Le app di messaggistica istantanea sono oggi uno strumento del quale non è possibile fare a meno, anche all’interno di contesti professionali. È ormai una consuetudine infatti, specialmente negli studi legali, fare uso di questi strumenti per comunicare in modo veloce e immediato con il proprio cliente. Tale circostanza dipende da due fattori principali: la rapidità e semplicità di utilizzo delle app e la convinzione che queste ultime siano più sicure rispetto ai mezzi di comunicazione “tradizionali”, come chiamate, sms ed e-mail.

Tuttavia, per poter essere ritenute pienamente affidabili e sicure, le app devono essere in grado di garantire la riservatezza della chat da possibili intrusioni di natura dolosa (come attacchi hacker man-in-the-middle e malware trojan) talvolta finalizzati allo spionaggio industriale. Si pensi all’ipotesi in cui il cliente renda note, mediante l’app di messaggistica, delle informazioni sensibili legate alla proprietà intellettuale, come prototipi, progetti e brevetti: un hacker, sfruttando le vulnerabilità del sistema, potrebbe sottrarre tali informazioni e rivenderle alla concorrenza, o utilizzarle a scopo estorsivo.

Studi legali nel mirino degli hacker: l’importanza dei sistemi antintrusione

Negli ultimi anni, anche gli studi legali sono finiti nel mirino degli hacker, rendendo tale categoria professionale una delle più colpite da attacchi informatici dolosi, anche a causa dell’elevata sensibilità dei dati trattati.

Secondo le statistiche di settore riportate dal Consiglio dell’Ordine degli Avvocati di Roma, solo nel 2020 i professionisti sono stati vittima di un attacco hacker ogni 4 ore, per un totale di 2332 attacchi informatici registrati.

Particolarmente a rischio sono gli studi legali che operano con aziende leader di settore o con personaggi di spicco del mondo dello spettacolo: ben noto è, infatti, l’attacco hacker condotto ai danni dello Studio legale Grubman Shire Meiselas & Sacks, (tra i cui clienti compaiono, tra i tanti, Facebook, Sony, Samsung, Lady Gaga ed Elton John), che ha portato alla sottrazione di ben 756 Gigabyte di dati riservati, inclusi contratti, corrispondenza, numeri di telefono e indirizzi e-mail.

È evidente, dunque, come in uno studio legale sia fondamentale far ricorso a sistemi che possano garantire la massima tutela dalle intrusioni esterne, al fine di preservare i propri clienti (e la reputazione dello studio medesimo) dalle pesanti conseguenze che potrebbero derivare dalla pubblicazione dei dati trafugati.

App di messaggistica e privacy: cosa prevede il GDPR

Nel caso in cui a usare queste applicazioni siano professionisti, come avvocati, notai o commercialisti, occorre, pertanto, che le stesse rispettino requisiti di sicurezza e privacy particolarmente stringenti, anche in virtù dell’applicazione al trattamento di dati personali dei principi contenuti nel c.d. GDPR (Reg. UE 679/2016).

La normativa europea prevede, all’art. 32, che a ogni trattamento posto in essere nello svolgimento della propria attività professionale, siano applicate misure tecniche e organizzative “adeguate a garantire un livello di sicurezza adeguato al rischio”, come la pseudonimizzazione e la cifratura dei dati o la “capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Il mancato rispetto dei criteri di proporzione fra rischio e misure di sicurezza, anche nella gestione delle comunicazioni, potrebbe non solo far incorrere il titolare in pesanti sanzioni, ma anche mettere a rischio la riservatezza del rapporto professionale con il cliente.

Requisiti di sicurezza minimi per le app di messaggistica

Sulla scorta di quanto detto, è possibile affermare che le app di messaggistica destinate ai professionisti rispettino i seguenti requisiti minimi di sicurezza:

  • Crittografia end-to-end estesa all’interezza delle funzioni dell’app ed alla sua stessa architettura, al fine di evitare che possa essere aggirata mediante la generazione di copie di messaggi non crittografate sul dispositivo sul quale è installata l’app;
  • Crittografia end-to-end estesa anche agli allegati inviati mediante l’applicazione;
  • Rilevazione e neutralizzazione di malware trojan, che potrebbero aggirare o eludere i sistemi di crittografia end-to-end e prendere il controllo del dispositivo su cui l’App è installata;
  • Attivazione della crittografia end-to-end per impostazione predefinita: non tutte le app di messaggistica, infatti, applicano tale sistema di sicurezza a tutte le conversazioni, rendendo necessario compiere dei passaggi in più (per esempio, Telegram applica la crittografia end-to-end solo alle c.d. “chat segrete”);
  • Localizzazione dei server in stati che garantiscano il rispetto degli standard minimi di sicurezza europei: dopo la sentenza Schrems II, in particolare, si è ritenuto che la legislazione statunitense non consentisse il rispetto dei principi del GDPR, in quanto prevedono un’eccessiva disclosure, nei confronti alle autorità statunitensi, di tutti i dati trattati dalle Società con sede in USA. Pertanto, i fornitori con sede in USA sono, in linea generale, da ritenersi non conformi. Viceversa, tra gli Stati esteri che consentono la massima tutela delle informazioni, rientra la Svizzera, nota per la sua normativa improntata al rispetto del principio di riservatezza.

In relazione alle opzioni di conservazione dei dati, si evidenzia che le app gratuite di messaggistica istantanea attualmente disponibili sul mercato non consentono di conservare i dati delle chat e i back-up all’interno di server privati, incrementando il rischio connesso al loro utilizzo e le relative vulnerabilità (ad es: decrittazione lato server).

È opportuno, pertanto, preferire soluzioni che permettano di utilizzare server privati, o comunque server dotati delle necessarie certificazioni di sicurezza, al fine di evitare la potenziale perdita di riservatezza connessa all’utilizzo di soluzioni in cloud.

Da ultimo, occorre accertarsi che le app di messaggistica prescelte non facciano uso dei dati dei propri utenti per finalità diverse da quelle strettamente connesse alla comunicazione, come la profilazione a fini commerciali o la comunicazione dei dati a società partner terze.

cta-cybersecurity-digital-workplace