La rilevanza dei messaggi istantanei nel rapporto col cliente rende oggi più che mai necessario per gli studi legali utilizzare chat sicure, diverse da WhatsApp.
Con particolare riguardo al rapporto fra l’avvocato e il proprio cliente, si è assistito, con la diffusione degli smartphone e delle applicazioni di messaggistica istantanea, a nuove modalità di comunicazione: spesso il cliente si interfaccia con il proprio legale tramite WhatsApp, utilizzando quest’ultima anche come mezzo per lo scambio di informazioni e documenti privati che possano essere utili per lo studio e la trattazione della controversia, talvolta di natura estremamente sensibile, e privilegiandolo rispetto a strumenti alternativi come sms, chiamate ed e-mail in quanto ritenuta (erroneamente) più sicura.
Anche il rapporto con colleghi e collaboratori è mutato: tramite le chat, è possibile coordinare in modo rapido ed efficace l’attività di studio, confrontarsi sulle pratiche affidate, o altro.
Chat sicure e segreto professionale
Come anticipato in premessa, i clienti, siano essi privati o aziende, rivelano al proprio avvocato informazioni estremamente delicate, connesse alla propria situazione personale, al know-how aziendale ed alla proprietà intellettuale, che risultano estremamente appetibili per gli hacker.
Accade ormai sempre più spesso che, data l’estrema rilevanza delle informazioni trattate, gli hacker prendano di mira i sistemi informatici degli studi legali, richiedendo, a fronte della (falsa) promessa di non rendere pubblici o rivendere i dati sottratti, il pagamento di un riscatto.
Nel febbraio 2020, un gruppo hacker si è infiltrato nei sistemi di 5 studi legali statunitensi, chiedendo, a fronte del ripristino dell’accesso ai dati e della loro cancellazione, due pagamenti da 100 Bitcoin (circa $ 930.000). Nel caso in cui il riscatto non fosse stato pagato, i dati sensibili sarebbero stati pubblicati.
Gli attacchi dolosi possono essere anche guidati dalla concorrenza: è il caso tipico in cui, un’azienda demandi ad un hacker il compito di infiltrarsi nei sistemi delle concorrenti e dei loro consulenti per sottrarre informazioni su prototipi e brevetti tutelati dal segreto industriale.
Per tale ragione, diviene oggi di fondamentale importanza utilizzare delle chat realmente sicure, che possano proteggere l’interezza delle informazioni rivelate dai propri clienti, e, conseguentemente garantire il pieno rispetto non solo dei principi di cui al GDPR, ma anche e soprattutto del dovere di segretezza e riservatezza, pilastro dell’intera normativa deontologica forense.
Sulla scorta di tali premesse di fatto e degli obblighi normativamente previsti, gli studi legali hanno, dunque, l’onere di adottare soluzioni tecniche che rispettino standard di sicurezza particolarmente elevati, evitando che eventuali intrusioni dolose nelle comunicazioni scritte e vocali con clienti e colleghi possano comportare la perdita del carattere essenziale di riservatezza delle stesse.
Standard, questi, che WhatsApp, di proprietà del gruppo Facebook, nonostante sia la app di messaggistica istantanea maggiormente utilizzata, non riesce oggi a garantire.
WhatsApp: le principali falle di sicurezza
Sono molteplici le ragioni per le quali WhatsApp non può considerarsi un’app di messaggistica istantanea sufficientemente sicura per l’utilizzo professionale.
In primo luogo, il servizio non garantisce il pieno anonimato verso l’esterno, essendo necessario usufruire di un numero di telefono per poterne far uso: ne consegue la possibilità, da parte di terzi, di identificare in modo univoco i soggetti della conversazione. In secondo luogo, la crittografia end-to-end utilizzata può essere aggirata, ad esempio mediante la copia di messaggi non crittografata all’interno del dispositivo, l’acquisizione del controllo dello schermo o del microfono, funzioni di stato lato server, o vulnerabilità proprie degli allegati (foto, video e file esterni all’app), con conseguente perdita di riservatezza delle comunicazioni.
In poche parole, la crittografia end-to-end non è “perfetta”, e i messaggi, le chat e le conversazioni possono essere letti e ascoltati.
A tale elemento si aggiunga la circostanza per la quale i server sui quali sono trasmesse le conversazioni non sono gestiti in via esclusiva da WhatsApp, ma anche da terze parti, mediante sistemi paralleli di cloud e hosting, lasciando potenzialmente adito a ulteriori pericolose falle di sicurezza.
A ciò si aggiunga, in particolare, anche che:
- l’architettura informatica su cui funziona l’app non è decentralizzata: ne deriva che gli elenchi di contatti, dei gruppi e i profili utente sono gestiti da un unico server centrale, e non è possibile spostarla all’interno di un server privato più sicuro;
- l’applicazione non adotta sistemi di rilevazione e neutralizzazione di malware trojan: pertanto, la contaminazione del dispositivo tramite un file infetto potrebbe comportare l’immediata perdita di riservatezza senza che l’utente se ne renda neppure conto;
- in assenza di un sistema di rilevazione dei trojan, è possibile che si verifichi il pericoloso inoltro di virus da un dispositivo all’altro;
- non è in uso una procedura di verifica dei contatti;
- i messaggi, sebbene crittografati, non sono eliminati dal server una volta consegnati al destinatario;
- non è prevista una procedura di sicurezza contro l’esfiltrazione dei dati;
- i metadati prodotti dall’utente (dati di identificazione dello stesso, data e ora di invio e ricezione dei messaggi, dati di mittenti e destinatari, localizzazione dell’utente, e altro) sono leggibili e memorizzati sui server;
- i dati degli utenti, anche in virtù della gratuità dell’applicazione, possono essere utilizzati anche per scopi differenti da quelli di messaggistica, come il targeting pubblicitario e non solo: a tal riguardo, si rappresenta come Facebook sia stata pesantemente multata proprio per aver omesso informazioni rilevanti in merito alle finalità di utilizzo del contenuto delle chat di WhatsApp, ed alle ipotesi nelle quali tali informazioni venivano comunicate a terzi (Facebook inclusa);
L’insufficienza delle misure di sicurezza di WhatsApp discende anche da limiti normativi: con la sentenza Schrems II, la Corte di Giustizia Europea ha, infatti, accertato che il trattamento posto in essere da parte di società con sede negli USA, non può ritenersi conforme agli standard minimi del GDPR, in quanto il Cloud Act statunitense permette, un’eccessiva e sproporzionata interferenza delle autorità nei dati trattati dai titolari aventi sede negli US, e persino la possibilità di acquisire dati informatici dagli operatori di servizi di cloud computing.
Chat sicure, perché Telegram e Signal non sono l’alternativa
In chiusura, si ritiene opportuno evidenziare come le problematiche tecniche e normative che rendono WhatsApp inadatta ad un utilizzo professionale siano presenti anche nelle app gratuite di messaggistica istantanea concorrenti, come Telegram e Signal, i cui sistemi di crittografia end-to-end non tutelano l’utente da potenziali intrusioni connesse all’architettura sulla quale le stesse si basano.
La migrazione verso tali applicativi, pertanto, non permette in egual modo di garantire la massima sicurezza delle informazioni trattate dagli studi legali, rendendo necessario il ricorso a soluzioni differenti, dotate di standard di sicurezza appositamente calibrati sulle specifiche necessità del mondo forense.
