Sicurezza informatica e aste telematiche

Rischi informatici nello svolgimento delle aste telematiche
Sicurezza informatica e aste telematiche

Sommario:

  1. La sicurezza informatica fra pericoli reali e rischi percepiti
  2. Il World Wide Web (WWW) nel "mondo Giustizia"
  3. Riflessi nel mondo delle esecuzioni forzate
  4. Il piano di sicurezza e la certificazione ISO27001
  5. Le tipologie di attacco alle vendite telematiche: causa ed effetto
  6. La certificazione dello svolgimento della vendita: I Files di Log 
  7. Verificare la Cyber-Security di una piattaforma per le aste telematiche 

 

  1. La sicurezza informatica fra pericoli reali e rischi percepiti

Nonostante la sicurezza informatica sia divenuto un argomento di attualità, specialmente a seguito dell’attacco noto come WannaCry avvenuto nel corso del 2017, sembra che la consapevolezza dell'importanza della cyber-security non abbia ancora raggiunto il giusto livello di attenzione, seppure in questi ultimi anni sia considerevolmente aumentata.

Peraltro, all’insufficiente sensibilità verso il tema della sicurezza informatica si contrappone la preoccupante circostanza che l'Europa, e l'Italia in particolare, sono nel mirino degli hacker. Tra aziende ed enti pubblici italiani, l’81% dichiara ha avere subito attacchi nel corso dell’ultimo anno ma solo un terzo ritiene di disporre di competenze e capacità tecniche in grado di rilevare le intrusioni.

Forse, una delle ragioni dell’inadeguata attenzione al tema risiede nell’erronea convinzione che il fenomeno riguardi solo transazioni finanziarie, mentre i fatti dimostrano che gli scopi perseguiti dagli hacker concernono anche ben altri interessi.

Le infrastrutture tecnologiche sono molto spesso obsolete, non solo da un punto di vista dell’hardware ma anche – e soprattutto – da quello del software. Molti dei servizi oggi erogati via web sono distribuiti con tecnologie che non sono al passo con i tempi. Una web application ha bisogno di essere sviluppata seguendo precisi protocolli di sicurezza e deve essere costantemente aggiornata.

Anche la pubblica amministrazione si affaccia sempre di più all’utilizzo del web, offrendo servizi online ai cittadini, e ciò comporta considerevoli vantaggi, perché evita l’accesso fisico degli utenti alle strutture, elimina il fastidio delle file e delle attese e migliora la qualità e la tempistica del servizio. Tuttavia, allo stesso tempo, espone sia gli enti che rilasciano il servizio sia gli utenti che ne usufruiscono al rischio di sottrazione di dati sensibili.

 

  1. Il world wide web (www) nel “mondo Giustizia”

Anche il mondo della Giustizia sta vivendo in questi anni un forte processo di informatizzazione, dall’introduzione di servizi via web proposti dai singoli uffici giudiziari all’informatizzazione dei processi civile, penale e amministrativo. Una rivoluzione senza precedenti che, tuttavia, molto spesso sottovaluta aspetti di sicurezza fondamentali proprio per la delicatezza del contenuto dei dati trasmessi.

                       

ATTACCO ALLA HOME PAGE DEL SITO DEL TRIBUNALE DI MILANO - 2013 -

I fatti di cronaca hanno puntualmente confermato questi rischi: l’attacco al sito del Tribunale di Milano nel 2013 e il recente hackeraggio del sito della Scuola Superiore della Magistratura, solo per citare gli episodi più noti, hanno dimostrato che non tutte le infrastrutture sono sicure. Il problema di fondo non è il solo danno di immagine dell’Istituzione, ma anche il pericolo per la sicurezza delle informazioni di cui lo stesso Ufficio è garante. Quegli attacchi (in gergo sql-injection) sono consistiti infatti in vere e proprie intrusioni nei database delle pubbliche amministrazioni, i cui dati possono poi essere sfruttati nei modi più disparati.     

                                                                                                                     

ATTACCO AL SITO DELLA SCUOLA SUPERIORE DELLA MAGISTRATURA

Il defacing (così si definisce in gergo tecnico l’azione di sostituire illecitamente la home page di un sito web, ossia la sua “faccia”) o la modifica di una o più pagine interne sono solo alcuni tra gli interventi possibili una volta preso il controllo del sito internet e quindi avere ottenuto la facoltà di leggere e scrivere il suo contenuto. Agli interventi “di facciata”, più eclatanti perché ben visibili, ma – se si vuole – meno pericolosi se non per il danno all’immagine che ne deriva, spesso si accompagnano attività intrusive ben più gravi, consistenti nella sottrazione, manipolazione o alterazione dei dati detenuti dall’Ufficio o dall’azienda. Il più delle volte, oltretutto, non è semplice né rapido accorgersi dell’avvenuta violazione del sistema o comprendere esattamente l’entità del danno o della perdita di dati subìta.

