Le immagini allegate a quest’articolo sono screen delle chat e dei messaggi di un gruppo hacker, quasi certamente collegato ad Anonymous, nelle quali i membri si vantano della loro attività di accesso e divulgazione delle PEC di iscritti agli Ordini, del blocco dei siti e altre attività collaterali. Dopo le notizie di stampa sul primo attacco ai siti dei legali italiani, che ha avuto probabilmente più clamore per aver toccato il nome della sindaca di Roma Virginia Raggi, il clamore mediatico si è placato, le caselle PEC degli avvocati sono state ripristinate e sembra che i più si siano tranquillizzati, cambiando le varie password di accesso. 

I messaggi degli hacker e le mail di spam che gli avvocati ricevono dimostrano che non è così. Cerchiamo di chiarire alcuni punti.

I pirati informatici non hanno semplicemente messo in rete gli indirizzi PEC, i dati anagrafici e fiscali degli avvocati di numerosi fori, che sono dati comunque pubblici, ma anche gli userid e le password originariamente inviate per il primo accesso con raccomandazione di cambio immediato. Se qualche legale sbadato non ha provveduto a cambiarla può solo piangere sul latte versato. Ma gli hacker sono in possesso anche delle mail alle quali gli avvocati avevano chiesto di inviare i dati per il recupero: quasi sempre la mail personale o di lavoro. Ed ecco che gli hacker hanno ora a disposizione non solo dati da poter vendere ad aziende di marketing, di promozione, di statistica ecc... oppure ad altri hacker che possono usare i dati per incidere sulle prossime elezioni, ma anche a chi ha intenzioni decisamente più illecite.

Una semplice mail che si pensa basti non aprire e cancellare può, già da sola, inserire il computer di un avvocato in una botnet, vale a dire una rete di computer e dispositivi gestita in remoto per scopi illegali senza la consapevolezza del proprietario. Il vostro computer è così diventato quello che in gergo viene definito uno zombie, vale a dire uno dei milioni di computer che fanno parte della botnet e viene utilizzato da utenti ignari e in buona fede per scopi illeciti. Ma non importa aprire una mail: basta anche visitare siti che contengono software compromessi, perchè ciò avvenga.

Purtroppo non si fa riferimento solo a siti web di dubbia provenienza e gestione: anche in siti istituzionali si possono trovare questi sistemi che, insieme a Exploits (falle di sicurezza), mail infette e altre forme di attacco informatico portano i nostri computer a distribuire spam, essere sfruttati per attacchi DDoS oppure per "stoccare" contenuti illeciti. Pedopornografia e store online di brand famosi, come è successo a qualche comune italiano, con tanto di pagina di re indirizzamento al pagamento, sono tra le ipotesi più frequenti.

Nel caso specifico degli avvocati il rischio può essere non solo quello delle conseguenze appena descritte, vale a dire quelle cui è esposto chiunque navighi in rete.
Gli avvocati hanno nei loro computer dati personali sensibili che sono non solo quelli banalmente fiscali del proprio cliente, ma anche quelli di controparti, testimoni, magistrati, iban per pagamenti, partite iva, tutti gli elementi delle proprie cause. Immaginiamo cosa potrebbe rappresentare per un legale (e per il suo cliente), la perdita di questi dati o la loro diffusione pubblica. Ma la fantasia dei truffatori può raggiungere vertici a volte poco immaginabili. Possibili esempi? Immaginiamo un cliente che riceva da una mail apparentemente legittima un messaggio del tipo “Signor Rossi, sono il cancelliere della sua causa, ha vinto ma deve pagare la tassa di registrazione alle coordinate qui sotto indicate.” Solo fantasia? Restiamo con il dubbio.

Ciò che è certo è che oggi  gli avvocati, preso atto del fatto che i siti istituzionali contengono dati sensibili attraverso i quali è facile raggiungere i loro computer, dovrebbero preoccuparsi non solo delle falle alla sicurezza che i gestori hanno dimostrato avere (sembra che i dati non fossero neppure criptati), ma anche della potenziale esposizione dei loro stessi strumenti con i database dei clienti al rischio di attacchi.

Alle contestazioni mosse da qualcuno che gli avvocati non sarebbero soggetti al GDPR a causa del segreto professionale, si deve rispondere che dovremmo leggere la normativa e, oltre ad applicarla, iniziare un percorso di consapevolezza della protezione dati personali, disciplina che non è il segreto professionale e che non è la privacy.