L’attacco del collettivo Lulzsec_ITA alle Pec degli avvocati, che ha creato grande scompiglio e ha comportato un notevole disservizio per il settore giustizia, porta con sé un duplice segnale di allarme, da un lato sull’inadeguatezza dei sistemi informatici su cui si appoggiano i legali, dall’altro sul modo con cui i legali trattano questi strumenti informatici.
Sarebbe bene che questo grave episodio, con tutti i suoi strascichi, avesse almeno una conseguenza positiva, inducendo gli avvocati a privilegiare i fornitori di servizi che garantiscono la migliore sicurezza dei sistemi.
Le fasi dell’attacco
Ma partiamo dal principio.
Il 6 maggio il collettivo Lulzsec_ITA dirama sui suoi canali social un messaggio con cui afferma di aver compromesso i siti web degli Ordini degli Avvocati di Caltagirone e Matera, esponendo le password di 31 utenti. In capo al messaggio, la minacciosa dicitura “Giorno 1 di 5”.
Giorno 2 di 5
Il giorno seguente, 7 maggio, il collettivo rende disponibili i dati di 232 utenti del sito del Consiglio dell’Ordine degli Avvocati di Piacenza.
Non è finita lì, però, perché la vera bomba arriva nel pomeriggio, con il collettivo che rilancia quanto fatto da Anonymous IT, ovvero la diffusione dei dati di accesso di 30.000 PEC degli avvocati romani, ospitate sul dominio pec ordineavvocatiroma.org.
Emergerà poi che la lista dei dati risale (presumibilmente) al 2017 e che quindi tutti i legali che hanno (come doveroso) variato nel frattempo la propria password sono al riparo da intrusioni.
Le notizie a questo punto si fanno più confuse ma emerge una compromissione di ulteriori domini riferiti a vari Ordini forensi sparsi sul territorio nazionale.
Il gruppo di hacker posta sul proprio sito web alcuni screenshot apparentemente riconducibili alla casella PEC del sindaco di Roma Virginia Raggi.
In serata Visura S.p.A. adotta misure conservative e sospende l’accesso alle PEC di molti dei propri iscritti.
Il COA Napoli nel frattempo denuncia un tentativo di attacco al proprio sito web istituzionale, attacco che non sarebbe andato a buon fine grazie alle misure di protezione adottate dal webmaster. In ogni caso, come misura precauzionale, l’Ordine ha inibito l’accesso all’area riservata del sito fino al ripristino degli standard di sicurezza ordinari.
Il giorno seguente Visura S.p.A. dirama un comunicato con cui informa che dalle 19.00 del 7 maggio il servizio di accesso ad alcune caselle PEC Legalmail è stato sospeso. Nella serata del’8 maggio, Visura avverte gli utenti di aver iniziato il graduale ripristino della funzionalità delle caselle PEC.
Giorni 3-4-5 di 5
Il “fuoco” degli hacker si sposta su Vodafone, TIM e il Garante Privacy, colpendo comunque pagine e applicativi secondari.
A quel punto il collettivo “promette” di prendersi una meritata pausa, con grande sollievo della categoria forense.
I segnali di allarme
I segnali di allarme in questa vicenda sono numerosi. Molti legali, ad esempio, non hanno mai variato (dal 2017) le proprie credenziali PEC (quando un cambio password ogni sei mesi è solitamente consigliata come “misura minima” per garantire la sicurezza dei dati, tanto più che le PEC dei legali contengono spesso dati sensibili dei clienti).
Le password diffuse dagli hacker mostrano poi l’utilizzo di password insicure come ordinate sequenze numeriche, nomi e cognomi (sebbene queste siano riferite – e ciò va segnalato a credito della classe forense – all’accesso al solo portale Visura, che non consente l’accesso a dati riservati o relativi ai clienti, e non alle PEC, le cui password risultano invece sufficientemente complesse).
L’attacco informatico subito deve quindi aprire gli occhi alla classe forense, che deve saper premiare i fornitori di servizi che più garantiscono la sicurezza informatica dei dati e, soprattutto, deve iniziare a imparare che cosa è la sicurezza informatica e come tutelare i dati dei propri clienti con serietà.