  1. Riflessi nel mondo delle esecuzioni forzate

Oggi più che mai anche il mondo delle esecuzioni forzate è coinvolto in questo processo evolutivo. Con l’uscita delle specifiche tecniche relative alle modalità di pubblicazione sul Portale delle Vendite Pubbliche (http://pvp.giustizia.it) previste dall’art. 161-quater disp. att. c.p.c., è divenuta obbligatoria non solo la pubblicazione dell’inserzione pubblicitaria nel PVP ma anche la vendita telematica di beni mobili e immobili pignorati.

Senza soffermarci troppo sui dettagli del complesso quadro tecnico-giuridico, va considerato in particolare che le offerte devono essere compilate per il tramite di un software online in grado di generare una sorta di busta virtuale che l’utente poi deve trasmettere tramite PEC direttamente al Ministero della giustizia.

Le buste restano, fino al giorno della loro apertura, nel server del Ministero, che pertanto si assume il ruolo di garante della riservatezza delle offerte telematiche. Il giorno dell’asta le buste vengono trasmesse alle piattaforme dei “Gestori delle vendite telematiche”, costituite da società private che mettono a disposizione dei delegati alla vendita e degli offerenti i propri server ed i propri software per il concreto svolgimento della gara online.

Focalizzando l’attenzione sulla sicurezza è naturale quindi chiedersi se le software house che sono state autorizzate dal Ministero (e iscritte nell’apposito Albo) come Gestori delle vendite telematiche sono soggetti informaticamente sicuri?

 

  1. Il piano di sicurezza e la certificazione ISO27001

L’iscrizione all’albo dei gestori della vendita prevede, tra le altre cose, la trasmissione al Ministero della giustizia di un Piano della sicurezza, ma il documento è scritto dallo stesso gestore, senza alcuna verifica da parte del Ministero o di un ente terzo che ne certifichi l’attuazione e l’attendibilità, come invece avviene per le società private iscritte come punto di accesso (PDA) del Processo Civile Telematico (PCT).

Una valida alternativa è ricorrere spontaneamente a enti certificatori esterni che verifichino il Piano della sicurezza e i contenuti in esso riportati.

L’ISO, l’Organizzazione Internazionale per la Normazione, ha definito le specifiche per un Information Security Management System (ISMS). In particolare, lo standard ISO/IEC 27001:2013 è l'unica norma internazionale certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni),  progettata proprio per garantire controlli di sicurezza adeguati e proporzionati. Le software house che spontaneamente si sottomettono a questo standard operativo possono chiedere di essere certificate da un organismo di certificazione indipendente ed accreditato ISO.

Sebbene l’iscrizione al Registro dei gestori delle vendite telematiche non preveda l’obbligatorietà questo tipo di certificazione, è auspicabile che gli utilizzatori finali (i tribunali o i professionisti delegati alla vendita) focalizzino la loro scelta verso piattaforme offerte da software house certificate ISO27001.

D’altro canto, anche L’AGID (Agenzia per l’Italia Digitale), nel Piano triennale per l’informatica nella P.A. 2017-2019, menziona proprio la certificazione ISO27001 tra le best practice di sicurezza: “Per assicurare il continuous monitoring, raccomandato dalle best practice di sicurezza (es. ISO 27001, documentazione NIST), le Pubbliche amministrazioni provvederanno alla verifica dello stato di aggiornamento dei software impiegati in ogni singola amministrazione rispetto a vulnerabilità note pubblicate da uno o più soggetti di riferimento (ad es. CERT nazionali o basi di dati di vulnerabilità)”.

Anche la circolare AGID n. 65/2014, nel definire le linee guida sulla conservazione dei documenti informatici per la P.A., stabilisce, tra i vari requisiti, un preciso obbligo di certificazione ISO/IEC27001:2013, oltre alla trasmissione dei rapporti di sorveglianza periodica dello stesso organismo di certificazione ISO.

 

  1. Le tipologie di attacco alle vendite telematiche: causa ed effetto

Con il passaggio alle vendite telematiche si allontana il pericolo della turbativa d’asta “classica”, perché si evita che gli offerenti debbano necessariamente incontrarsi per partecipare fisicamente alla gara. Tuttavia, per quanto descritto in precedenza, non è difficile pensare che si possa andare incontro a nuove forme di turbativa.

Infatti, come potrebbe svolgersi l’asta telematica se al momento dell’apertura delle buste la piattaforma non fosse raggiungibile? Cosa succederebbe se un hacker si introducesse nel sistema durante la vendita, falsando i rilanci? Questi sono solo alcuni esempi di potenziali attacchi alle piattaforme delle vendite telematiche.

Per meglio chiarire quali sono i pericoli che si possono correre, analizziamo le varie tipologie di attacco, il relativo effetto e le possibili difese.

