Dati sensibili, file di notevole importanza e documenti coperti dal segreto professionale sono alla mercé di hacker e virus che non risparmiano attacchi e ricatti ai danni dei liberi professionisti.
Ma come prevenire i cyber-attacchi in un era in cui il processo civile si avvale dei metodi telematici? Quali sono le misure di sicurezza adottabili da uno studio legale?
Vediamo insieme l'importanza della cyber security in un lavoro (quello dell'avvocato) ove la vulnerabilità è sinonimo di responsabilità civile e/o penale.
Sicurezza e cyber-attacchi: perché rischia un avvocato?
La professione dell'avvocato oggi si evolve in un lavoro sempre più incentrato sulla telematizzazione della propria attività.
Il professionista si avvale di software gestionali e programmi sempre più sofisticati per ottimizzare le incombenze quotidiane, quali quelle di gestire la propria segreteria, i fascicoli dei clienti, la notificazione degli atti e gli appuntamenti.
I software, installati su device personali (tablet, pc e smartphone) accompagnano l'avvocato in ogni momento della giornata consentendogli di coordinare il proprio lavoro in maniera soprattutto efficiente.
Risparmiare tempo significa dedicarsi ad attività trasversali che consentono di migliorarsi in qualità di professionista: avere un paio di ore in più per studiare meglio una pratica comporta una maggiore soddisfazione del cliente, quindi un profitto sicuro.
L'avvocato 2.0 è interattivo ed interconnesso, erudito in materia di informatica e di tecnologie. E deve obbligatoriamente possedere un bagaglio di conoscenze nel campo della telematizzazione per una serie di motivi imposti principalmente dalla legge.
1. L'avvocato, in qualità di professionista, è obbligato (ai sensi dell'art. 12 del D.Lgs n. 231/2007) ad identificare e verificare l'identità dei propri clienti, a prescindere se instauri con loro un rapporto di lavoro continuativo oppure occasionale. E una volta identificata la persona, l'avvocato è tenuto ad osservare una serie di obblighi che spaziano dalla segnalazione dei casi di sospetto riciclaggio alla tenuta di un archivio contenente tutti i dati identificativi ed economici dei clienti con cui è entrato in contatto.
2. L'avvocato, per legge, è obbligato al deposito o alla notifica di specifici atti giuridici seguendo la procedura informatica, così come stabilito dalla disciplina del processo civile telematico. Attraverso l'uso di particolari software (chiamati redattori) e un indirizzo PEC, documenti come citazioni, esecuzioni mobiliari ed iscrizioni a ruolo avvengono solo online, senza fare la fila presso gli uffici di cancelleria. Pena la nullità della procedura.
Questi due elementi servono a farci capire come il lavoro dell'avvocato non può prescindere dall'informatica e, a sua volta, dalla cyber security chiesta principalmente per tutelare i dati sensibili dei propri clienti.
Per adempiere agli obblighi imposti dalla disciplina antiriciclaggio l'avvocato si avvale di un software orientato all'archiviazione dei fascicoli che riguardano i clienti, con l'obiettivo di conservarne le informazioni da qui ai prossimi dieci anni.
E se da un lato la legge ammette la conservazione dei dati in formato cartaceo, dall'altro impone che la digitalizzazione degli stessi avvenga nel pieno rispetto del Codice della Privacy, con tanto di informativa resa nota (mediante sottoscrizione) al medesimo cliente.
Per il processo civile telematico un avvocato realizza documenti nei formati prescritti dal Ministero della Giustizia, forma il fascicolo del proprio cliente e invia mediante una ''busta telematica'' il contenuto dell'atto che sarà depositato presso la cancelleria.
Non sono ammessi elementi attivi, ossia link e documenti che possono essere modificati da sorgenti esterne o che veicolano virus nel sistema informatico del tribunale o, addirittura, del Ministero.
Questi due esempi sono sufficienti per capire come il lavoro informatizzato dell'avvocato sia vulnerabile su diversi fronti: basta un virus intrufolato nel proprio archivio per compromettere l'intero lavoro.
E se l'archivio telematico di un avvocato racchiude principalmente dati sensibili (la privacy nei processi è fondamentale per proteggere la dignità dei propri clienti) è facile intuire come il professionista debba adottare misure di sicurezza adeguate alla tutela del proprio lavoro.
LEGGI ANCHE: Assistenza legale online, possibile servizio on demand?
Sicurezza e cyber-attacchi: cosa rischia un avvocato?
