Articoli

Gli Ordini degli Avvocati nel mirino di Anonymous

Avv. Vincenzo Colarocco

Già dall’inizio del mese si era diffusa sul web la notizia di un imminente attacco “multiplo” organizzato da parte di Anonymous Italia nei confronti degli Ordini degli avvocati: cinque giorni di progressivi attacchi aventi ad oggetto credenziali di autenticazione che hanno colpito gli Ordini di Matera, Piacenza, Caltagirone e Roma in data 7 maggio 2019, gli hacker di Anonymous hanno reso noto sul loro blog di aver  violato la posta elettronica certificata (PEC) di 30.000 avvocati iscritti all’Ordine di Roma: trattasi di un attacco organizzato per celebrare l’anniversario della cattura di alcuni di loro, avvenuta nel maggio 2015.

La vicenda ha suscitato particolare preoccupazione tra i professionisti dal momento che l’accesso è avvenuto su caselle di posta certificata (mediante inserimento del nome utente e della password assegnata in fase di prima registrazione) con una conseguente violazione del segreto professionale (artt. 13 e 28 del Codice deontologico forense). Difatti, l’avvocato –in qualità di titolare del trattamento- deve prevedere tutte le misure necessarie per garantire la confidenzialità, integrità e disponibilità dei dati personali. Ancor di più, se la stragrande maggioranza dei trasferimenti di dati (anche personali) avviene, proprio attraverso l’utilizzo della posta elettronica. Per tale motivo, occorre che gli utilizzatori assicurino un livello di sicurezza adeguato al rischio (art. 32 del GDPR) in un’ottica di accountability, verificando la sicurezza del sistema informatico sul quale i file sono memorizzati in formato digitale. A mero titolo esemplificativo, con la previsione di una password minima di 8 caratteri contenenti maiuscole, lettere minuscole, numeri e caratteri speciale; non condividerla; non scriverla chiaramente su un foglio; evitare la pre-registrazione; cambiarla regolarmente, etc. Ciò significa, ad esempio, che anche l’adozione di criteri e procedure di trattamento certe e di una formazione adeguata allo studio legale o sul singolo professionista, può precostituire una prova della conformità del trattamento al fine di evitare pesanti sanzioni e/o violazione dei dati personali (art. 33 e 34 del GDPR).

Nel caso di specie, al momento non si ha notizia dell’apertura di un fascicolo di indagine da parte della Procura della Repubblica. Sulla vicenda si è già espresso il vice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti: “L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria”.

Di certo, la vicenda mette in allerta gli avvocati del foro romano -titolari del trattamento di dati personali- tra i quali in pochi ad oggi possono affermare di aver portato a termine compiutamente l’adeguamento al GDPR, e mette sotto il riflettore il delicato tema della cybersecurity: come dichiara Anonymous “nessuno è invulnerabile a questo mondo”.

Il Garante privacy ha avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati.

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.