• Passa al contenuto principale
  • Passa alla barra laterale primaria

Consulenti ICT

Professionisti e consulenti ICT

  • Home
  • News
    • News Generali
    • News Tecniche
    • News Pubblica Amministrazione
    • News Legali
  • Comunicazioni di servizio
  • Iniziative
  • PAFlow
  • Consigli per lavorare
  • Informatica Forense
Home » PEC e sicurezza

PEC e sicurezza

Da poco è scaduto il termine entro il quale i professionisti iscritti in albi (avvocati, medici, ingegneri etc..) devono comunicare ai rispettivi Ordini Professionali il proprio indirizzo PEC. Al fine di agevolare la creazione di una casella di email PEC molti Ordini hanno stipulato convenzioni con fornitori di caselle di posta PEC (provider) per conto e nell’interesse dei propri iscritti.

Alcuni comunicano agli iscritti le credenziali di autenticazione (userID e pswd randomizzate) attraverso una normale mail. Non pare che tale sistema dia sufficienti garanzie di segretezza e completezza per i seguenti motivi:

  1. la mail normale viaggia in chiaro e chiunque (seppur commettendo un illecito) potrebbe prendere conoscenza delle credenziali comunicate (viene illustrata la possibilità – non l’obbligo – di modificare la pswd al primo accesso);

  2. le probabilità che quanto sopra descritto accada sono probabilmente maggiori se l’invio è effettuato con un’azione di mailing “massiva” che potrebbe “stuzzicare” eventuali interessati (azione illecita, ma sicurezza..gabbata). E’, infatti, plausibile ipotizzare che un provider possa aver inoltrato qualche migliaia di mail , considerato che solo gli avvocati sono circa 200.000, circa la metà i commercialisti, ancora di più i medici..etc..etc..

  3. La mail normale potrebbe non essere nell’esclusiva disponibilità del titolare potenzialmente inconsapevole, in quanto non preventivamente ne direttamente pre-avvertito in merito, con conseguente possibile furto di identità digitale difficile da dimostrare.

A monte di tutto ciò è poi da notare che gli iscritti non hanno avuto un contatto diretto con il fornitore – provider della casella di posta PEC, quindi:

  1. non è chiaro come il gestore – che nel momento in cui rilascia la PEC diventa probabilmente certificatore e quindi pubblico ufficiale – possa aver “identificato con certezza” il titolare dell’account (obbligo previsto dall’art. 32 CAD)

  2. non è stato espresso un consenso informato considerato che la conclusione dell’accordo che ha ad oggetto la fornitura di indirizzi PEC è avvenuta tra ordini e provider, senza diretto coinvolgimento del soggetto che è interessato (ex d. lgs. 196/2003) e titolare di PEC (ex d.p.r. 68/2005).

E’ possibile che alcuni interessati abbiano provveduto autonomamente ad una scelta diversa e volontaria, per esempio utilizzando alcune opzioni disponibili al momento dell’apertura della posizione presso enti preposti, fornitori di servizi internet o altro, creando una duplicazione non prevista né gestita dei possibili recapiti di “domicilo elettronico” del professionista.

Tutta questa premessa per chiederci e chiedervi: considerato che l’utilizzo della PEC produce effetti giuridici (identificazione – in qualche modo – del mittente, invio e ricezione di documenti informatici come se fosse utilizzata una raccomandata di superficie, avente valore legale certo di inoltro e recapito al momento stesso della consegna al server del provider che ha creato, senza esplicito consenso dell’interessato, la casella di posta PEC) l’invio di credenziali in chiaro offre standard di sicurezza adeguati? E la creazione di un profilo senza consenso esplicito e informato? O sarebbe stato necessario optare per canali più sicuri (magari meno tecnologici, come una busta cartacea“oscurata” simile a quella con cui viene comunicato il PIN del bancomat)?

Non si vuol essere contro la tecnologia e l’innovazione, a patto che l’evoluzione avvenga rispettando un aspetto fondamentale: quello della sicurezza degli strumenti e degli interessati .

Una volta che il furto di identità si sia verificato sarebbe infatti difficile per il “derubato”:

  • accorgersene, poiché non essendo stato sottratto nulla di materiale, nessuno sospetterebbe di essere stato oggetto di un furto finché non si evidenzi un illecito.

  • contestare di non essere l’autore di eventuali atti illeciti (di natura sia civile che penale) perpetrati utilizzando l’identità digitale rubata, per esempio inviando comunicazioni di qualunque tipo verso clienti, fornitori, terzi o pubblica amministrazione, il tutto con pieno valore legale, equiparato per legge ad una raccomandata con ricevuta di ritorno …., anche tra un mese, un anno o chissà … se non si cambia immediatamente la password della casella “donata” … )

La maggior parte delle persone (inclusi Ordini e provider) di fronte a scenari come quelli appena prospettati, sembra tendere, purtroppo ad auto-giustificarsi o a minimizzare pensando “chi vuoi che sia interessato ai questi dati”…?

Ce ne sono di interessati, ce ne sono..: il fatto è che fintanto che si continuerà a non vedere o non percepire il problema – senza aumentare di conseguenza i livelli di sicurezza – i criminali avranno gioco facile in un numero sempre crescente di casi.. Per ora sono pochini e non fanno notizia: E’ già disponibile una sentenza di Cassazione sulla sostituzione di persona commessa attraverso al creazione di falsi account email..

Domani si potrebbe leggere di truffe a mezzo PEC.. perché qualcuno a comprato, utilizzando l’identità digitale altrui, beni o servizi.

Si può lavorare per ridurre al minimo tale rischio o aspettiamo di leggere le sentenze in merito ?

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Articoli recenti

  • Cyber security: come affrontare la sicurezza nelle aziende ICT 10 Novembre 2022
  • Anche la Regione Abruzzo comincia a pensare al software libero 29 Dicembre 2009
  • Utenti e permessi su Linux 27 Dicembre 2009
  • Tasksel 25 Dicembre 2009
  • Prorogato albo pretorio on-line: nuovo termine 1 luglio 2010 20 Dicembre 2009
  • L’avvocato risponde 18 Dicembre 2009
  • Precisazioni del Garante per AdS 15 Dicembre 2009
  • Attenti alle impostazioni di Facebook! 15 Dicembre 2009

Commenti recenti

  • Mauro su Il Dizionario degli Orrori
  • Adeguamento normative Garante della Privacy - Consulenti ICT su Amministratori di sistema sotto la lente.

Copyright © 2023 · Consulenti ICT · Sviluppato da Studio Wasabi · P.IVA 02114920461 · Accedi

Usiamo i cookie per fornirti la miglior esperienza d'uso e navigazione sul nostro sito web.

Puoi trovare altre informazioni riguardo a quali cookie usiamo sul sito o disabilitarli nelle impostazioni.

Consulenti ICT
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati per poter salvare le tue preferenze per le impostazioni dei cookie.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.

Cookie di terze parti

This website uses Google Analytics to collect anonymous information such as the number of visitors to the site, and the most popular pages.

Keeping this cookie enabled helps us to improve our website.

Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!

Cookie Policy

More information about our Cookie Policy