Fatte le dovute premesse (seppur in maniera sintetica) per quanto riguarda la telematizzazione del lavoro di un avvocato dedichiamoci ai rischi effettivi che incorre il professionista qualora il livello di sicurezza informatica non sia abbastanza sufficiente.
L'analisi può essere affrontata su due piani: quello reale e quello legale. Il primo riguarda la tangibilità delle conseguenze che si potrebbero avere qualora il sistema informatico dello studio legale sia oggetto di attacchi virus e da parte di hacker.
Il secondo ha ripercussioni giuridiche nel momento in cui dovesse essere compromessa la privacy dei propri clienti. Ma andiamo per gradi.
Le conseguenze di un attacco hacker sul piano reale è sotto gli occhi di tutti. Ultimamente si è diffuso il fenomeno del ''ransomware''. Si tratta di un tipo di malware che infetta il sistema rendendo inaccessibili i documenti ivi contenuti.
L'inaccessibilità può avvenire in diversi modi: limitando la visualizzazione dei file o criptando i documenti. Per avere la disponibilità dei propri dati, la vittima di ransomware è costretta a pagare un riscatto per evitare la diffusione dei documenti rubati.
Ma il pagamento è solo uno degli infiniti step che andranno a configurare una vera e propria estorsione ai danni del professionista.
L'inaccessibilità ai documenti limita di molto il lavoro dell'avvocato che, in assenza dei dati archiviati sul proprio device, è costretto a rallentare il proprio lavoro anche per diversi giorni.
Con la conseguenza di perdere non solo la fiducia dei clienti, ma soprattutto di rischiare cause legali intentate da questi ultimi.
Ma per quale ragione gli hacker trovano allettante il database di uno studio legale?
Mettiamo da parte la questione economica ed il fatto che l'avvocato viene spesso visto come un ''paperon de paperoni''.
Il database di uno studio legale è una miniera preziosa di informazioni che possono essere utilizzate in diverso modo, a maggior ragione per finalità estorsive. Se da una parte il professionista archivia dati per eseguire un obbligo giuridico, dall'altro lo fa per questioni di efficienza e di opportunità lavorativa.
All'interno di un computer o su un device sincronizzato (quale potrebbe essere uno smartphone) sono presenti i fascicoli dei propri clienti che racchiudono atti di notevole importanza per le cause legali.
Come se non bastasse è possibile rinvenire anche dati come conti corrente, carte di credito, sistemi di pagamento utilizzati nella prestazione d'opera. L'hacker può:
- rubare i documenti per attuare ricatti con la prospettiva di diffondere i dati e violare la privacy dei clienti.
- utilizzare le informazioni per ricattare a propria volta gli stessi clienti, a maggior ragione se trattasi di soggetti importanti (persone di spiccata importanza politico - sociale).
- clonare carte di credito e hackerare sistemi di pagamento.
- introdurre virus che, di conseguenza, potrebbero essere contenuti inconsapevolmente negli atti giudiziari depositati in cancelleria mediante la modalità telematica.
Sicuramente i sistemi operativi dei tribunali sono all'avanguardia e bloccano immediatamente ogni atto contenente gli ''elementi attivi'', ma cosa deve fare un avvocato vittima di un ransomware? Come può tutelarsi dai cyber-attacchi?
Sicurezza e cyber-attacchi: quali sono le conseguenze legali per un avvocato?
A dircelo è un articolo di Altalex, portale di riferimento di chi lavora nell'ambito legale. Da qui l'analisi sul piano legale dei rischi che incorre un avvocato quando non presta le dovute attenzioni alla cyber security.
Le responsabilità si misurano su tre fronti: la responsabilità in materia di privacy, la responsabilità deontologica, la responsabilità contrattuale per i danni subiti dal cliente. Soffermiamoci su ciascuna di esse.
La responsabilità in materia di privacy avviene su due livelli: penale ed amministrativo.
Ai sensi dell'art. 5 del recente Regolamento UE in materia di trattamento dei dati personali, la gestione delle informazioni deve rispettare i seguenti principi:
- liceità, correttezza e trasparenza del trattamento nei confronti dell’interessato (all'art. 6 vengono indicati le condizioni di liceità, in assenza delle quali il trattamento non è conforme alla normativa del settore).
