Come ridurre i rischi di cyber attacchi e di frodi informatiche in questo periodo emergenziale? Best practices: la crittografia nell’invio delle email

Scritto da Avv. Cristina Mantelli __________________________________________

Le nostre e-mail contengono molto spesso dati personali. Durante il loro percorso verso il destinatario tali comunicazioni sono gestite da diversi enti, nodi e fornitori di servizi che possono intercettare, manipolare e utilizzare illegalmente il loro contenuto. Al fine di ridurre questi rischi, l’articolo 32 del GDPR e i considerando collegati[i] chiedono ai responsabili del trattamento di attuare misure di sicurezza adeguate. Se tali standard non sono soddisfatti, la riservatezza e l’integrità delle nostre comunicazioni rischiano seriamente di essere violate.

Come fare quindi per ridurre i rischi? È vivamente consigliato utilizzare programmi di crittografia.

Infatti inviare email non crittografate può comportare diversi rischi: uno di questi, molto diffuso oggi, oltre ai recenti paventati rischi cyber determinati dalla situazione ucraina, è la frode informatica denominata “the man in the mail” o “the man in the middle”. La frode consiste nell’intercettare la mail con la quale un venditore/professionista/artigiano invia in allegato al cliente la fattura o un altro documento commerciale, contenente i dettagli del conto corrente su cui effettuare il pagamento di un servizio o di un bene. L’hacker, in quello stesso momento, interviene per sostituirlo con il proprio codice IBAN: a questo punto, l’ignara vittima esegue il bonifico non sul conto corrente indicato, ma su quello del truffatore che svuota così il conto corrente con una serie di bonifici su conti esteri.

Quindi come possiamo proteggerci dalle truffe online? Con un sistema di crittografia.

Uno tra i più conosciuti si chiama open PGP (Pretty Good Privacy) fruibile liberamente da tutti poiché è un protocollo di “crittografia a chiave pubblica”.

PGP si basa sulla generazione di una coppia di chiavi: una “segreta” (o “privata”) e l’altra “pubblica”. L’utente tiene al sicuro la propria chiave segreta mentre diffonde e rende disponibile la chiave pubblica. Quindi così facendo si otterranno due risultati:

  1. La riservatezza del contenuto: il messaggio viene crittografato e reso illeggibile per un terzo che non possegga le chiavi;
  2. L’autenticità del mittente: la chiave pubblica di Caio (che è stata precedentemente inviata a Sempronio) potrà combaciare solo con la sua chiave privata. Questa funzione ci dà la certezza della provenienza del messaggio.

Per poterlo utilizzare ci sono molti software adatti ai diversi sistemi operativi. Il sito ufficiale di OpenPGP e quello di GnuPG indicano quali sono i software che utilizzano tale protocollo. Di seguito sono riportati quelli principali:

Riepilogando, se teniamo conto delle responsabilità, dei rischi in gioco e del contenuto delle informazioni che trasmettiamo è più che mai opportuno adottare la crittografia quale strumento di sicurezza delle nostre mail, perlomeno di quelle che contengono dati sensibili.

[i] (83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.