Anonymous e gli avvocati: quali gli scenari (e gli obblighi di segnalazione) dopo l'attacco informatico?

10 Maggio 2019

Secondo le fonti di stampa Anonymous avrebbe forzato alcuni data base contenenti i dati di avvocati compresi gli indirizzi mail e le corrispondenti password di accesso alle PEC che vengono utilizzate (quantomeno) per il processo telematico e li avrebbe diffusi.

Già nella serata di martedì 7 maggio il Consiglio dell'Ordine degli Avvocati di Roma aveva informato che sono tutti all'opera e che il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche sta svolgendo le indagini del caso.

Risulterebbero coinvolti, tra gli altri, 30.000 avvocati romani che ancora in questo momento sono impossibilitati ad accedere alle loro caselle di posta elettronica.

Gli avvocati coinvolti, loro malgrado, lamentano una mancanza di informazioni da parte della società che gestisce la posta elettronica che ha pubblicato l'avviso secondo cui «potrebbero verificarsi problemi di accesso ad alcune caselle di posta certificata.

Qualora gli impedimenti dovessero causare il mancato rispetto delle scadenze di deposito forniremo adeguata certificazione. Ci scusiamo per il disagio».

La notizia del data breach. La prima notizia è stata data dal comunicato di Anonymous che “rivendica” l'accesso al sistema.

Termini processuali. Come prima conseguenza l'attacco informatico ha determinato la comunicazione delle password e il blocco “cautelativo” da parte della società fornitrice del servizio di tutti gli account (così sembra dai comunicati attualmente disponibili e dai commenti sui social degli avvocati).

Quel “blocco” cautelativo impedisce agli avvocati le cui PEC sono coinvolte dal blocco di ricevere ed inviare messaggi PEC e, quindi, impedisce il rispetto dei termini processuali per causa certamente loro non imputabile.

A mio avviso, oltre alla comunicazione di mancato funzionamento che dovrà far pervenire tempestivamente la società fornitrice del servizio, è bene che – in ragione della numerosa platea coinvolta – venga autorizzato in via generale il deposito di atti cartacei fino a quando il problema non sarà risolto (ma soprattutto chiarito) definitivamente (e ciò sebbene il problema non riguardi l'infrastruttura del PCT ma, da quel che sembra, uno soltanto dei gestori di PEC).

Rispetto della privacy. Ma l'attacco impone di riflettere – al momento in astratto e per ipotesi - anche sulle conseguenze in termini di responsabilità e di obblighi.

La prima responsabilità da esaminare è quella del gestore della posta elettronica: le misure di sicurezza messe in campo erano corrette in relazione a quanto poi avvenuto? In altri termini, quell'attacco si sarebbe potuto evitare? E se sì, con quali modalità?

La seconda responsabilità da esaminare è quella dell'avvocato titolare della casella di posta elettronica (nell'eventualità che dopo la diffusione dell'elenco delle password qualcuno abbia avuto accesso alla casella e abbia potuto – evidentemente illegalmente – prendere conoscenza del contenuto della stessa). Ed infatti, occorrerà verificare – in quel caso (in eventuale concorso con il gestore ovvero anche esclusivamente laddove il gestore sia esente da responsabilità) se l'avvocato si è attenuto ad una gestione delle password efficace ed efficiente.

Mi spiego meglio: se l'attacco ha reso disponibili tutte le password anche quelle più recentemente cambiate, l'avvocato sarà esente da responsabilità. Ma se l'attacco avesse reso disponibili le password (ad esempio) di default o risalenti nel tempo e mai cambiate, astrattamente si potrebbe porre anche un eventuale concorso dell'avvocato.

Ed infatti, la predisposizione di una password e il suo cambiamento rientra nelle misure di sicurezza organizzative mentre la robustezza (e, cioè, la difficoltà a reperirla e a resistere agli “attacchi brutali”) rientra nelle misure di sicurezza di tipo tecnico.

Le password vanno cambiate. Del resto, la password rappresenta la chiave di accesso alla nostra “casa” digitale (in questo caso della casella PEC) e quindi è necessario (oltre perché imposto dalla normativa in materia di privacy) garantire che l'accesso sia riservato a chi ha la chiave rendendo la vita difficile a chi voglia ottenerne una copia o, comunque, entrare nel sistema (come ci ha ricordato, in un altro caso recente, il Garante con il provvedimento con cui ha sanzionato Unicredit).

Ecco perché, a mio avviso, e sempre per rimanere nell'ambito di interesse dell'avvocato, quelle procedure informatiche che chiedono all'utente di indicare la propria casella e la propria password per la gestione di alcune pratiche – a prescindere dall'eventuali misure di sicurezza adottate per salvaguardare la password – non possono essere ritenute conformi alla normativa privacy (sul tema è in corso un'istruttoria del Garante: attenderemo di conoscere quale sarà la sua posizione sul punto).

Avvocato e data breach. Inoltre, l'avvocato, come titolare dei dati personali, deve porsi il problema della segnalazione dell'avvenuto data breach.

Ed infatti, rispetto ai dati che circolano sulla posta elettronica è lui il titolare degli stessi e laddove questi siano messi a rischio (come in questo caso) dovrà applicare la procedura prevista in caso di data breach dal GDPR.

Quindi, sarà lui – quale titolare – a dover fare la segnalazione al Garante entro le 72 ore salvo riservarsi la successiva indicazione su quanto dovrà risultare nel frattempo a seguito degli accertamenti che saranno svolti (anche avvalendosi di quanto sarà comunicato dalla software house – che dovrà informare sicuramente gli avvocati coinvolti di cosa sia successo – e dalle attività di indagine svolte dalla polizia).

*Fonte: www.dirittoegiustizia.it

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.