Il tema della sicurezza informatica dello studio professionale, ed in particolare dello studio notarile, è sicuramente ostico. Si tratta di un argomento che risulta difficilmente comprensibile ai professionisti ed ai notai, i quali spesso se ne disinteressano, in quanto presuppone alcune conoscenze tecniche che normalmente non risiedono nel bagaglio del professionista.

Alla base del disinteresse per questa tematica c’è anche la convinzione che uno studio professionale sia un bersaglio poco appetibile per i pirati informatici. Questo fa sì che il professionista tenda ad investire poco sull’informatica dello studio ed in conseguenza generalmente gli studi professionali siano potenzialmente delle prede facili per chi vuole compiere un attacco informatico, posto che in realtà gli attacchi agli studi professionali negli ultimi anni ci sono stati. Basti pensare all’esperienza vissuta da un commercialista di Battipaglia il quale a causa di un criptovirus (ransomware) perse il controllo dei computer del proprio studio mettendo a repentaglio numerose dichiarazioni dei redditi pronte per l’invio, a pochi giorni dalla scadenza dei termini. A quel punto il professionista dovette scegliere se pagare un riscatto per riavere indietro il frutto del proprio lavoro oppure rifare tutte le dichiarazioni. Alla fine decise di optare per quest’ultima ipotesi esponendosi a turni di lavoro massacranti, oltre al rischio di errori di compilazione.

Oggi quindi cercherò di fornire alcune pillole che aiuteranno a capire come tutelarsi da una serie di pericoli ed evitare sanzioni.

Innanzitutto, occorre capire cosa si intende per attacco informatico.

Il cyber attacco consiste in una intrusione all’interno di un sistema informatico, tesa a modificare, cancellare o estrarre dati e/o provocare malfunzionamenti.

Questo tipo di attacco può avvenire sia localmente, sia dalla rete.

Localmente può avvenire ad es. attraverso l’introduzione di chiavette USB che possono portare all’esecuzione di Exploit, oppure tramite una intrusione all’interno della rete sfruttando delle falle del WI-FI.

Dalla rete, invece, l’intrusione può avvenire sfruttando delle falle dei sistemi di protezione (antivirus, firewall, sistema operativo, sistemi di autenticazione etc).

Per capire se uno studio è vulnerabile a potenziali attacchi, la prima cosa da fare è verificare il tipo di infrastruttura di rete.

Esistono fondamentalmente 3 tipi di configurazioni:

1) una prima configurazione che può essere individuata è quella dove i computer della rete sono direttamente connessi (via Wi-Fi o LAN) ad un modem/router che a sua volta è connesso direttamente alla rete. In questo caso, a fronte di una semplicità di installazione e configurazione, i rischi di un attacco sono notevoli: non esistono, infatti, in questa infrastruttura sistemi di protezione di nessun tipo ed un malintenzionato una volta avuto accesso alla rete può agire indisturbato;

2) una seconda configurazione, che è possibile definire intermedia, è quella dove i computer sono connessi ad uno o più router, i quali a loro volta sono collegati ad un modem connesso alla rete. In questo caso un eventuale accesso lato modem non equivale automaticamente ad un accesso sui terminali, in quanto questi sono schermati dal router che al suo interno può contenere ulteriori sistemi di protezione tesi ad impedire l'accesso;

3) la terza configurazione, che definisco avanzata, si ha quando tra i router ed il modem è presente un firewall fisico e cioè un ulteriore dispositivo che ha il compito di schermare in maniera molto efficace la rete interna ed impedire accessi indesiderati.

Disponendo di una infrastruttura di rete corretta e seguendo le regole anzidette il pericolo del cyber attacco è molto remota.

Ma cosa succede se il notaio non custodisce bene i dati?

Innanzitutto, per rispondere a questa domanda occorre rammentare che ai sensi dell’articolo 1 della Legge Notarile “i notari sono ufficiali pubblici istituiti” non solo “per ricevere gli atti tra vivi e di ultima volontà” e “attribuire loro pubblica fede”, ma altresì, quale primaria funzione, per “conservarne il deposito”. La funzione di conservazione si arricchisce, poi, ai sensi dell’articolo 61 della medesima legge di un susseguente e non meno importante obbligo, ossia dell’obbligo di esatta custodia in luogo sicuro. Tale ultimo obbligo, già sanzionato dagli articoli 137 e 138 e 142 della Legge Notarile, risulta essere ancor più rafforzato dopo l’emanazione della Legge n. 340/2000, che al suo articolo 36 sancisce l'assoluto divieto di asportazione degli atti dai locali in cui sono conservati per legge. L’articolo 47-ter della Legge Notarile, espressamente prevede, poi, che le dette disposizioni di conservazione si applicano anche ai documenti ed agli atti pubblici informatici.

Il secondo profilo da considerare, poi, è quello del trattamento dei dati personali, alla luce del c.d. Codice della Privacy il prevede l’adozione delle misure di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali, la cui omissione è punita con pesanti sanzioni. 

Inoltre il Regolamento UE 2016/679 sulla Privacy in materia di Protezione dei Dati Personali, noto anche come GDPR, General Data Protection Regulation, introduce nuove regole in termini di verifiche periodiche sul processo di trattamento dei dati, di analisi dei rischi di sicurezza connessi.

Pertanto evitare attacchi informatici non è una attività fine a se stessa, ma è da un lato un investimento per lo studio e dall’altro un obbligo di legge la cui violazione, come visto può comportare pesanti sanzioni.