A rischio le PEC degli Ordini Professionali

AGGIORNAMENTO: FULL DISCLOSURE SU UN ARTICOLO DI STAMPA


30 novembre 2009

La posta elettronica certificata (PEC) è uno strumento che permette di dare, a un messaggio di posta elettronica, lo stesso valore di una raccomandata con avviso di ricezione tradizionale. La PEC può aggiungere la certificazione del contenuto del messaggio ed è stata introdotta dal Governo Italiano per facilitare lo snellimento burocratico. Tutti gli Enti pubblici ne sono già dotati, anche se di fatto chi ha cercato di mandare una raccomandata all'INPS o alla Regione trova con difficoltà gli indirizzi PEC di questi uffici e per ora l'utilizzo non è entrato nell'uso comune.

La legge 2/09 (conversione del D.L. 185/08) ha imposto la scadenza del 29 novembre, entro cui ogni professionista iscritto ad Albi o Registri si è dovuto dotare di PEC comunicandone l'indirizzo all'Ordine o all'Associazione di appartenenza. In questi mesi molti Ordini professionali hanno deciso di farsi parte attiva e organizzarsi per essere loro stessi a dotare di PEC i propri associati. Alcuni però, poco avvezzi alle modernità dell'informatica, hanno affrontato la questione in maniera poco ortodossa.

Lo ha segnalato lo Studio Professionale Fast Office, specializzato nella consulenza per la direzione dei Sistemi Informativi aziendali, che ha verificato le procedure di alcuni Ordini, su richiesta di singoli professionisti.

L'errore più clamoroso nella gestione della sicurezza l'ha commesso un Ordine Professionale, che per adesso terremo riservato in attesa che possa correre ai ripari. Quest' Ordine ha assegnato caselle PEC per tutti gli iscritti, attivandole da subito con una password composta per tutti dalle prime lettere di nome e cognome.
La buona prassi richiede che una password venga generata complessa e comunicata individualmente su canale sicuro, e sarebbe bene che l'indirizzo non fosse attivo fino al primo utilizzo legittimo.
Nel caso di questo Ordine, siccome la regola per la creazione della password è uguale per tutti, anche se non ve la diremo noi, sarà facile che si venga a conoscere. Comunque, (per maggior sicurezza :-), l'Albo ha pubblicato le istruzioni per la creazione delle password in chiaro sul proprio sito web!

L'Ordine è stato avvertito, ma in attesa di una loro reazione,se conoscete un amico professionista avvertitelo di cambiare immediatamente la password della casella PEC che sicuramente il suo Ordine avrà predisposto, perché anche lui potrebbe trovarsi nella situazione per cui, ad oggi, chiunque da internet può mandare anonimamente a nome suo una mail con valore legale di Raccomandata con ricevuta di ritorno, a chissà chi e per qualsiasi scopo. Cancellandone subito dopo le tracce.
E potrebbe poi essere difficile, per la vittima del furto d'identità, dimostrare di non esserne l'autore!

Questi sono i risultati della mancanza diffusa di cultura informatica ed il desiderio di far da sé, improvvisandosi esperti ICT solo perché si sa usare Outlook.


2 dicembre 2009
Ultim'ora: anche altri Ordini Professionali hanno fatto delle scelte a riguardo della sicurezza informatica quantomeno discutibili, con nome utente uguale all'indirizzo PEC (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) e password uguale al codice fiscale. Entrambe informazioni non proprio segretissime...

La pubblicazione di queste vulnerabilità avviene per la sicurezza degli stessi iscritti agli Ordini Professionali in questione e per quella di tutti gli altri professionisti che potrebbero trovarsi nelle stesse condizioni di rischio. Perché? Secondo la filosofia di gestione della sicurezza informatica chiamata full disclosure la divulgazione completa è più efficace della sicurezza tramite segretezza.


12 dicembre 2009
In edicola un articolo "Architetti per finta? Basta una mail" sul quotidiano Il Nuovo Corriere.

Articolo completo in PDF 

Leggi tutto

parabolin