Note di attualità Posta elettronica certificata e LEAK di Anonymous Processo civile telematico consapevolezza e aggiornamento del professionista Note di attualità Posta elettronica certificata e LEAK di Anonymous
Gli strumenti dell’Avvocato telematico L’Avvocato «telematico» è prima di ogni altro appellativo un operatore del diritto I dubbi sono il motore della crescita professionale e devono essere affrontati e superati con la competenza e l’approfondimento giuridico Gli strumenti informatici devono essere utilizzati dal professionista in modo consapevole e non approssimativo
Prima parte Posta elettronica certificata e LEAK di Anonymous
Gli strumenti necessari per operare nel PCT Dispositivo di autenticazione e firma digitale Si tratta di un dispositivo, contenuto in un supporto chiamato "token", in genere sotto forma di smart card o di chiavetta usb, contenente i certificati digitali di autenticazione e firma digitale, rilasciati da un ente certificatore accreditato. Casella Pec L'indirizzo di Posta Elettronica Certificata è un sistema di comunicazione del tutto simile alla posta elettronica standard, con in più determinate caratteristiche di sicurezza e di certificazione della trasmissione che danno ai messaggi (inviati e ricevuti) il medesimo valore legale di una raccomandata con ricevuta di ritorno e li rendono opponibili ai terzi. Attraverso la Pec, mezzo di comunicazione ufficiale del Processo Civile Telematico, l'utente può legalmente depositare e ricevere atti e documenti relativi al processo; Redattore atti È un software che consente la creazione della c.d. "busta telematica" per il deposito degli atti e dei documenti del procedimento. Il Pct prevede, infatti, che il deposito obbligatorio avvenga tramite una busta informatica che contenga gli atti da depositare debitamente e digitalmente sottoscritti, gli allegati e i dati relativi allo specifico provvedimento, oltre all'indice del contenuto della busta stessa, e che venga inviata tramite pec. Il redattore è implementato in modo da compilare i necessari file informatici che devono accompagnare gli atti da depositare permettendo alla cancelleria di identificarli, individuarli ed indirizzarne il contenuto nel relativo fascicolo virtuale. Punto di accesso (PDA) È l'infrastruttura gestita dal Ministero della Giustizia per assicurare l'accesso ai soggetti abilitati esterni ai servizi di consultazione e di trasmissione telematica degli atti e dei documenti. In sostanza, ha la funzione di riconoscere con certezza gli utenti (avvocati, praticanti, ecc.), in possesso di certificato di autenticazione consentendo di accedere al processo telematico e di utilizzare il servizio. Per iscriversi ad un PDA è possibile rivolgersi a qualunque fornitore, pubblico o privato, accreditato presso il Ministero (l'elenco è reperibile sul sito pst.giustizia.it, vai all'elenco dei PDA).
La vulnerabilità della PEC «LEAK di ANONYMOUS alle PEC con dominio legalmail» LEAK di Anonymous alle PEC degli Avvocati Le possibili violazioni della casella certificata La casella di posta certificata Prevenzione
Cosa sappiamo sul LEAK di Anonymous «La sicurezza informatica non è un punto d’arrivo ma un lungo viaggio» https://www.cybersecurity360.it/nuove-minacce/anonymous-e-mail-degli- avvocati-cambiare-le-password-non-basta-il-problema-e-piu-vasto/ (A cura dell’Avv. Francesco Paolo Micozzi)
Segue… I malware, abbreviazione di "malicious software", non sono altro che dei piccoli programmi informatici, sviluppati dagli hacker con il fine di disturbare le operazioni di base di ogni dispositivo informatico sul quale vengono installati, oltre a sottrarre i dati sensibili, come possono essere le password di accesso e a trasmettere pubblicità di vario genere. I ransomware non sono altro che una categoria di malware. Molto diffusi in questo periodo, tendono a bloccare il dispositivo sul quale vengono inavvertitamente installati, il più delle volte chiedendo un riscatto per rendere il dispositivo ancora utilizzabile. Altri ancora chiedono il riscatto per riavere dati sensibili sottratti dal dispositivo dell'utilizzatore.
…segue Oggi la Posta elettronica certificata (PEC) rischia di trasformarsi in un formidabile strumento di attacco per i pirati informatici Il vantaggio di utilizzare una PEC per un cyber-attacco è piuttosto evidente: per fare un parallelo con la classica corrispondenza “analogica”, infatti, la PEC sta all’email come una raccomandata con ricevuta di ritorno sta a una semplice lettera. Insomma: il formato “ufficiale” rende più credibile il messaggio e spesso è sufficiente per far abbassare le difese alla potenziale vittima, che tende ad aprire qualsiasi allegato o fare clic su qualsiasi link senza preoccuparsi troppo delle possibili conseguenze. Un tentativo di sfruttare la PEC in questo modo è già stato fatto nel marzo del 2017, quando un gruppo di pirati informatici ha utilizzato un indirizzo di posta certificata per distribuire in maniera massiccia un ransomware. A rendere attualissimo questo rischio nel nostro paese è il nuovo sistema di fatturazione elettronica, entrato in vigore lo scorso 1 gennaio. Con la fattura elettronica, invece, la quantità di corrispondenza via PEC è destinata a crescere esponenzialmente e il rischio che qualcuno ne approfitti è decisamente elevato.
