21/11/2018
Violate Caselle PEC! Basta cambiare la password? No...
Molti di voi in questi giorni avranno sentito, attraverso i mezzi di informazioni tradizionali o social media, la notizia di una avvenuta violazione di un numero imprecisato di caselle PEC. Il numero che circola, circa 500'000, di cui quasi 100'000 appartenenti a funzionari o enti della pubblica amministrazione, porta a pensare che ad essere violato sia stato un intero provider ma sul nome è calata una cortina di ferro, ufficialmente allo scopo di proteggere una indagine che è ancora in corso.
Ma veniamo a noi.
Ci siamo sentiti di scrivervi allo scopo di chiedervi di prendere nell’immediato provvedimenti che possano tutelare le aziende da voi rappresentate e l’integrità delle informazioni da queste trattate.
Come?
Punto primo cambiare la password delle vostre caselle PEC, tutte, indipendentemente dai vostro fornitori delle stesse.
Cogliamo l’opportunità di puntualizzarvi che La posta elettronica certificata non “certifica”, non “garantisce” il contenuto di un documento ricevuto, appunto via posta elettronica certificata , quanto garantisca il mittente e garantisce l’integrità del contenuto ricevuto. O meglio questo valeva fino a ieri.
Questo ci porta al secondo punto, molto importante e trascurato dai canali di informazione canonici e non.
In questo momento, dove abbiamo la certezza che ben 500'000 email di posta elettronica certificata sono state violate, possiamo trarre le conseguenze che di queste non possiamo più essere certi del mittente.
Non solo.
Non sappiamo chi sia il provider di queste caselle, ad oggi, ma sappiamo che quasi 100'000 appartengono a soggetti direttamente o indirettamente legati ad enti della pubblica amministrazione.
E quali sono normalmente le email di posta certificata che apriamo, leggiamo con attenzione e fiducia seguendo eventuali solleciti o istruzioni o riferimenti in queste riportate se non proprio quelle provenienti da organi o soggetti appartenenti alla pubblica amministrazione?
Ecco, il punto è proprio questo: vi sollecitiamo a non avere fiducia dei mittenti anche nel caso di email di posta elettronica certificata provenienti dalla pubblica amministrazione.
O meglio visto che ce ne sono in giro ben altre 400'000 violate di cui non si hanno informazioni, tra le quali potrebbero esserci le vostre, piuttosto che le nostre, non abbiate più fiducia relativamente ai mittenti e conseguentemente ai contenuti, di nessuna email di posta elettronica certificata ricevuta in questi come nei prossimi giorni.
Ritengo personalmente che chi sta agendo nella gestione di questa “crisi” stia sbagliando. Avrebbero potuto, dovuto procedere ad immediato blocco dell’intero sistema con obbligo forzato per tutti di cambio password e forzatura di criteri complessi per la scelta della stessa, o in alternativa, fare il nome del provider violato e bloccare con obbligo di cambio password solo questo ma tant’è le cose non stanno così.
Da parte nostra abbiamo provveduto al cambio e riflettuto sulla situazione, riflessioni che hanno portato a questo documento che, come piccolo contributo alla stabilizzazione di una certezza del mittente, vi invitiamo a diffondere.
Penso che nel giro delle prossime settimane la situazione dovrebbe migliorare ma non so quando capiranno di aver leso la reputazione di un sistema che dovrebbe certificare un mittente e che in questo momento, agendo così, non è più in grado di farlo.
Certo ci vorrà del tempo perché personalmente io mi senta di fidarmi di un messaggio di posta elettronica certificata.
Cercheremo di tenervi aggiornati su eventuali novità.