I riflessi privacy
Dopo l’avvento del GDPR (che ormai è applicato da un anno) i legali dovrebbero aver ben compreso quali sono le loro responsabilità e a quali conseguenze si va incontro in caso di fuga di dati.
Non è possibile parlare di un assetto privacy rispondente al principio di adeguatezza della sicurezza dei dati personali trattati, di cui all’art. 5 par. 1 lett. f) del GDPR, quando abbiamo delle password ferme da due anni su un sistema che contiene atti e provvedimenti giudiziali in chiaro relativi ai nostri clienti.
Il principio di adeguatezza, appena visto, fa poi il paio con il principio di responsabilizzazione di cui al comma 2 dello stesso articolo, dove si afferma che il titolare del trattamento è competente per il rispetto del principio di adeguatezza e deve essere in grado di comprovarlo. Pare evidente, però, che la categoria forense sia ben lontana da questo risultato.
Le nostre caselle PEC ricevono e spediscono regolarmente dati appartenenti a categorie particolari dei nostri clienti (basti pensare a una citazione per il risarcimento del danno da lesione in seguito ad un sinistro, o alla corrispondente sentenza) nonché, specie per i penalisti (ma anche per i civilisti che facciano riferimento a simili fatti/provvedimenti nei loro atti connessi), dati relativi a condanne penali e reati.
A tutela di un simile delicatissimo database la sicurezza delle password è solo il primo indispensabile tassello dell’adeguamento, il fatto che manchi anche questa misura minima è un indice di una situazione davvero grave.
Il cliente quando affida i propri dati ad un legale lo fa con l’idea di affidarli ad un soggetto competente e con la fiducia che questi dati siano più al sicuro nelle mani del legale che a casa propria. La categoria forense non può tradire questa aspettativa, salvo perdere irrimediabilmente credibilità.
Se è vero che cambiare regolarmente la propria password non è un consiglio che può valere in senso assoluto (non c’è motivo di cambiare una buona password se non si ha il sospetto che questa possa essere stata carpita) l’utente medio non può permettersi il lusso di non avere questo sospetto. Inoltre la presenza di vari password leak, come quello appena subito, consente di stare più tranquilli solo con un cambio periodico delle credenziali.
La fragile architettura del processo telematico
Un ultimo insegnamento è quello relativo alla fragilità dell’architettura del processo telematico in Italia.
Salvo che per i depositi nel processo tributario telematico (che si basa su un sistema di upload e dove, quindi, l’amministrazione giudiziaria controlla interamente il procedimento di deposito) e, in parte, nel processo amministrativo telematico (che sebbene si basi sulla PEC consente, proprio nel caso di “comprovate ragioni tecniche”, il deposito tramite upload), il sistema del processo telematico si fonda in misura quasi assoluta sul funzionamento di una casella PEC per i depositi e per le notifiche.
I legali dipendono quindi da un servizio di terzi rispetto al destinatario del deposito, sistema che non è possibile ridondare per essere sicuri di rimanere operativi anche in caso di problematiche del gestore PEC.
L’avvocato può infatti “gestire” solamente problematiche relative alla firma digitale (acquistando due o più dispositivi di firma con un diaframma temporale fra le scadenze dei dispositivi), relative al redattore atti nel PCT (utilizzando un secondo redattore nel caso in cui il primo presenti malfunzionamenti), relative a pc e server (con backup regolari e macchine clone pronte in caso di problemi hardware del dispositivo principale), ma non può superare un malfunzionamento della PEC.
Per il deposito e le notifiche telematiche il malfunzionamento della PEC non è aggirabile perché, semplicemente, non è possibile acquistare una casella PEC di backup, in quanto le uniche caselle abilitate alle notifiche PEC sono quelle registrate sui pubblici elenchi (art. 3 bis L. 53/94) e le uniche caselle abilitate al deposito PEC sono quelle iscritte sul ReGindE (art. 14 co. 6 Specifiche Tecniche del PCT) è quindi indispensabile che la PEC funzioni e, in caso di malfunzionamento, l’unica soluzione è quella di chiedere una rimessione in termini ex art. 153 c.p.c., deducendo di essere incorsi in una decadenza per cause non imputabili al legale.
Quello della rimessione in termini è però un terreno incerto che gli avvocati cercano in tutti i modi di evitare (visto che si può essere più o meno rigidi nel definire cosa sia “imputabile” al legale che chiede di essere rimesso in termini).