La Posta Elettronica Certificata La posta elettronica certificata (PEC) è un sistema di trasmissione sicuro e regolamentato dalla legge, per inviare documenti e messaggi di posta elettronica con valore legale. Per certificare l’invio e la ricezione di un messaggio di PEC, il gestore di posta invia al mittente una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale documentazione allegata. Allo stesso modo, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna del messaggio, con precisa indicazione temporale Evoluzione normativa La posta elettronica certificata (PEC) è stata introdotta nel nostro ordinamento con il DPR 11 febbraio 2005 n. 68 Sempre nel 2005 viene emanato con il Decreto Legislativo 7 marzo 2005 n. 82 il CAD (CODICE DELL’AMMINISTRAZIONE DIGITALE) che all’art. 6 introduce la possibilità da parte della Pubblica Amministrazione di utilizzare la PEC per ogni scambio di documenti e informazioni con i soggetti che ne hanno fatto preventivamente richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata. Le Regole Tecniche della PEC sono state definite con il DM 2 novembre 2005 e il relativo Allegato Il Decreto Legge 29 novembre 2008, n.185 (convertito con modificazioni dalla legge 28 gennaio 2009, n.2) introduce con l’Art. 16 l’obbligo da parte delle imprese e dei professionisti di creare un indirizzo di PEC e di comunicarlo al Registro Imprese e agli Ordini o Collegi di appartenenza.
Con il DM 44/2011 viene istituito il Registro Generale degli Indirizzi Elettronici (ReGIndE), gestito dal Ministero della Giustizia, che contiene i dati identificativi nonché l’indirizzo di posta elettronica certificata (PEC) dei soggetti abilitati esternie cioè appartenenti ad un ente pubblico -professionisti iscritti in albi ed elenchi istituiti con legge ausiliari del giudice non appartenenti ad un ordine di categoria o che appartengono ad ente/ordine professionale che non abbia ancora inviato l’albo al Ministero della giustizia Per tutti coloro che risultano essere iscritti ad un albo o, in alternativa, ad un elenco regolarmente istituito per gli enti pubblici, l’iscrizione a ReGIndE segue quanto stabilito del DM 44 del 2011, cioè spetta all’ordine o all’ente inviare la richiesta per il censimento formale. Con il Decreto Legge 18 ottobre 2012, n. 179 il CAD viene aggiornato introducendo l’Art 6-bis che prevede l’introduzione dell’Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC) delle imprese e dei professionisti presso il Ministero per lo sviluppo economico. In base all’Art. 6-bis la creazione dell’Indice nazionale degli indirizzi di posta elettronica certificata è realizzata a partire dagli elenchi di indirizzi PEC già registrati presso il Registro delle Imprese e gli Ordini o Collegi professionali di appartenenza dei singoli professionisti, come previsto dall’Art. 16 del decreto legge 29 novembre 2008, n.185. Con il Decreto legislativo 26 agosto 2016 n. 179 il CAD viene aggiornato introducendo l’Art 6-ter che prevede l’introduzione dell’Indice dei domicili digitali della pubblica amministrazione e dei gestori di pubblici servizi (IPA), realizzato e gestito da AgID, in cui è possibile consultare ed estrarre gli indirizzi PEC di qualsiasi ente pubblico.
…la giurisprudenza sul punto.. Cassazione civile, sez. III, sentenza 08/02/2019 n° 3709 La Cassazione, Sez. III, con la sentenza 8 febbraio 2019, n. 3709, afferma, erroneamente, che solo la notifica effettuata (ai sensi della L. 53/94) dal difensore all’indirizzo PEC del destinatario risultante dal Registro Generale degli Indirizzi Elettronici (ReGIndE) sarebbe valida ed efficace mentre, ove la stessa venga effettuata all’indirizzo PEC del destinatario risultante dall’INI-PEC (Indice Nazionale degli Indirizzi di Posta Elettronica Certificata) dovrebbe qualificarsi nulla. Cassazione civile, sez. VI-1, ord. 9 aprile 2019 n. 9893 (Pres. Scaldaferri, rel. Campese) È valida la notificazione del ricorso per dichiarazione di fallimento all’indirizzo di PEC della società in liquidazione estratto dal registro INIPEC, senza che sia necessaria analoga notifica anche al commissario liquidatore. Questo è quanto stabilito dall’ordinanza n. 9893/2019 della Cassazione civile.
