Affrontare l'argomento "sicurezza informatica" all'interno degli studi notarili non è certo un compito semplice, sia per l'elevato tecnicismo della materia sia per il basso - e in tal senso pericoloso - livello di attenzione che, tranne casi specifici, viene ad essa riservato.

Non volendo tediare l'uditorio con informazioni tecniche, facilmente reperibili in rete e su tutte le riviste di settore, mi limiterò soltanto a fornire alcuni spunti di riflessione basati sull'esperienza oltre che alcuni esempi a mio giudizio utili per far comprendere anche a non tecnici le dimensioni del problema.

Una premessa essenziale, volutamente provocatoria, è quella contenuta nell'invito di tenere spenti i propri elaboratori. Se si vuole ottenere il massimo della sicurezza informatica esiste una sola e semplice soluzione: utilizzare carta e penna lasciando spento il Pc.

Tale consiglio poteva avere significato agli albori dell'era informatica: ciascun utente costituiva una monade all'interno del sistema, il concetto di rete era praticamente inesistente e l'uso dei calcolatori era per lo più finalizzato alla velocizzazione o alla automazione di processi di videoscrittura.

Oggi, a circa vent'anni di distanza, le cose sono molto cambiate e l'uso dei calcolatori e della rete è ormai una componente imprescindibile del nostro lavoro.

Esporsi alla rete significa allo stesso tempo esporsi a intrusioni, contagi da virus informatici e tant'altro: una serie di problemi dei quali dobbiamo innanzitutto comprendere o solo immaginare la reale potenzialità o entità.

Cerchiamo di capirlo con un semplice esempio.

Immaginiamo il nostro calcolatore come una incubatrice molto particolare al cui interno proteggere un bimbo, una incubatrice "chiusa", priva di aperture verso l'esterno. In altri termini una incubatrice inutile, di certo inesistente nella realtà.

Essendo necessaria una qualsiasi forma di dialogo con l'esterno, non potrà farsi a meno di creare almeno una apertura, una porta di comunicazione.

Nella realtà informatica, ed in particolare nel mondo che regola i dialoghi attraverso i protocolli Tcp/Ip (Transmission control protocol/Internet protocol) tipici del mondo dell'internet, creare una apertura, o più precisamente aprire una porta significa - se rivolto a un singolo interlocutore - fornire al potenziale e singolo interlocutore ben 64.000 modalità e potenzialità di accesso.

Consentire la presenza di un secondo interlocutore non aggiunge altre 64.000 porte d'accesso, ma eleva a potenza di due le 64.000 già esistenti.

E' sufficiente far mente locale sull'elevato numero di potenziali interlocutori presenti sulla rete (centinaia di milioni, se non di più), per rendersi conto dei numeri in gioco e di quanto sia importante dedicare alle tematiche sulla sicurezza tutta l'attenzione che esse meritano.

Nel tempo sono state sviluppate diverse tecnologie destinate a risolvere se non tutti almeno larga parte dei problemi inerenti la sicurezza informatica, tecnologie in alcuni casi rivolte alla tutela ab origine, a basso livello, ed altre destinate ad operare a livello utente, o alto livello.

Per basso livello si intende quello più vicino al "core" del sistema operativo, come nel mondo Unix (e suoi derivati come Linux e Apple Os X)

Per livello utente o alto livello ci si riferisce a quello più lontano dal "core" del sistema, come nel mondo Windows (per tale motivo da molti considerato come il più fertile terreno di coltura per virus informatici).

Se nel mondo Unix, a causa della architettura del sistema operativo e dei sistemi di protezione connessi, risulta praticamente impossibile installare e diffondere virus informatici, lo stesso non può certo dirsi per il mondo Windows.

Non sempre alla apparente semplicità delle interfacce grafiche che corredano i nostri sistemi corrisponde altrettanta semplicità dei processi generati: prova ne sia il bassissimo uso che nel mondo Unix viene fatto di caricamento drivers, o di esecuzione procedure in multitasking o in background (con conseguente basso uso di memoria) contrariamente a quanto avviene per i sistemi Windows (con sempre crescenti esigenze in termini di memoria e potenza di processore).

Lascio al prof. Mazzeo (relatore dopo di me) il compito di far meglio comprendere quanto adesso affermato.

Chi ha vissuto in qualche modo gli esordi e la storia dell'internet ha sicuramente memoria di due episodi avvenuti verso la fine degli anni '90.

Il primo riguarda la diatriba occorsa tra Bill Gates ed il Ceo di General motors.

