrui di conservarli con cura», racconta a StartMag un altro legale che preferisce restare anonimo. «Teoricamente, se alcuni dati sensibili dei nostri clienti, contenuti nella PEC, diventassero di pubblico dominio a seguito di hackeraggio, ci potrebbero essere profili di responsabilità da parte del legale in virtù proprio dell’informativa sulla privacy che facciamo firmare. Infatti, con quel documento, ci impegniamo a una serie di obblighi: conservare i loro dati, non cederli a terzi e a mantenere la massima segretezza. In tutto ciò, non aver cambiato la password iniziale potrebbe persino essere un profilo di colpa grave. Come, per esempio, il medico che dimentica uno strumento nel corpo del paziente a seguito dell’operazione chirurgica cui lo ha sottoposto».

ALTRE COMUNICAZIONI AGLI AVVOCATI

Questa infine è una mail inoltrata ai legali nella serata di ieri:

Gentile cliente,

le comunichiamo che, a seguito di un attacco informatico, si è reso necessario, per motivi prudenziali e di contenimento del rischio, bloccare l’accesso alla sua casella PEC al fine di scongiurare eventuali accessi indebiti da parte di ignoti, diretti ad acquisire e utilizzare in modo illecito le informazioni ivi contenute.

Se nella sua casella PEC fossero state eventualmente memorizzate credenziali di accesso ad altri sistemi o servizi, anche esterni all’ambito professionale, oppure laddove lei utilizzi attualmente la password di default della sua casella PEC per accedere a tali sistemi o servizi (ivi inclusi quelli che prevedano autenticazioni con fattori aggiuntivi, quali Token, App e SMS), la invitiamo a modificare tutte le relative password.

Abbiamo dunque provveduto a reimpostare la sua password, che le forniamo, di seguito, con la presente comunicazione: si tratta di una password provvisoria che dovrà essere obbligatoriamente modificata al suo primo accesso alla casella PEC.

La sua username è invece rimasta invariata.

La invitiamo, pertanto, a eseguire le operazioni di accesso e modifica della password provvisoria il prima possibile, recandosi sul sito di accesso all’indirizzo: [OMISSIS]

Restiamo a sua disposizione per qualunque richiesta di assistenza all’indirizzo [OMISSIS].

Qualora la casella risultasse bloccata per i troppi tentativi eseguiti precedentemente, la preghiamo di non procedere con la “Forzatura Password” ed attendere che nella giornata di domani il sistema sblocchi automaticamente l’accesso consentendole così di utilizzare correttamente la password di cui sopra.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati