Forse per via della visibilità telematica che mi dà Penale.it, da tempo sono letteralmente bombardato da worm, virus, ecc., in particolare da Sircam, Magistr, entrambi più o meno distruttivi, comunque, secondo la scala di minaccia Symantec, posti a livello 4. Fortunatamente so difendermi, al di là di quello che mi impone la legge e che vedremo in seguito.
Sta di fatto che alcune persone, il più delle volte a me sconosciute, si sentono in dovere di inserire, nella propria rubrica, il mio indirizzo di posta elettronica o quello del sito. Ne sono lusingato, ma visti gli esiti, avrei preferito l'oblio.

Soffermiamoci per un attimo sugli aspetti giuridici. che saranno ripresi nelle conclusioni. Ormai tutti sanno cos'è la legge 657/96, ma sembra che la legge si risolva in informative e consensi al trattamento.
Amiamo usare-abusare dei termini privacy e "legge sulla privacy". A volte per farci capire, altre per non farci capire (in un ufficio pubblico se pronunciano la parola magica privacy siamo disposti a rinunciare a tutti i nostri diritti di cittadino), molto spesso perché l'inglese "fa fine e non impegna".
Ed è un errore fondamentale che incide proprio sulla più genuina volontà del legislatore. La legge 675/96 è la "legge sui dati personali" e non semplicemente sulla privacy. Il legislatore ha inteso tutelare la riservatezza dei dati, ma anche la loro integrità. Non c'è bisogno di ricorrere ad interpretazioni ardite. Basta leggere l'art. 15 il quale, al primo comma, prescrive chiaramente "l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

Ma proprio il tema delle misure di sicurezza minime risulta assai trascurato, probabilmente per il fatto che le stesse sono state individuate soltanto nel 1999, per effetto del regolamento di cui al DPR 28 luglio 1999, n. 318.
Tra queste, al di là di password e documenti programmatici di sicurezza, ancora più ignorate sembrano quelle di cui alla lett. c) dell'art. 4 e che, comunque, vanno adottate sugli elaboratori accessibili in rete impiegati nel trattamento dei dati personali definiti dall'art. 3, con la precisazione che non è rilevante se la connessione sia stabile o meno (come un normale collegamento Internet dial-up - di diverso avviso sembrano F. Veutro, D. Redolfi - Cosa deve intendersi per "elaboratore accessibile in rete"?).

In buona sostanza, l'interpretazione più diffusa fa riferimento alla predisposizione di un antivirus "la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale".
Ed infatti, worm o worm-virus come i molto diffusi Sircam e Magistr comportano sia payloads (vale a dire azioni distruttive), sia una diffusione incontrollata di dati personali (eventualmente sensibili).
Non consiglio ad alcuno di aprire, ad esempio, un eseguibile Sircam anche se con un "puro editor di testo", in quanto un clic sbagliato potrebbe combinare dei guai irreparabili avviando un'infezione sino a quel momento in letargo. Tale operazione, però, consente di leggere agevolmente brani di documenti contenenti dati personali. Io lo faccio un po' per curiosità, ma soprattutto per sapere da chi proviene l'infezione al di là di uno sterile indirizzo di posta.

Ad ogni modo, seccato da questi continui invii (molto probabilmente involontari, ma quasi nella totalità dei casi dovuti a colpa), ho predisposto una sorta di diffida standard da inviare in replica al mittente.
I "tre pezzi facili" sono tre storie che, di primo acchito, potrebbero far soltanto sorridere. In realtà la situazione è realmente preoccupante.

Il poliziotto-accusatore: "I miei esperti mi hanno detto che siamo stati vittime di un attacco hacker"

12 settembre 2001. Ricevo un Sircam allegato ad un messaggio il cui oggetto (che coincide, in parte, con il nome del file .doc) riporta un cognome quotidianamente citato dalla stampa. Incuriosito, apro Sircam e scopro quanto segue.
Il mittente e autore del documento Word "grabbato" dal worm è un sindacalista appartenente alla Polizia di Stato. Il brano di testo è tratto da una lettera del giugno 2001 indirizzata ad un questore con la quale si sollecitano misure restrittive dalla libertà personale in capo a quel personaggio pubblico. Ci si duole anche che ciò non sia già avvenuto.
Senza riferire della mia lettura, lo stesso giorno rispondo con la diffida standard.

