Denunciare online i reati informatici, usando il modulo sul sito della Polizia Postale, è pericoloso. Mettiamo a rischio la privacy dei nostri dati e delle stesse denunce. Ci avvisa lo stesso browser ("connessione insicura") e molti esperti hanno notato il problema, segnalandolo alla Polizia nelle scorse ore.
I problemi sono di due tipi. Di privacy e di sicurezza informatica. Lo confermano a Repubblica gli avvocati esperti di questi temi Antonino Polimeni e Gianluca Vaciago, di due diversi studi legali.
Attenzione al paradosso: un sito della Polizia usato per denunciare i reati informatici a sua volta può facilitare queste violazioni.
In particolare, l'informativa privacy non è più a norma da ben due anni, quindi il sito della Polizia postale non sta rispettando la legge (come modificata dal regolamento europeo Gdpr). Il modulo utilizza inoltre vecchi sistemi di crittografia (Tls 1.0) da tempo considerati insicuri e così – come ci avvisa lo stesso browser (Chrome ad esempio) – tutto quello che ci digitiamo può essere intercettato con relativa facilità dai criminali.
C'è un primo problema pratico, "per via di quell'avviso di sicurezza il browser pone un muro di protezione tra l'utente e il sito, che solo navigatori esperti riescono a superare. Il sito nega quindi il diritto di denuncia immediata via web, fondamentale per i reati informatici, ancor più in questo periodo", spiega Polimeni. In questi mesi, in cui si è tutti più collegati, i reati cyber sono al boom, come segnalato dalla stessa Polizia Postale e altri studi (come l'ultimo del Clusit).
"Il secondo problema è relativo alla privacy: le informazioni trasmesse dall'utente verso il server della polizia potrebbero essere prelevate da terzi – dice Polimeni. Gravissimo: tra l'altro tramite quel sito vengono denunciati reati commessi presumibilmente da esperti di informatica: il cane che si morde la coda".
Conferma Vaciago: "Il sito usa protocolli vecchi, non più sicuri, facilmente bucabili. Ma io quando scrivo una denuncia do informazioni estremamente sensibili. Dove abito, quali sono le mie misure di sicurezze, quali sono le mie vulnerabilità. Dichiaro inoltre i miei asset (ossia cosa possiedo e qual è il mio patrimonio). Tutte queste informazioni possono essere rubate e quindi utilizzate da cybercriminali".
Un bell'assist per i criminali, dalla Polizia Postale, insomma. "Nel caso di una denuncia, un eventuale furto di dati non solo espone il denunciante a un pericolo reale (ritorsioni), ma comporta un databreach di una gravità inconcepibile, poiché in teoria potrebbero andare perse le denunce dei cittadini", aggiunge Polimeni.
Ci sono anche rilievi normativi importanti. "C'è l'obbligo per tutte le PA di avere sistemi con standard di sicurezza adeguati alla tutela dei dati che si stanno trattando", dice Polimeni. "Sembrerebbe che l'ente non abbia mai effettuato l'adeguamento al regolamento europeo in vigore dal 2018. L'informativa privacy che viene proposta all'utente, è relativa alla normativa del 2003, oggi abrogata quantomeno parzialmente. Anzi, a dire il vero non viene nemmeno data una informativa a norma della precedente normativa. È un disastro sotto l'aspetto della tutela dei dati personali, sia sotto l'aspetto sostanziale che sotto l'aspetto relativo agli obblighi di informazione all'utente. Inoltre il sito è obsoleto anche sotto l'aspetto tecnologico", conclude Polimeni.
La Polizia Postale fa sapere a Repubblica di essere al corrente dei problemi e fornirà a breve alcune delucidazioni sulla questione.
Commenti recenti