Come tutti gli strumenti tecnologici,
anche la PEC richiede alcuni accorgimenti da parte degli utenti, che in alcuni casi sono imposti anche dalle regole in materia di protezione dei dati personali.
Di seguito, si riporta un
semplice e chiaro vademecum utile a indicare a tutti coloro che si avvalgono dei servizi di posta elettronica certificata le
accortezze e le buone regole da seguire per usare e sfruttare in maniera sicura questo strumento.
Si premette che non bisogna dimenticare che - come più volte sottolineato dall’
Agenzia Europea per la Sicurezza delle Reti e delle Informazioni (ENISA) - la sicurezza informatica è responsabilità di tutti: questo significa che i sistemi informatici possono essere messi a rischio e violati se non si adottano alcuni accorgimenti lato utilizzatore e se non si presta attenzione a quello che transita all’interno della casella. La PEC, come tutti i sistemi informativi, è costituita da persone, tecnologie e processi. La sicurezza deve essere implementata a tutti i livelli, non trascurando il fattore umano, che molto spesso costituisce l’anello debole della catena.
E’ necessario che tutti i soggetti, compresi gli utilizzatori di un servizio, abbiano adeguata formazione e cultura della sicurezza.
La posta elettronica certificata, proprio perché consente l’invio e la ricezione di comunicazioni con pieno valore legale, è un obbiettivo sensibile e quindi soggetto a tentativi di attacco informatico condotti con diverse metodologie. Non dimentichiamoci inoltre che per gran parte dei professionisti e delle aziende, la PEC viene resa pubblica tramite gli appositi registri e, quindi, essa è direttamente riconducibile ad un soggetto già identificato per mezzo degli stessi. Ciò rende lo strumento maggiormente esposto a tentativi di attacco, soprattutto in relazione a ipotesi di furto di identità.
Fortunatamente però il legislatore ha previsto ulteriori sicurezze per la posta elettronica certificata richiedendo ai gestori del servizio di attivare un sistema di monitoraggio, attraverso appositi software, dei messaggi che transitano dai loro sistemi - quindi aggiungendo in tal modo uno strato di sicurezza rispetto ai sistemi di posta elettronica ‘tradizionale’. L’esistenza di tali sistemi, però, non deve far abbassare la guardia, perché seppur idonei a filtrare le minacce già conosciute, è possibile che malintenzionati cerchino di violare la casella PEC con strumenti nuovi e non ancora conosciuti.
Ecco quindi che appare necessario tutelarsi, mettendo in pratica una serie di buone pratiche che riassumiamo qui di seguito.
La password.
La prima regola per essere maggiormente al sicuro quando si utilizzano servizi di posta elettronica certificata, ma in genere qualsiasi servizio che richiede l’utilizzo di credenziali di autenticazione, è la corretta gestione della password. Sul questo tema è intervenuta anche la
Polizia Postale, ma è utile riportare alcune indicazioni integrandole anche con ulteriori buone prassi:
- la lunghezza della password deve essere di minimo 10 caratteri;
- la password dovrebbe contenere caratteri alfanumerici, maiuscole/minuscoli e simboli;
- non dovrebbero essere utilizzate parole di uso comune, in quanto gli attacchi vengono normalmente protratti tramite l’uso di dizionari da cui i software attaccanti estraggono, in maniera conseguenziale, le parole da utilizzare;
- non utilizzare password direttamente riconducibili ai servizi utilizzati (ad es. la denominazione del sito, del servizio o del fornitore), password contenenti dati personali, sequenze di tastiera, lo username/account;
- non utilizzare la stessa password per più account.
Inoltre, è necessario ricordare che la password è segreta. Non deve essere comunicata a nessuno né per email né attraverso altri mezzi di comunicazione (tantomeno ad operatori telefonici o altri servizi di assistenza). E’ opportuno non scriverla o annotarla, ma utilizzare gli specifici sistemi di recupero della password. E’ buona regola verificare periodicamente la password e cambiarla e, ovviamente, modificare quella eventualmente assegnata dal fornitore del servizio per il primo accesso. E’ opportuno ricordare che le indicazioni riportate sopra, erano già contemplate nel Codice Privacy (D.l.vo n. 196/2003) il cui Allegato B in tema di misure minime di sicurezza al paragrafo 5 recitava: “La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi”.