In occasione della expo di computer Comdex 1999, Bill Gates fece un paragone con l'industria dei computer affermando:

«Se la Gm fosse progredita tecnologicamente come l'industria dei computer staremmo guidando auto che costano 25 dollari e che fanno 1000 miglia con un gallone».

In risposta ai commenti di Bill Gates, la General Motors rilasciò un'intervista alla stampa affermando (parole di Mr. Welch):

«Se Gm si fosse sviluppata tecnologicamente come la Microsoft, staremmo guidando auto con le seguenti caratteristiche:

1. Senza ragione, la vostra auto si bloccherebbe due volte al giorno.

2. Ogni volta che vengono riverniciate le linee della strada dovreste comprare una nuova auto.

3. Occasionalmente la vostra auto, senza ragione, si spegnerebbe sull'autostrada. Dovreste solo accettare ciò, riavviare l'auto e ripartire.

4. Occasionalmente, l'esecuzione di una manovra come una svolta a sinistra, può causare lo spegnimento della vostra auto e il suo rifiuto a ripartire, in questo caso dovreste riinstallare il motore.

5. Solo una persona alla volta potrebbe usare l'auto, a meno che compriate "Car95" o "CarNT". Ma poi dovrete comprare altri sedili.

6. Macintosh produrrebbe un'auto che verrebbe alimentata dal sole, affidabile, cinque volte più veloce e due volte più facile da guidare, ma potrebbe andare solo sul 5% delle strade.

7. Le spie dell'olio, della temperatura dell'acqua e dell'alternatore sarebbero rimpiazzare da una singola spia di "difetto generale dell'auto".

8. I nuovi sedili forzerebbero tutti ad avere la stessa dimensione delle natiche.

9. L'airbag chiederebbe "Sei sicuro?" prima di uscire.

10. Occasionalmente senza ragione, la vostra auto vi chiuderebbe fuori e si rifiuterebbe di farvi entrare finchè voi simultaneamente alzate la maniglia della porta, girate la chiave e afferrate il supporto dell'antenna della radio.

11. Gm dovrebbe richiedere che tutti i compratori di auto acquistino anche un deluxe set di mappe stradali di Rand McNally (ora una sussidiaria della Gm), anche sapendo che non ne hanno bisogno o non le vogliono. Il tentativo di cancellare questa opzione causa immediatamente la diminuzione delle prestazioni dell'auto del 50% o più. Inoltre, Gm diventerebbe il bersaglio delle investigazioni del Dipartimento di giustizia.

12. Ogni volta che Gm introducesse un nuovo modello di auto, i compratori dovrebbero imparare come guidare tutto perchè nessuno dei controlli opererebbe nello stesso modo in cui operava nella vecchia auto.

13. Dovreste premere il pulsante di "start" per spegnere il motore».

Il secondo episodio riguarda il c.d. "virus napoletano", o secondo altri il "virus albanese", entrambi contenuti in una e-mail circolata verso il 2003 che riporto:

- virus napoletano: «Ciao, sono un virus di napoli. Data la scarsità di tecnologia, mezzi e risorse economiche, ti prego di cancellare tu un file a caso dal tuo computer e poi di inoltrarmi a qualche altro indirizzo così, a caso».

- virus albanese: «In questa momenta voi avere ricevuto "virus albanese". Siccome noi nela Albania no ha esperienza di softuer è programmaziona, questo virus albanese funziona su principio di fiducia e cooperazione. Allora, noi prega voi adesso cancela tutti i file di vostro ar disc e spedisce questo virus a tutti amici di vostra rubrica. Grazia per fiducia e cooperazione».

Se il primo ricordo (Bill Gaets vs. General motors) è soltanto quello di una simpatica e divertente occasione di lettura, lo stesso non può dirsi di quello collegato al virus napoletano o albanese che nei contenuti rappresenta ciò che in realtà avviene in ambienti poco avvezzi alla sicurezza informatica, e tra essi alcuni se non buona parte dei nostri uffici.

Mi riferisco in particolare all'esperienza fatta in molti uffici nei quali viene consentito al personale di accedere a social networks (es. Facebook) senza la preventiva adozione di adeguate misure di sicurezza.

Prova ne siano il proliferare di virus tipici dell'ambiente Facebook e il grande quantitativo di spamming generato da alcuni sistemi di messaggistica.

Io stesso in passato, per onestà debbo ammetterlo, ho contribuito senza volerlo alla diffusione di virus: utilizzando infatti sistemi Apple non ho mai subìto un attacco virale, ma ho involontariamente girato ai miei corrispondenti alcuni messaggi e testi contenenti virus.