Basti pensare a come la complessa architettura del PCT influisca sulla situazione. Ad esempio per gli atti introduttivi da depositare sarebbe comunque possibile ricorrere ad un deposito cartaceo (ma il fatto che la problematica sia emersa in serata impone una rimessione in termini almeno di un giorno, essendo le cancellerie ormai chiuse quando il problema si è manifestato) e lo stesso può dirsi per le notifiche, che è sempre possibile spedire a mezzo posta o a mezzo ufficiale giudiziario (anche qui sembra naturale, però, la concessione di una rimessione in termini fino all’8 maggio).
Ancora, non tutti sanno che il sistema del PCT ammette depositi anche se il mittente non è l’avvocato depositante, essendo sufficiente che il deposito provenga da un avvocato iscritto come tale nel ReGindE. In casi come questi sarebbe quindi sufficiente contattare un legale la cui PEC non è stata compromessa per effettuare i depositi dalla sua casella. Non è pensabile però, chiedere ai legali una simile conoscenza informatica del sistema e del modo di “ingannarlo” ed è quindi indubbio che la rimessione in termini vada concessa. Proprio queste incertezze spingono però i legali a cercare altre soluzioni e quella che è percepita come più sicura è senz’altro quella di tornare al buon vecchio deposito in cartaceo, con gli avvocati romani che si sono presentati ad affollare le cancellerie con gli atti stampati l’8 maggio.
Il plesso normativo è però inadeguato a risolvere questi problemi.
L’art. 16 bis D.L. 179/16 prevede infatti, ai commi 8 e 9, che sia possibile un’autorizzazione al deposito cartaceo solamente nei seguenti casi:
“il giudice può autorizzare il deposito degli atti processuali e dei documenti di cui ai commi che precedono con modalità non telematiche quando i sistemi informatici del dominio giustizia non sono funzionanti.
Il giudice può ordinare il deposito di copia cartacea di singoli atti e documenti per ragioni specifiche.”
L’autorizzazione al deposito cartaceo pare quindi riservata a ipotesi di malfunzionamento dei sistemi ministeriali (e la PEC non è tra questi) oppure all’ipotesi di autorizzazione per specifici atti o documenti (ad esempio l’autorizzazione al deposito cartaceo di una planimetria dal formato particolarmente esteso o altri casi analoghi).
Non sembra possibile, invece, procedere con un’autorizzazione al deposito analogico in un caso del genere, anche se gli Uffici Giudiziari (Roma e Napoli) hanno reagito proprio in questo modo, forzando la norma e autorizzando il deposito cartaceo di tutti gli atti dei legali le cui PEC non erano funzionanti (causando così ulteriori problemi, con la anomala presenza nei fascicoli di atti non digitali, né in seguito digitalizzati, in un processo digitale). A onor del vero, va segnalato che il provvedimento della Presidenza della Corte d’Appello di Napoli contiene anche una adeguata nota di chiusura, che fa riferimento alla possibilità di rimettere in termini i legali per gli atti in scadenza nelle giornate interessate dall’attacco e che, in potenza, consentirebbe di riportare a fisiologia i fascicoli telematici.
Il problema di base, è che la PEC è una tecnologia limitata quanto a diffusione al nostro paese (e ad Hong Kong, dove esiste un sistema simile denominato Post e-Cert).
Lo sviluppo informatico serrato delle caselle per email ordinarie, che sono un fenomeno globale, non è purtroppo replicabile su scala nazionale e quindi ci troviamo ad affrontare il paradosso di accedere con maggior sicurezza alla nostra casella email outlook o gmail rispetto a quanto facciamo con la nostra PEC (che però contiene dati molto più importanti).
L’autenticazione a due fattori, gli avvisi in caso di accesso da dispositivi sconosciuti, i blocchi di sicurezza in caso di accessi anomali, sono misure di sicurezza che siamo ormai abituati ad incontrare nella gestione di social network, cloud storage e email, ma al contempo sono ancora realtà lontane dove ne avremmo davvero bisogno, ad esempio ed appunto a tutela dell’accesso alle caselle PEC.
*Si ringrazia Stefano Baldoni per i chiarimenti forniti.