Il Garante per la protezione dei dati personali in seguito all’entrata in vigore ed efficacia del Regolamento (UE) n. 679/2016 ha avuto modo di specificare che seppur devono ritenersi abrogate le previsioni di cui al disciplinare tecnico citato prima, esse costituiscono comunque buone prassi da seguire per poter dar seguito agli obblighi di sicurezza previste dal GDPR. E’ doveroso sottolineare che quelle indicate devono ritenersi misure appunto minime e basilari per aumentare i livelli di sicurezza di questi strumenti e che, quindi, se si vuole aumentare il livello di sicurezza, è necessario seguire tutte le indicazioni e procedure citate.
I messaggi fraudolenti
Un modo comune per tentare di ingannare gli utenti è quello di inviare messaggi che indirizzano gli stessi verso siti web malevoli o altre applicazioni con lo scopo di carpire codici personali. Aruba ha già predisposto alcune indicazioni circa tali tipologia di attacchi. Nel caso della posta elettronica certificata è però opportuno prestare maggiore attenzione, per le caratteristiche che abbiamo già indicato circa l’esistenza di elenchi pubblici di indirizzi PEC e la diretta riconducibilità al loro utilizzatore, derivante dalla pubblicazione negli elenchi disciplinati dal Codice dell’Amministrazione Digitale. Le buone prassi richiedono quindi di fare particolare attenzione ai messaggi che si ricevono prima di aprire gli stessi e, soprattutto, prima di cliccare su eventuali link a risorse esterne in essi contenuti. Un messaggio di “phishing”, infatti, ha l’obiettivo di indirizzare l’utente su un finto sito Internet (che a prima vista sembra affidabile) in cui tipicamente sono presenti dei form da riempire in cui si richiedono informazioni personali (come il numero di carta di credito, le password, etc.).
Per tutelarsi da tali tipologie di attacchi è necessario verificare con attenzione i seguenti elementi:
- indirizzo email del mittente: anche se spesso i malintenzionati riescono a mascherare l’indirizzo email di provenienza del messaggio facendolo apparire analogo a quello dell’istituzione che vogliono simulare, negli attacchi massivi più diffusi (e grossolani) è possibile identificare la circostanza che si tratta di un messaggio fraudolento in quanto tale indirizzo, o meglio la componente che identifica il dominio di provenienza, è diverso da quello dell’istituzione stessa;
- link di destinazione: anche l’esame del link di destinazione può rivelare che si tratta di un messaggio fraudolento. Spesso infatti tale link viene costruito in modo da farlo sembrare simile a quello di una eventuale istituzione o altro tipo di soggetto, ma in realtà si tratta di domini di secondo livello costruiti appositamente per indurre in errore. Un’ulteriore elemento su cui fare attenzione è la presenza o meno di una connessione sicura (ossia l’indicazione del protocollo https sulla barra di navigazione). La gran parte dei siti istituzionali, infatti, oggi usano questo protocollo e l’assenza dello stesso può essere un indice di non originalità del sito di destinazione;
- linguaggio e la grafica: seppur ad una veloce lettura i messaggi fraudolenti possono apparire simili agli originali, in realtà spesso
- per il fatto che vengono utilizzati traduttori automatici per comporli - contengono errori grammaticali. Anche le immagini e la grafica spesso sono solamente simili a quelle contenute nei siti istituzionali, ma molte volte contengono errori e differiscono in alcuni elementi caratteristici.
- con la posta elettronica certificata: la PEC contiene una tutela aggiuntiva. Tutti i messaggi che non provengono da indirizzi PEC (per quelle caselle che sono abilitate alla ricezione di messaggi di posta ordinaria) sono evidenziati nell’oggetto con la dicitura [ANOMALIA MESSAGGIO]. Tale indicazione dovrebbe destare sospetti circa la genuinità del messaggio, in quanto la gran parte degli enti ed istituzioni sono dotate di una casella di posta elettronica certificata i cui messaggi non generano tale indicazione.