La sicurezza delle PEC In base al CAD all’Agenzia per l’Italia digitale sono attribuite le seguenti competenze per quanto riguarda la PEC: definizione e aggiornamento delle regole tecniche; gestione dell’iscrizione e dell’elenco dei gestori di posta elettronica certificata; vigilanza e controllo delle attività esercitate dai gestori iscritti nell’elenco. Posta elettronica certificata e Regolamento UE n. 910/2014 – eIDAS Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 sull’identità digitale - ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri. Il regolamento eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico nell’Unione Europea. La Posta Elettronica Certificata soddisfa i requisiti previsti dal Regolamento eIDAS per il servizio elettronico di recapito certificato (SERC), ma non soddisfa appieno i requisiti previsti sempre dal Regolamento per il servizio elettronico di recapito certificato qualificato. In particolare, attualmente non è prevista la verifica certa dell’identità del richiedente la casella di PEC e non è previsto che il gestore debba obbligatoriamente sottoporsi a delle verifiche di conformità da parte degli organismi designati.
Allegato al DM 2 novembre 2005 “Regole tecniche del servizio di trasmissione di documenti informatici mediante posta elettronica certificata”. 8 ASPETTI RELATIVI ALLA SICUREZZA 8.1 Firma 8.2 Autenticazione La possibilità da parte di un utente di accedere ai servizi di PEC, tramite il punto di accesso, deve prevedere necessariamente l’autenticazione al sistema da parte dell’utente stesso. A titolo esemplificativo, e non esaustivo, le modalità di autenticazione possono prevedere, ad esempio, l’utilizzo di user-id e password o, se disponibili e ritenute modalità necessarie per il livello di servizio erogato, la carta d’identità elettronica o la carta nazionale dei servizi. La scelta della modalità con la quale realizzare l’autenticazione è lasciata al gestore. L’autenticazione è necessaria per garantire che il messaggio sia inviato da un utente del servizio di posta certificata i cui dati di identificazione siano congruenti con il mittente specificato, al fine di evitare la falsificazione di quest’ultimo. 8.3 Colloquio sicuro 8.4 Virus Un altro aspetto rilevante di sicurezza, che riguarda l’intero sistema di posta elettronica certificata, è relativo all’architettura tecnico/funzionale che deve impedire che la presenza di virus possa compromettere la sicurezza di tutti i possibili messaggi gestiti; deve quindi essere prevista l’istallazione ed il costante aggiornamento di sistemi antivirus che impediscano quanto più possibile ogni infezione, senza però intervenire sul contenuto della posta certificata in accordo con quanto già definito. 8.5 Indice dei gestori di posta elettronica certificata Il contenuto dell’indice dei gestori di posta elettronica certificata è interrogabile via HTTP su protocollo SSL esclusivamente dai gestori accreditati che disporranno di appositi certificati utente; tale modalità di accesso garantisce l’autenticità, l’integrità e la riservatezza dei dati.
La sicurezza dei dati che veicoliamo con la PEC Se i dati sensibili dei nostri clienti, contenuti nella PEC, diventassero di pubblico dominio a seguito di hackeraggio, ci potrebbero essere profili di responsabilità da parte del legale in virtù proprio dell’informativa sulla privacy che facciamo firmare. Infatti, con quel documento, ci impegniamo a una serie di obblighi: conservare i loro dati, non cederli a terzi e a mantenere la massima segretezza. In tutto ciò, non aver custodito e gestito la password rappresenta un profilo di colpa per il professionista.
Considerazioni finali e consigli utili Sistemi operativi e software aggiornati Installare software antivirus, configurarli e aggiornarli periodicamente Scegliere password sicure e modificarle frequentemente Utilizzare software di gestione password Non utilizzare la stessa password per più servizi/sistemi informatici Configurare correttamente la PEC nella ricezione dei messaggi Proteggere le memorie esterne di archiviazione con password ESSERE CURIOSI, CONSAPEVOLI E IN COSTANTE AGGIORNAMENTO
Seconda parte PCT e processo di cognizione
PCT: Evoluzione normativa e stato dell’arte Obbligatorietà graduale, ancora non completa Regime obbligatorio per: a decorrere dal 30 giugno 2014 nei procedimenti civili, contenziosi o di volontaria giurisdizione, innanzi al Tribunale, il deposito degli atti processuali e dei documenti da parte dei difensori delle parti precedentemente costituite ha luogo esclusivamente con modalità telematiche, dal 31 marzo 2015 per le iscrizioni a ruolo dei procedimenti esecutivi mobiliari, immobiliari e presso terzi. il 30 giugno 2015 è diventato obbligatorio per tutti gli atti delle parti costituite avanti le Corti di Appello. Cosa manca: atti introduttivi (oggi facoltativamente depositati in telematico), che determinano la compresenza di un fascicolo cartaceo e telematico; il deposito telematico nei procedimenti presso i Giudici di Pace, la Corte di Cassazione, alcuni Tribunali con competenze speciali (es. minorenni), per i quali a breve si attendono importanti sviluppi.
