Articoli

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.