Il 7 maggio scorso il blog di Anonymous Italia ha pubblicato la lista delle username e delle password originarie delle caselle PEC degli iscritti all’Albo degli Avvocati di Roma, oltre di altri dati del sito visura nonché i contenuti delle pec del Sindaco di Roma e di alcuni colleghi.
Si è quindi gridato all’hackeraggio, al leak e poche ore dopo la pubblicazione la Lextel, in via precauzionale, ha bloccato tutte le PEC ricollegabili a Lextel Visura, di fatto impedendo le notifiche via PEC e i depositi telematici. In tanti hanno confuso il blocco precauzionale operato da Lextel con il tentativo di accesso non autorizzato e tantissimi si sono posti il problema se fare la denuncia all’Autorità garante della privacy o alla polizia postale
Si è quindi creata una vera e propria psicosi sui siti dedicati e sui social media, aggravati da un vero e proprio attacco ai quasi 30.000 iscritti all’Albo di Roma, ampiamente dileggiati e offesi perché da una ricognizione effettuata di quanto pubblicato risultava che alcuni avevano password banali come forzaroma o 1234567 e, soprattutto, che la metà degli iscritti, non aveva mai cambiato la password originariamente assegnata all’username della PEC. A questo si è aggiunta la pubblicazione di video ed interviste a sedicenti “esperti” di privacy in cerca di pubblicità, aggravata dalla santificazione dei blogger di Anonymous e dagli interventi di alcuni avvocati i quali, invece di aiutare chi era in difficoltà, hanno aggravato lo stato di malessere di molti. E non si sono posti il problema – sotto un profilo deontologico- di esporre i propri colleghi (vista la pubblicazione dei dati) ad eventuali azioni di responsabilità professionale da parte di clienti scorretti per qualcosa per dipiù che non esisteva .
Ebbene sì lo confesso sono un avvocato iscritto al Foro di Roma, i cui dati sono stati pubblicati e diciamolo subito mi sono sentita punta sul vivo. Sin dall’inizio la mia sensazione è stata che tutti quelli che avevano scritto o pubblicato qualcosa in merito, soprattutto gli avvocati digitali 2.0 e sedicenti esperti informatici non avessero capito granché e soprattutto, che non sapessero di cosa si stesse parlando, perché negligentemente non si erano informati. Eppure quanto successo se era chiaro a me, quasi digiuna a livello informatico, come poteva non esserlo a chi si professa esperto del settore? E mi duole aggiungere che nessuno di quelli che avrebbero potuto e dovuto, ha speso una parola in difesa di noi avvocati romani, su cui sono state scaricate responsabilità delle negligenze di altri.
Per capire cosa è realmente accaduto, si deve avere ben chiaro quali siano stati i dati pubblicati. Il blog di Anonymous ha pubblicato gli username e le password (quasi tutte che cominciano con WX) delle PEC originariamente assegnate dal Consiglio dell’Ordine degli Avvocati, ma appunto originarie e risalenti nel tempo. Da un primo esame dei dati pubblicati emerge che sono dati vecchi: la lista degli username delle PEC contiene dati di colleghi cancellati da anni o addirittura deceduti oltre a caselle mai attivate. E mancano i dati di giovani colleghi iscritti dopo la seconda metà del 2017. A questo deve aggiungersi che le caselle effettivamente violate risulterebbero essere pochissime, tra cui quello del sindaco di Roma, Virginia Raggi, sicuramente il nome più famoso in questo momento.
Altra considerazione deve essere fatta per la lista degli “utenti visura”, ove vengono riportati i dati – peraltro rinvenibili sull’Albo- dei colleghi iscritti al sito con l’aggiunta delle password per accedere al sito. La lista è più ristretta, ma anche qui le password riportate sono vecchie e risalenti anch’esse a metà 2017, scadute perché per poter accedere e fare ricerche sulla banca dati il sito di visura impone il cambio password ogni tre mesi. La mia password pubblicata, Asterisco1 l’ho utilizzata appunto tre o più anni fa. Peraltro, come è noto, al sito visura si accede per ricerche sulle banche dati pubbliche quali CCIAA o ACI o Catasto, e non vi è alcun dato sensibile dell’avvocato o del cliente da proteggere. Ed è in questa lista che ci sono le password come forzaroma o stefano o 1234567, peraltro scadute, tanto dileggiate da chi nemmeno si è posto il problema di capire per quali account fossero utilizzate. Che senso ha creare password complesse quando l’utilizzo è scarso e il cambio obbligatorio ogni tre mesi? Perché come ha avuto a dire un collega fiorentino, nel mio studio un conto è il lucchetto dell’armadio in cui sono risposti stracci e spazzoloni, e altro è quello in cui tengo i fascicoli. Da aggiungere che si tratta di utenze che Visura obbliga di fatto a creare per poter accedere la prima volta ad Accesso Giustizia (il PdA convenzionato con l’ordine di Roma) che in tanti colleghi hanno fatto ob torto collo e poi hanno abbandonato, ma che non danno accesso ad un alcun dato sensibile, per quello essendo necessario il dispositivo di firma.
Nella realtà dei fatti, l’Ordine di Roma non ha una piattaforma a cui i singoli avvocati possono accedere con un’applicazione per verificare i dati che li riguardano, come ammissione al gratuito patrocinio e crediti formativi (cosa che esiste per altri Ordini che usano l’applicazione Riconosco). Al contrario gli avvocati romani possono usufruire di servizi telematici diversi, gestiti da soggetti diversi, con utenze e password diverse. E nessuna di queste è tra quelle pubblicata nella lista Visura.
Sarebbe bastato chiedere a qualunque avvocato iscritto a Roma per saperlo, prima di schernire, dileggiare e dare informazioni sbagliate e si può affermare che il sito del Consiglio dell’Ordine degli Avvocati non è stato violato né alcuna password che riguardi accesso ai dati sensibili è stata hackerata o pubblicata, con le eccezioni delle password date originariamente con le PEC.
Sarà la magistratura a stabilire quanto effettivamente accaduto, ma la sensazione amara è che per fare del sensazionalismo, per avere condivisioni o like ed accaparrarsi clienti (il giorno dopo è arrivata sul mio indirizzo di posta elettronica pubblicato sull’albo la mail di un sedicente Data Protector manager che offriva i suoi servigi, ovviamente a pagamento) si sia persa l’occasione per trattare in maniera seria e proficua un argomento serio quale quello della sicurezza informatica.
Avv. Luigia D’Amico – Foro di Roma –