- limitazione della finalità del trattamento al rapporto di collaborazione instaurato con il cliente e con le leggi del comparto (fra cui la disciplina antiriciclaggio). Le limitazioni contemplano anche l’obbligo di assicurare che eventuali trattamenti successivi siano inerenti ai principi legislativi.
- minimizzazione dei dati che devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
- esattezza e aggiornamento dei dati attuati con la tempestiva cancellazione o rettifica di quanto posseduto nel database e sempre in riferimento alle finalità del trattamento.
- limitazione della conservazione per il tempo necessario al loro trattamento. Si pensi sempre alla normativa antiriciclaggio ed alla necessità di archiviare i dati per un massimo di 10 anni dalla conclusione del rapporto di prestazione d'opera.
- integrità e riservatezza. Questo principio si riconnette alla cyber - security in quanto lo stesso Regolamento UE dispone che il trattamento deve avvenire in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Il medesimo regolamento individua le misure sanzionatorie, sia amministrative che penali in riferimento alla violazione degli obblighi previsti per il trattamento dei dati personali.
Il Codice Deontologico Forense, fin dall'art. 4 enuclea la responsabilità disciplinare del professionista che discende dalla inosservanza dei doveri e delle regole di condotta dettati dalla legge e dalla deontologia, nonché dalla coscienza e volontà delle azioni od omissioni.
E l'avvocato ha numerosi doveri nei confronti del proprio cliente, fra cui:
- il dovere di fedeltà.
- il dovere di diligenza.
- il dovere di segretezza e di riservatezza.
- il dovere di competenza.
- il dovere di aggiornamento.
La responsabilità contrattuale deriva dal rapporto di mandato instaurato fra avvocato e cliente. L'inadempimento o l'inesatto adempimento (così come individuato sia dal Codice Deontologico, sia dal codice civile) comporta il diritto, a favore del cliente, di chiedere ed ottenere il risarcimento danni.
Nonostante appaia difficile ricondurre la lesione all'inefficacia dei sistemi di sicurezza informatici (alle volte sembra impossibile attribuire una qualche responsabilità all'avvocato che non ha adottato qualche misura in più per prevenire attacchi hacker), l'ipotesi non è improbabile.
LEGGI ANCHE: Come trasformare le tue parole in soldi
Sicurezza e cyber-attacchi: come si tutela un avvocato?
Un avvocato si tutela in diverso modo e le misure adottate variano in base allo studio legale.
Un ufficio che si avvale della collaborazione di più professionisti vede la messa a disposizione di diversi device, ciascuno dei quali viene utilizzato dalla singola persona in interconnessione con il sistema generale dello studio.
Ogni dispositivo dovrebbe quindi essere dotato di appositi software antivirus, continuamente aggiornati e con funzionalità avanzate, possibilmente personalizzate in base alle varie esigenze.
I dispositivi dello studio dovrebbero essere utilizzati limitatamente o esclusivamente ad esigenze lavorative, evitando la contaminazione degli stessi con le attività personali del professionista.
Un avvocato che utilizza la propria postazione per controllare le notifiche sui social, aprire la propria email, visionare pagine non afferenti al lavoro, mette a rischio l'intero sistema di sicurezza dello studio legale.
A ciò consegue la necessità di sincronizzare ed archiviare su diversi dispositivi ed in cloud i documenti telematizzati, allo scopo di averne la piena disponibilità nonostante siano stati criptati.
In questo modo si prevengono eventuali ransomware e il tempo che intercorre fra la denuncia e la riattivazione dei propri file può essere impiegato per il proprio lavoro. Senza inutile dispendio di tempo ed energia.
I software di monitoraggio possono tornare utili se lo studio legale accoglie numerosi collaboratori: avere la possibilità di controllare la rete da remoto significa prevenire gli attacchi hacker.
Ad essi si aggiungono anche le diverse misure di sicurezza attuate dagli operatori telefonici con cui si instaura un contratto di fornitura dei servizi internet.
Poiché l'utilizzo della connessione sarà di tipo commerciale, i servizi resi disponibili dalle aziende del settore sono sempre più personalizzati.
Infine al professionista si richiede un maggior investimento nella cyber-security ed un aggiornamento continuo in ambito informatico. Avvalersi dell'aiuto di esperti del settore e acquistare software all'avanguardia può avere un notevole tornaconto economico per il medesimo studio.
Gli hacker sono sempre più preparati ed in grado di alterare sistemi informatici di diverso livello: vale la pena risparmiare sulla sicurezza e ritrovarsi accusati dai propri clienti per violazione della privacy?
