Premessa
Il 07.05.2019, Il noto gruppo di Hacker attivisti Anonymous ha pubblicato un post sul proprio blog che rivendicava un attacco alla categoria degli avvocati.
https://anon-italy.blogspot.com/2019/05/giustizia-e-hacktivismo-avvocati-roma.html
A dimostrazione della loro pericolosità hanno pubblicato alcuni file tra i quali troviamo l’elenco di tutte le PEC dell’Ordine degli Avvocati di Roma con le password di default assegnate dal gestore convenzionato con l’Ordine, Lextel.
È importante in questa fase ricordare che Lextel, fornitore di servizi per operatori del diritto, fornisce in convenzione a diversi ordini professionali indirizzi di posta elettronica certificata.
A seguito dell’attacco la stessa Lextel ha reso indisponibili i propri server rendendo impossibili: consultazione, invio e ricezione dei messaggi di PEC per tutti gli iscritti.
Terminata la messa in sicurezza, con un obbligo di cambio password, lentamente, Lextel è tornata online. Ancora oggi (14.05.2019) campeggia nell’home page del loro sito un messaggio di istruzioni sul cambio delle password.
Si avvisano i gentili clienti che avessero riscontrato il blocco della password per i troppi tentativi di accesso effettuati in precedenza, che risulta ora possibile accedere alla propria casella di PEC utilizzando la password provvisoria ricevuta via email. Ricordiamo che, trattandosi di password provvisoria, questa dovrà essere obbligatoriamente modificata al primo accesso.
Suggeriamo ai clienti che non avessero ancora ricevuto la mail con la password provvisoria di inserire una richiesta di forzatura password cliccando QUI
Le attività di verifica sono state completate ed è iniziata la graduale riapertura delle caselle di posta certificata.
Il processo di riapertura, essendo graduale, si concluderà entro la fine della giornata odierna.
Ricordiamo che, qualora l’impedimento all’accesso al sistema di PEC avesse causato il mancato rispetto delle scadenze processuali, sarà possibile scaricare la relativa certificazione cliccando QUI.
Ci scusiamo per il disagio
Quali sono le implicazioni dal punto di vista della protezione dei dati personali?
Procediamo per punti.
-
Lextel ha subito un data breach
-
Gli avvocati di Roma hanno subito un data breach
-
Tutti coloro che hanno avuto le PEC indisponibili per tutto il tempo in cui Lextel ha svolto le proprie operazioni di sicurezza hanno avuto un data breach
Cosa è successo
Se la violazione presenta “un rischio per i diritti e le libertà delle persone fisiche.” è obbligatorio notificare all’Autorità di Controllo (il Garante per la Protezione dei Dati Personali nel caso dell’Italia) entro 72 ore. La comunicazione deve contenere una descrizione della violazione, quantità di dati violati e categorie di interessati che hanno subito la violazione. Il Titolare deve anche comunicare le azioni intraprese per ripristinare la sicurezza e attenuare gli effetti negativi.
È indispensabile porsi la domanda di cosa contenga mediamente la PEC di un avvocato.
Da copie di sentenze a notifiche penali, da trattative delicate a comunicazioni con colleghi. La PEC è un asset strategico e di fondamentale importanza. Inoltre è lo strumento con cui vengono effettuati depositi e per questo viene comunicato ufficialmente e diventa, in qualche modo, una sorta di “domicilio” dell’avvocato.
Anonymous ha pubblicato solo i dati dell’Ordine degli Avvocati di Roma, ma non possiamo sapere se e per quanto tempo possa aver avuto accesso ad altre caselle di PEC gestite da Lextel.
Inoltre tutti gli utenti di Lextel non hanno potuto accedere alla propria casella PEC per un periodo di tempo molto lungo, diversi giorni.
Questa indisponibilità ha interessato tutti gli avvocati con una mail di Lextel.
Abbiamo davanti due scenari:
-
Alcuni Avvocati non hanno cambiato la password della PEC al primo accesso.
-
Altri hanno cambiato, almeno una volta, la password di default
Nel primo caso vi è un indubbio data breach ai sensi dell’art. 33 del Regolamento UE 2016/679.
Nel secondo gli avvocati hanno subito la parte di danno solo relativa all’impossibilità di accedere alla casella.
In entrambi i casi è facile supporre che sia impossibile per il titolare indicare esattamente quali siano gli interessati di conseguenza, in applicazione dell’art. 34 del Regolamento relativo alla “Comunicazione di una violazione dei dati personali all’interessato”
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo
Nel nostro caso pare evidente vista la delicatezza del contenuto della PEC che i requisiti di cui alla norma siano ampiamente verificati.
Dovendo quindi comunicare agli interessati e non potendo identificare precisamente quanti e chi siano gli interessati dal data breach si applica il seguente comma dell’art. 34:
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia
Cosa fare
Chi subisce un simile tipo di attacco deve valutare i rischi corsi.
Preparare una relazione sull’accaduto
Preparare una possibile lista degli interessati a cui Inviare una comunicazione
Preparare un elenco di quanto fatto per rimettere in sicurezza la propria pec
Inviare la comunicazione al Garante specificando i motivi del ritardo (ad esempio l’indisponibilità dell’accesso alla PEC per effettuare le comunicazioni di legge)
Richiedere i log di accesso a Lextel alla propria casella
Ovviamente Lextel ha delle responsabilità per la cattiva gestione delle proprie credenziali, ma le azioni verso il provider dovrebbero avvenire in un secondo momento come adempimento del punto 3.
Considerazioni finali
In conclusione subire un attacco alla propria pec è una grave violazione della sicurezza del proprio studio.
Tale argomento è un tema fondamentale e, a parere di chi scrive, prestare attenzioni alla sicurezza dei dati è il migliore investimento possibile per una categoria il cui asset principale sono il Know-How e la protezione dei dati dei clienti.
Contributo di: Francesco Stabile
Related Posts