Il giorno seguente, il poliziotto (verosimilmente un funzionario) mi risponde, stranamente senza quotare il mio messaggio, ma inviandomi un allegato Word (esperto di videoscrittura, carente sui client email...).
Afferma che il file è apparentemente (sic, ma allora perché mi risponde scusandosi?) partito dalla sua casella di posta elettronica. Testualmente, poi, "sono stato oggetto di un attacco da parte di hakers" ... "tramite l'ausilio di esperti, ho appena risolto il problema che mi ha tenuto impegnato l'intera notte scorsa e parte della giornata odierna".
Gli rispondo che gli hacker non c'entrano nulla, che se i suoi esperti hanno detto così evidentemente non sono tali, che sarebbe bastato un antivirus efficiente ed aggiornato. Oggi, ripensandoci, mi rendo conto che, come testualmente riportato, intendeva riferirsi agli "haker" e non agli "hacker". Forse sono io che non ho capito ed ho sbagliato nella mia risposta.
Ad ogni modo, soltanto in risposta alle sue scuse gli faccio anche presente che ho letto il contenuto del file infetto. Scomparso nel nulla, da metà settembre... Pessima figura?

L'avvocato-disinformato: "Scusi, ma cos'è un antivirus"?

Il 14 e il 23 settembre ricevo il solito Sircam, in due distinte mail. Il worm contiene il testo di una lettera ove, ovviamente, sono indicati nomi e cognomi di assistiti e controparti in una vicenda civile stragiudiziale.
Invio la diffida alla prima. Nulla. La diffida alla seconda sortisce, invece, un effetto. Il praticante avvocato mi chiama sul cellulare, probabilmente scocciato da questo Minotti che lo vuole denunciare ex art. 36 l. 657/96.
Comincia a negare tutto. Ipotizza che i messaggi siano giunti da qualche mio cliente (faccio penale...) che voleva vendicarsi. Si spinge anche a sostenere che il colpevole potrebbe essere una persona "infamata" (chiamata in correità) da un mio assistito (ma non mi ricordo di aver difeso un pentito). Il tutto, chiaramente, facendo credere che il mittente fosse lui. Poi banalizza sui soliti hacker. Fortunatamente, ai tempi, non si parlava tanto dei Talebani, altrimenti...

Gli dico che un click qualcuno deve averlo pur fatto. Nega, ma si tradisce chiedendomi lumi su un misterioso (per lui) messaggio in spagnolo. Guarda caso, Sircam ha la sua buona versione in spagnolo... L'ho incastrato, lui lo capisce e, così, inizia a domandarmi ragguagli tecnici su virus e programmi simili. Esordisco avvertendolo che la legge ci impone, quanto meno, un antivirus. E qui raggiunge l'apice. Mi domanda: "Scusi avvocato, ma cos'è un antivirus"? Rimango senza parole e mi congedo con una scusa.

L'accademico-offeso: "Ma come si permette? Io sono dotatissimo e aggiornatissimo"!

Il 23 ottobre ricevo un altro messaggio con allegati (due: un eseguibile e un .doc). Ma questa volta non si tratta di Sircam, bensì di Magistr.
Verifico le proprietà dell'e-mail e scopro che proviene da un account universitario. I dati del server SMTP mi parlano di un istituto che dell'uso della tecnologia fa motivo di vanto.
Magistr mi svela un brano di uno scritto di chiaro carattere accademico. Nessun dato personale, dunque, ma quel computer è infetto e Magistr ha effetti devastanti.

Parte la "terribile" diffida (ipotizzando che su quel computer vi fossero anche dati personali), ma questa volta la risposta è quasi della stessa carica esplosiva. Scopro che si tratta di una persona che mi si era presentata in una determinata occasione. Poi comincia l'attacco. Non mi dovevo permettere di attribuirgli una colpa. Lui possiede uno tra i più noti firewall ed il più noto, potente e aggiornato antivirus. Non mi dovevo permettere di minacciare azioni legali. Soltanto perché sono avvocato e perché conosco (testualmente) "un pochettino la legge" non ero nel diritto di comportarmi così, invece che domandare spiegazioni come avrebbero fatto altri.
Io non penso di essere antipaticissimo e spocchioso. Sono soltanto un po' ruvido come ogni buon genovese (io lo sono d'adozione) che si rispetti.
Faccio violenza al mio carattere e cerco di rispondere con distacco professionale come ogni giorno in tribunale, a beneficio dei miei assistiti.

Siccome il moderno untore mi ha sfidato a dimostragli l'inadeguatezza delle sue misure, gli faccio presente che Magistr (nella versione giuntami, la prima) è stato scoperto il 13 marzo 2001 e che, dunque, siamo oltre il termine semestrale di aggiornamento (della misura di sicurezza) contemplato dall'art. 4, lett. c), DPR 318/99. Che, poi, ancora una volta qualcuno deve aver ben cliccato sul file infetto... comportamento che reputo altamente imprudente (dunque colposo), specie se tenuto da un giurista-informatico.
Mi risponde il giorno dopo, con toni più pacati, ma, ancora, non so quale sia il suo portentoso antivirus che può permettersi il lusso di snobbare Magistr, né se, per ipotesi, abbia subito (come si dice accada spesso...) un attacco da parte di un hacker burlone o, piuttosto, se il tasto sinistro del mouse abbia ceduto sotto il suo polpastrello. Mi dice che ci siamo chiariti... bah...

Continua sul prossimo numero