A seguito del nostro articolo di denuncia sulle Pec profesisonali a rischio, il quotidiano "Il Nuovo Corriere" il 12 dicembre ha pubblicato un articolo di Omero Cambi, che riportiamo sotto e che potete scaricare qui in formato PDF.
Verificate da soli su architoscana.org se la pagina con le istruzioni in chiaro è ancora online.
Internet Allarme dall'associazione informatici professionisti rubare l'identità è un gioco da ragazzi
Architetti per finta? Basta una mail
Posta certificata ad alto rischio per tutti gli iscritti all'Ordine toscano
Web-pasticcio: basta una mail per "diventare" architetto - Segnalazione a novembre ma tutto è ancora online - Insidie svelate Massima attenzione per la sicurezza online
FIRENZE - Non è difficile farsi passare per architetto pur non essendolo. Non importa inventarsi attestati o lauree, basta un'email.
E' quanto denuncia la sezione toscana dell'associazione Informatici Professionisti.
La questione è semplice: l'ordine regionale degli Architetti ha attivato le caselle di posta elettronica certificata per i propri iscritti e sul sito istituzionale sono presenti tutte le indicazioni necessarie per utilizzarle, comprese le informazioni su come ricavare le password, create tutte partendo dal nome e dal cognome del professionista.
In tempi in cui è diventato di drammatica attualità il furto di dati personali, un vero regalo di natale per i ladri di identità. A scoprire la leggerezza sono stati i tecnici dello studio di consulenza informatica Fastoffice, che segue tra l'altro alcuni architetti toscani. Gli hacker sfruttano una simile scoperta per rubare e far danni, gli informatici, è prassi, si attivano invece per segnalare la falla ai gestori del servizio. E così l'associazione informatici ha provveduto già a fine novembre a segnalare la cosa agli Architetti. Non solo tramite una mail certificata, ma anche tramite la classica raccomandata cartacea. Ma non c'è stata risposta - spiegano - e tutta la procedura per accedere alla posta degli architetti ieri era ancora online. Così scatta la denuncia pubblica, in gergo "full disclosure" , ovvero la divulgazione della "vulnerabilità" per la sicurezza di tutti quelli che potrebbero trovarsi a rischio. La password assegnata dall'Ordine è in realtà indicata come "provvisoria" , ma spetta poi ai singoli professionisti cambiarla, non è obbligatorio. E vista la scarsa attenzione che in genere tutti poniamo nella sicurezza informatica, è facile pensare che molte caselle siano rimaste com'erano. "Segnaliamo questo problema - spiega il presidente toscano dell'associazione in- formatici, Stefano Rovida - proprio per porre l'attenzione sui problemi della sicurezza informatica. Troppo spesso la gestione di questioni delicate come questa, non viene affidata a professionisti e ci si espone a rischi non di poco conto".
"Insieme ai colleghi di tutta Italia - prosegue Daniel Witting da Prato, membro dell'associazione - ci stiamo attivando per verificare la sicurezza anche di altri enti che offrono posta certificata, e sono già venuti alla luce altri potenziali rischi".
Vita difficile quindi per la posta certificata, la "raccomandata elettronica" introdotta dal Governo per combattere la burocrazia. C'è solo un aspetto che tranquillizza: ovvero che ancora, non la usa quasi nessuno, primi fra tutti proprio gli enti pubblici.
Omero Cambi