Sembrerà un controsenso, ma ho dovuto installare sui miei computers Apple un programma antivirus capace di individuare i virus per Windows, proprio per evitare di contagiare i sistemi dei miei corrispondenti fedeli a casa Microsoft.

Ma c'è di più: l'aver generato messaggi infetti ha causato l'inserimento del mio Ip nelle black-lists di posta, e solo da poco sono riuscito ad eliminare le conseguenze di tale inconveniente.

Ritornando al tema proposto, altro elemento importante nella gestione della sicurezza è quello relativo alla creazione e conservazione delle varie password utilizzate per l'accesso a programmi e siti internet.

Un esempio ricorrente di mancato rispetto dei principi di sicurezza è la facilità con la quale viene costruita la password per accedere ai sistemi che si utilizzano.

In proposito mi viene in mente un altro aneddoto, occorso a mio figlio durante i lavori di ristrutturazione della sua casa. Un giorno trovò disegnato su una parete un rettangolo con scritto sopra "cassetta di sicurezza": ciò (a detta degli operai) al fine di non collocarla in modo visibile prima della fine lavori ed evitare quindi che estranei potessero vederne l'ubicazione! Sic!

Esattamente la stessa cosa succede nei nostri studi: non c'è la cassetta di sicurezza ma spesso troviamo il post-it con la password attaccato allo schermo o riposto nel cassetto sotto il pc; in altri casi, conoscendo un minimo di informazioni del lavoratore (data di nascita, nome dei figli e così via) si arriva a determinarla facilmente.

Parlare di sicurezza informatica non significa soltanto utilizzare programmi e procedure ad essa finalizzati o dedicati, ma significa, anche e soprattutto, "ragionare" in termini di sicurezza.

Su questo punto molto c'è da dire, e molto c'è da fare per sensibilizzare gli utenti di qualsiasi categoria: è un fatto di cultura, oltre che di anche modeste conoscenze informatiche.

Una responsabilità non piccola è quella che si deve riconoscere a carico delle software houses operanti sul mercato, e non solo quelle a indirizzo notarile.

Spesso accade, infatti, che la sicurezza è indirizzata soltanto all'uso dei loro programmi, mediante la richiesta di passwords da utilizzare per l'accesso alle varie funzioni di programma, ma non per l'accesso (bypassando i programmi) alla basi dati utilizzate.

Stesso discorso per la sicurezza in rete, garantita da chiavi di accesso più o meno elaborate ma raramente da procedure e firewalls affidabili, il che certo non costituisce di per sé sicurezza.

La sicurezza infatti è anche rete: nel tipo di sicurezza che ci viene offerto dalla rete Notartel la categoria di indirizzi Ip assegnata è tipicamente intranet, il che significa delegare a Notartel la sicurezza della nostra rete di studio; un elemento che, tuttavia, in qualche modo mettiamo in secondo piano e sul quale dovremmo riflettere quando ci dotiamo di indirizzi Ip pubblici attraverso un provider esterno il quale ci spalanca le porte di internet.

Un'ultima notazione riguarda una piccola iniziativa. Non è una critica ma un problema oggettivo rilevato dagli stessi tecnici. Sarebbe opportuno cominciare a produrre certificazioni di sicurezza della software house e di tutti coloro che ci forniscono servizi, certificazioni che seppur richieste non sono mai arrivate. Di più, nella realtà locale spesso per interventi nei nostri studi non arriva l'ingegnere della software house ma più facilmente il ragazzino uscito dal liceo che mette mano ad un sistema che per noi è fonte e mezzo essenziale di lavoro e strumento di garanzia per noi ed i nostri clienti.

Per ultimo, grazie a quanto oggi detto da Ugo Bechini, non possiamo fare a meno di notare quanti progressi abbia fatto nel settore informatico il Notariato italiano rispetto alla quasi totalità degli altri Notariati aderenti alla Uinl.

La domanda che ne scaturisce è se in realtà siamo troppo progrediti rispetto all'uso che dell'informatica possiamo fare nei nostri studi, e se possiamo considerare altrettanto progredito il "politico di turno" che legiferando in materia informatica dimostra di non conoscere la materia né sembra volerla conoscere in futuro.

[nota *] Libera trascrizione da registrazione audio dell'intervento al Convegno "Introduzione all'atto Notarile informatico: profili sostanziali e aspetti operativi", organizzato dalla Fondazione italiana per il Notariato, Milano, 28 maggio 2010.