Con una nota apparsa quest’oggi sul sito del Garante Privacy italiano, l’Autorità comunica di aver avviato un’istruttoria in relazione al data leak che ha coinvolto le caselle PEC degli avvocati iscritti all’Ordine romano e di alcuni utenti del servizio Visura.
Parlando di “PEC insicure“, Antonello Soro risponde così all’agenzia AGI: “abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti“.
Secondo il Garante “emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la PEC, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico“.
L’incidente cui viene fatto riferimento è quello di cui abbiamo dato conto appena due giorni fa: Anonymous e LulzSecITA estraggono i dati personali di migliaia di avvocati romani.
Vale la pena osservare che il Garante si concentra in particolare sulle responsabilità di coloro che non hanno protetto adeguatamente un servizio “sensibile” come quello che è designato a gestire le caselle di posta elettronica certificata.
Nessuno al momento fa nomi, che in molti hanno scovato semplicemente portandosi nella pagina di login per l’utilizzo della PEC dell’Ordine degli Avvocati di Roma, premendo la combinazione di tasti CTRL+U
quindi verificando il contenuto del tag title
o effettuando un WHOIS sul dominio utilizzato dall’Ordine per la gestione della PEC (vedere Come trovare a chi è intestato un dominio e quali altri siti vengono gestiti).
C’è da dire che è bene che le Autorità effettuino a questo punto le verifiche del caso perché non è dato sapere quali siano i contratti in essere, se la piattaforma usata per la gestione delle PEC sia stata fornita così com’è dallo sviluppatore o se la gestione – aggiornamento compreso – sia stata data in outsourcing ad altri soggetti.
Certo è che la pubblicazione di decine di migliaia di credenziali di accesso relative alle caselle PEC di altrettanti legali è uno di quegli incidenti che non può essere preso sottogamba, soprattutto dopo le raccomandazioni a suo tempo diffuse in vista della piena efficacia che un anno fa è stata attribuita al nuovo Regolamento generale sulla protezione dei dati (GDPR).
Lasciare la porta aperta a un sistema che avrebbe dovuto preservare e difendere adeguatamente dati personali e informazioni sensibili è cosa che lascia davvero basiti.
Anche perché, come scrive il noto esperto Matteo Flora in un’accorata lettera aperta indirizzata proprio al Garante Privacy, il primo problema sono proprio i dati contenuti nelle caselle PEC di cui sono state diffuse le credenziali.
“Lì ci sono i dati degli assistiti e proprio lì è venuto meno il diritto sacrosanto alla difesa. Perché? Beh perché se io fossi stato un avvocato un po’ malandrino la prima cosa che avrei fatto ieri sarebbe stato andare nella mail della controparte per vedere cosa diceva riguardo al dibattimento, per vedere le comunicazioni con il cliente. Il diritto alla difesa è stato leso in maniera, credo, non più salvaguardabile in questo momento. E si tratta del diritto alla difesa di migliaia e migliaia di cittadini, molti di più delle 26 migliaia delle caselle di posta elettronica“, scrive Flora. Per poter sopravvivere, infatti, è lecito ipotizzare che ogni avvocato gestisca almeno qualche decina di clienti che sono proprio “le persone deboli in questo momento, che hanno visto scemare la loro possibilità di difendersi in un regime preciso puntuale di regole, in un regime di segretezza che è venuto a mancare a causa di grossolane e incredibili deficienze nelle più basiche norme di sicurezza“.
E oggi gli hacktivist di LulzSecITA “rincarano la dose” chiamando in causa il sito web del Garante Privacy e pubblicando i nomi di alcune tabelle MySQL che sarebbero utilizzate lato server dall’Autorità.
Il Garante, con una breve nota ufficiale, tiene a precisare che “le informazioni oggetto di violazione non riguardano il sito del Garante bensì un’applicazione esterna, non più attiva a seguito dell’entrata in vigore del GDPR se non come registro pubblico, e quindi contenente dati già accessibili. L’Autorità non sottovaluta in ogni caso l’attacco subìto e sta predisponendo adeguate misure“.