Le indicazioni sopra riportate valgono anche per gli attacchi diversi diretti a far installare dei virus sul dispositivo del destinatario del messaggio. Anche in tale ipotesi, seppur come già anticipato i sistemi dei gestori dei servizi di posta elettronica certificata provvedono ad analizzare i messaggi contenenti virus o malware, non può escludersi che i filtri non riescano a riconoscere eventuali allegati nocivi, soprattutto nei casi in cui si tratti di virus non conosciuti o di recente pubblicazione. In alcuni casi poi l’attacco viene condotto con le medesime tecniche descritte sopra, ossia non allegando direttamente il file infetto ma indicando un link all’interno del messaggio, che conduce ad una pagina da cui poi può venire scaricato e installato il virus. Per completezza va ricordato che oltre ai virus più comuni si sono oramai diffusi i i ransomware, ossia software malevoli che rendono indisponibili i dati del destinatario dell’attacco per poi chiedere il pagamento di un riscatto in cambio.
Come tutelarsi al meglio
La regola principale è di applicare le precauzioni già indicate nella gestione della propria password, facendo particolare attenzione ad aggiornarla periodicamente. Relativamente alla ricezione di email fraudolente è sempre bene verificare con attenzione il contenuto di quei messaggi che sono contrassegnati dal sistema come [ANOMALIA MESSAGGIO]. Nel caso in cui il mittente non sia già conosciuto è opportuno fare particolare attenzione all’indirizzo email di provenienza, verificando che il dominio di appartenenza sia effettivamente corrispondente a quello dell’istituzione che appare essere mittente del messaggio. Eventuali link presenti all’interno del messaggio devono essere attentamente esaminati prima di accedervi. Se il messaggio contiene allegati (in qualsiasi formato) e non si è sicuri circa l’identità del mittente è assolutamente sconsigliabile il download e l’apertura degli stessi. Ricordiamo che le email fraudolente spesso sembrano provenire da istituzioni fidate (quali banche, le poste, corrieri postali, agenzie pubbliche, etc.). In tutti i casi in cui sorgano dubbi è comunque più sicuro eliminare il messaggio di posta non certificata (ANOMALIA MESSAGGIO) piuttosto che dar seguito a quanto contenuto all’interno, soprattutto quando contengono link esterni a risorse sul web. Come misura generale di sicurezza è importante tenere il proprio sistema operativo sempre aggiornato, applicando sempre le ultime patch di sicurezza, ed avere un software antivirus sempre aggiornato.
Come accorgersi e cosa fare in caso di eventuali violazioni
Quelli seguenti sono alcuni segnali che dovrebbero indurre ad effettuare un’analisi circa la sicurezza della PEC utilizzata:
- il gestore blocca i messaggi in uscita;
- siete contattati da conoscenti che vi dicono di aver ricevuto un messaggio anomalo dal vostro indirizzo;
- notate ricevute di consegna o ricevute di accettazione presa in carico da parte del gestore PEC per comunicazioni che in realtà non avete inviato;
- notate ricevute di consegna o ricevute di accettazione da parte del gestore PEC per comunicazioni che in realtà non avete inviato;
Se invece siete sicuri di aver subito una violazione del vostro indirizzo di posta elettronica certificata è opportuno:
- contattare il servizio clienti del gestore;
- modificare la password utilizzata per accedere al servizio e, se la stessa password è utilizzata anche per accedere ad altri servizi, provvedere alla sua modifica anche per i questi servizi;
- informare i soggetti con cui scambiate usualmente delle comunicazioni elettroniche, invitandoli a non dar seguito ad eventuali email anomale apparentemente provenienti dal vostro indirizzo;
- in caso di infezione del computer rivolgersi ad un servizio di assistenza tecnica specializzato.
Realizzato in collaborazione con l’Avv. Massimiliano Nicotra – Esperto di diritto dell’Informatica