A fine mese è scaduto il termine entro il quale i professionisti iscritti in albi (avvocati, medici, ingegneri etc) avrebbero dovuto comunicare ai rispettivi Ordini Professionali il proprio indirizzo PEC. Al fine di agevolare la creazione di una casella di email PEC molti Ordini hanno stipulato convenzioni con fornitori di caselle di posta PEC (provider) per conto e nell’interesse dei propri iscritti. Alcuni comunicano agli iscritti le credenziali di autenticazione (userID e password randomizzate) attraverso una normale mail.
Non pare che tale sistema dia sufficienti garanzie di segretezza e completezza per i seguenti motivi:
1) la mail normale viaggia in chiaro e chiunque (seppur commettendo un illecito) potrebbe prendere conoscenza delle credenziali comunicate (viene illustrata la possibilità – non l’obbligo – di modificare la password al primo accesso);
2) le probabilità che quanto sopra descritto accada sono probabilmente maggiori se l’invio è effettuato con un’azione di mailing “massiva” che potrebbe “stuzzicare” eventuali interessati (azione illecita, ma sicurezza…gabbata). È, infatti, plausibile ipotizzare che un provider possa aver inoltrato qualche migliaia di mail, considerato che solo gli avvocati sono circa 200mila, circa la metà i commercialisti, ancora di più i medici etc.
3) La mail normale potrebbe non essere nell’esclusiva disponibilità del titolare potenzialmente inconsapevole, in quanto non preventivamente ne direttamente pre-avvertito in merito, con conseguente possibile furto di identità digitale difficile da dimostrare.
A monte di tutto ciò è poi da notare che gli iscritti non hanno avuto un contatto diretto con il fornitore – provider della casella di posta PEC, quindi:
a) non è chiaro come il provider – che nel momento in cui rilascia la PEC diventa probabilmente certificatore (ex art. 1, lett. g) del Codice Dell’Amministrazione Digitale, che lo indica come “il soggetto che presta servizi di certificazione o che fornisce altri servizi connessi con queste ultime” ) e quindi pubblico ufficiale – possa aver “identificato con certezza” il titolare dell’account (obbligo previsto dall’art. 32, comma 3, lett. A) del CAD – D. lgs. 82/2005);
b) non è stato espresso un consenso informato considerato che la conclusione dell’accordo che ha ad oggetto la fornitura di indirizzi PEC è avvenuta tra ordini e provider, senza diretto coinvolgimento del soggetto che è interessato (ex d. lgs. 196/2003) e titolare di PEC (ex d.p.r. 68/2005);
c) è possibile che alcuni interessati abbiano provveduto autonomamente ad una scelta diversa e volontaria, per esempio utilizzando alcune opzioni disponibili al momento dell’apertura della posizione presso enti preposti, fornitori di servizi internet o altro, creando una duplicazione non prevista né gestita dei possibili recapiti di “domicilio elettronico” del professionista.
Tutta questa premessa per chiederci e chiedervi: considerato che l’utilizzo della PEC produce effetti giuridici (identificazione – in qualche modo – del mittente, invio e ricezione di documenti informatici come se fosse utilizzata una raccomandata di superficie, avente valore legale certo di inoltro e recapito al momento stesso della consegna al server del provider che ha creato, senza esplicito consenso dell’interessato, la casella di posta PEC) l’invio di credenziali in chiaro offre standard di sicurezza adeguati? E la creazione di un profilo senza consenso esplicito e informato? O sarebbe stato necessario optare per canali più sicuri (magari meno tecnologici, come una busta cartacea “oscurata” simile a quella con cui viene comunicato il PIN del bancomat)?
Non siamo ovviamente contro la tecnologia e l’innovazione, a patto che l’evoluzione avvenga rispettando un aspetto fondamentale: quello della sicurezza degli strumenti e degli interessati. Una volta che il furto di identità si sia verificato sarebbe infatti difficile per il “derubato”:
– accorgersene, poiché non essendo stato sottratto nulla di materiale, nessuno sospetterebbe di essere stato oggetto di un furto finché non si evidenzi un illecito;
– contestare di non essere l’autore di eventuali atti illeciti (di natura sia civile che penale) perpetrati utilizzando l’identità digitale rubata, per esempio inviando comunicazioni di qualunque tipo verso clienti, fornitori, terzi o pubblica amministrazione, il tutto con pieno valore legale, equiparato per legge ad una raccomandata con ricevuta di ritorno, anche tra un mese, un anno o chissà, se non si cambia immediatamente la password della casella “donata”.
La maggior parte delle persone (inclusi Ordini e provider) di fronte a scenari come quelli appena prospettati, sembra tendere, purtroppo ad auto-giustificarsi o a minimizzare pensando “chi vuoi che sia interessato ai questi dati?”.
Ce ne sono di interessati, ce ne sono: il fatto è che fintanto che si continuerà a non vedere o non percepire il problema – senza aumentare di conseguenza i livelli di sicurezza – i criminali avranno gioco facile in un numero sempre crescente di casi. Per ora sono pochini e non fanno notizia: è già disponibile una sentenza di Cassazione sulla sostituzione di persona commessa attraverso al creazione di falsi account email.
Domani si potrebbe leggere di truffe a mezzo PEC. Perché qualcuno ha comprato, utilizzando l’identità digitale altrui, beni o servizi.
Si può lavorare per ridurre al minimo tale rischio o aspettiamo di leggere le sentenze in merito?
Andrea Buti e Paolo Menichelli
www.dirittomoderno.it