Quali atti devo depositare telematicamente? Nel processo d cognizione: Ricorso per decreto ingiuntivo Atti endoprocessuali: tutti gli atti da depositarsi dopo l'avvenuta costituzione della parte in giudizio e quindi, ad esempio: - le memorie ex art. 183 c.p.c., - la consulenza tecnica di parte - la comparsa conclusionale, - la conclusionale in replica - la rinuncia al mandato - la comparsa di costituzione di nuovo procuratore
Segue… Nel Processo esecutivo: Iscrizione a ruolo pignoramento mobiliare Iscrizione a ruolo pignoramento immobiliare Iscrizione a ruolo pignoramento presso terzi Atto di intervento nell'esecuzione Istanza per la riduzione del pignoramento Le opposizioni da proporsi dopo l'avvenuta iscrizione a ruolo del connesso procedimento di esecuzione forzata e quindi, ad esempio: - Ricorso ex art. 615 comma 2 c.p.c. - Ricorso ex art. 617 comma 2 c.p.c.
Le fonti di cognizione nel PCT Tre gruppi di disposizioni che rilevano nella ricostruzione del vigente quadro normativo del PCT Articoli del codice di rito e della Legge Fallimentare Disposizioni sulle comunicazioni di cancelleria e sulle notificazioni degli Avvocati Regole relative alla forma degli atti processuali telematici e le modalità di deposito nei registri informatici di cancelleria Art. 16-bis del Decreto Legge 18 ottobre 2012 n. 179, conv. in L. 221/2012 Obbligatorieta' del deposito telematico degli atti processuali
Esempio pratico di deposito telematico Iscrizione a ruolo di atto di citazione notificato tramite Unep o PEC Come allegare file video o audio come prove digitali L’attestazione di conformità
La giurisprudenza sul punto Corte Cost., sent. 9 aprile 2019 n. 75 (Pres. Lattanzi, rel. Morelli) Notifiche a mezzo PEC – Art. 16-septies, d.l. n.179/2012 – Applicazione dell’art. 147 c.p.c. – Notifiche eseguite dopo le ore 21 – Perfezionamento alle ore 7 del giorno successivo – Questione di legittimità costituzionale – Violazione degli artt. 3, 24 e 111 Cost. – Fondatezza Art. 16-septies, d.l. n. 179/2012 – Notifica a mezzo PEC eseguita dopo le ore 21 ed entro le ore 24 – Perfezionamento per il notificante alle 7 del giorno successivo – Illegittimità costituzionale Cass., sez. VI-1, ord. 9 aprile 2019 n. 9893 (Pres. Scaldaferri, rel. Campese) Notifica ex art. 15 l.f. – Notifica all’indirizzo PEC risultante dal registro INI-PEC – Validità Cass., sez. lav., ord. 1 aprile 2019 n. 9029 (Pres. Nobile, rel. Blasutto) Procedimento civile – Termini per l’impugnazione – Decorrenza – Modalità di redazione e trasmissione della sentenza – Formato cartaceo e formato elettronico – Differenze Cass. sez. III, ord. 27 marzo 2019 n. 8464 (Pres. Armano, rel. Tatangelo) Notifiche a mezzo PEC – Notifica del duplicato informatico della sentenza – Inidoneità a far decorrere il termine breve di impugnazione – Non sussiste – Attestazione di conformità – Mancanza – Irrilevanza Cass., SS.UU., sent. 25 marzo 2019 n. 8312 (Pres. Mammone, rel. Tria) Impugnazioni – Notifica della sentenza ai fini del decorso del termine breve – Notifica a mezzo PEC – Ricorso per cassazione – Deposito di copia autentica della sentenza impugnata e della relazione di notificazione (art. 369, c. 2, n. 2 c.p.c.) – Attestazione di conformità – Mancanza – Improcedibilità – Esclusione – Ipotesi Ricorso per cassazione – Deposito di copia autentica della sentenza impugnata (art. 369, c. 2, n. 2 c.p.c.) – Sentenza notificata a mezzo PEC – Attestazione di conformità – Mancanza – Principi innovativi affermati da Cass., SS.UU. n. 22438/2018 in relazione al ricorso per cassazione – Applicabilità