Violazioni di alcuni indirizzi PEC degli avvocati romani: chiarimenti

Con riferimento a quanto avvenuto in queste ore relativo alle violazioni di alcuni indirizzi PEC (al momento circa 30.000,00) degli avvocati romani è utile precisare quanto segue.

Il sito dell'Ordine degli Avvocati non è stato attaccato in nessun modo. Per essere precisi non sono stati attaccati i Siti degli Ordini di nessun distretto. L'attacco hacker di queste ultime ore è diretto alla categoria degli avvocati: sono state violate mail e PEC dei colleghi, non il sito dell'Ordine.

Per la precisione, hanno violato il sistema di uno dei gestori pec più utilizzati dagli avvocati, reperendo le user id e le password di primo accesso (quelle che sono state inviate dal gestore stesso con la raccomandazione di modificarle al primo accesso, appunto).

Gli avvocati che hanno modificato le password di primo accesso, come per altro prescritto per legge almeno fin dal 2003, ove l'all. b) del d.lgs. 196/2003, misure minime di sicurezza, imponeva la modifica password almeno ogni sei mesi, possono in ogni caso stare relativamente tranquilli.

Per quanto riguarda il blocco temporaneo per le verifiche delle anomalie, il Gestore interessato già da alcune ore ha comunicato che dovrebbe tornare tutto alla normalità in poco tempo, comunque in giornata, garantendo chi aveva atti in scadenza della loro collaborazione per la rimessione in termini.

Le anomalie che si sta cercando di registrare, matchandole, riguardano i log degli accessi agli indirizzi pec bloccati (circa 150.000 in tutta Italia) per verificare anomalie negli accessi ma anche per registrare tutti quegli user id che non hanno modificato la password di primo accesso in modo da imporgli tecnicamente la modifica non appena la situazione sarà ripristinata.

Non possiamo prevedere quello che accadrà nelle prossime ore, né sappiamo precisamente quello che è successo nelle ore precedenti.

Quindi, al momento, non è dato di escludere che possano esserci altri avvocati (ma corre voce che non siano solo gli avvocati) vittime dell'attacco, ma sempre nei limiti di cui sopra.

Per quanto riguarda le mail ordinarie le cui credenziali sono state pubblicate, appare verosimile che siano le stesse che sono state utilizzate per accesso anche altri siti, con medesima password di quella registrata per le mail. Quindi anche in questo caso in violazione delle norme dettate in tema di misure di sicurezza.

Resta ferma la raccomandazione di modificare le password non appena la situazione verrà ripristinata, seguendo alcune basilari regole di sicurezza quali ad esempio quella di utilizzare almeno 10 caratteri, almeno una lettera maiuscola e una minuscola, almeno un numero e i caratteri speciali come _ oppure @.

Per rendere la password più facilmente memorizzabile è possibile utilizzare anche intere frasi, molto più sicure di un semplice nome o una data (password più comuni come si evince anche dai file pubblicati relativi alle mail normali).

Non può essere taciuto il fatto che la modifica della password è un rimedio comunque ex post, che purtroppo non inficia il grave atto a cui la categoria degli avvocati è stata sottoposta. Dovranno essere valutate le responsabilità anche alla luce della normativa sulla tutela dei dati personali.
È probabile che alcuni avvocati saranno tenuti alle notifiche ex artt. 33 e 34, Regolamento (UE) 2016/679 (notifica della violazione all'Autorità di Controllo e comunicazione agli interessati della violazione). È quasi certo che a tali notifiche sarà tenuto il Gestore interessato dalla violazione.
È necessario che chi ne ha l'autorità spinga per una maggiore sensibilizzazione, consapevolezza e formazione sull'importanza della sicurezza informatica, responsabilità, questa sì, che cade in primo luogo in capo agli Ordini professionali.