Attacco DDOS

Secondo gli esperti di sicurezza di Akamai - tra i maggiori fornitori al mondo di servizi CDN (Content delivery network, reti per la distribuzione dei contenuti) – l’attacco DDOS è la minaccia informatica per eccellenza.

L’attacco DDOS, acronimo di Distributed Denial of Service (interruzione distribuita del servizio, in italiano), è un attacco perpetrato con lo scopo di saturare le risorse (informatiche e di rete) di un sistema informatico che distribuisce diverse tipologie di servizio. Nell’ambito del networking, dunque, un attacco DDOS punta a rendere irraggiungibile un sito o un server saturandone la banda di comunicazione. La banda viene saturata inviando pacchetti di dati “fasulli” che riempiono il canale di comunicazione.

Un attacco DDOS durante lo svolgimento di un’asta telematica può rendere irraggiungibile la piattaforma sia al professionista delegato alla vendita, sia agli offerenti, costringendo al rinvio della gara. Poiché la data del rinvio sarà pubblicata nel nuovo avviso di vendita, l’attacco potrebbe ripetersi di volta in volta con lo scopo ultimo di non far svolgere quella vendita.

Per difendersi dall’attacco DDOS è necessario che la software house prescelta dal delegato o dal giudice come gestore delle vendite abbia a disposizione, nella sua infrastruttura tecnologica, un sistema capace di identificare e “aspirare” i pacchetti dati “fasulli”, facendo passare solo quelli corretti, in modo da lasciare il canale di comunicazione libero e accessibile.

Attacchi di SQL-Injection

L’attacco di tipo SQL Injection sfrutta le vulnerabilità del codice sorgente di un’applicazione al fine di impartire comandi, leggere o scrivere informazioni come se a farlo fosse un utente con il massimo dei privilegi. Si tratta, in buona sostanza, di un’intrusione nel database dell’applicazione che potrebbe dare all’hacker la facoltà di leggere le informazioni e di modificarle.

Nella vendita telematica, un attacco di SQL-Injection potrebbe permettere all’hacker di cancellare offerte dalla piattaforma, eliminare utenti o sabotarne le offerte.

Per difendersi da un attacco SQL-Injection è necessario che la piattaforma informatica del gestore delle vendite telematiche sia stata programmata con meticolosa precisione. Facendo riferimento a quanto descritto in precedenza, è necessario – in particolare – che la software house abbia predisposto una serie di contromisure: siano stati effettuati dei penetration test (prove di intrusione); siano stai seguiti adeguati criteri di sicurezza nella stesura del codice sorgente; si adottino sistemi in grado di tenere traccia degli accessi al codice stesso e delle eventuali modifiche effettuate; vengano gestiti i sistemi mediante personale esperto, adottando particolari protocolli per il loro aggiornamento.

 

  1. La certificazione dello svolgimento della vendita: i Files di Log

Concludendo questa breve panoramica sulla sicurezza è senza dubbio importante sottolineare un altro aspetto dell’introduzione delle aste telematiche e cioè la necessità giuridica di “certificare” tutte le fasi dello svolgimento della vendita.

Le varie fasi, infatti, non solo devono essere tracciate dalla piattaforma informatica ma è necessario che il “registro” di questa tracciatura abbia valore legale e sia opponibile ai terzi come prova certa anche in un eventuale giudizio di opposizione agli atti esecutivi.

Tutte le operazioni che avvengono dal momento dell’autenticazione degli offerenti all’asta fino all’aggiudicazione del bene, con particolare riferimento all’apertura delle buste telematiche e alla fase dei rilanci, devono essere registrate nei server del gestore in particolari registri denominati LOG.

I LOG non sono altro che la registrazione cronologica delle operazioni in specifici files  salvati nei server del gestore.

Ma che valore hanno i files di log?

Se un offerente rivendicasse di aver fatto un rilancio in realtà mai avvenuto, è compito del gestore certificare il fatto che l’utente non lo abbia veramente effettuato mostrando il registro. Tuttavia, l’offerente potrebbe contestare la veridicità del registro del gestore. Il Tribunale di Chieti in data 30 maggio 2006 ha depositato una sentenza relativa ad una imputazione per il reato di detenzione abusiva di codici di accesso a sistemi informatici di cui all’art. 615-quater c.p. Il procedimento si è concluso con l’assoluzione dell’imputato ai sensi del secondo comma dell’art. 530 c.p.p. per mancanza, insufficienza o contraddittorietà della prova. In particolare, secondo il Tribunale, le indagini non sarebbero state sufficientemente approfondite, “poiché ci si limitò ad interpellare la ditta senza alcuna formale acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di assicurare la genuinità e l’attendibilità nel tempo”. Il Tribunale, ha ritenuto che mancassero le garanzie di genuinità ed integrità dei file di log acquisiti, definiti nella sentenza “dati tecnici di particolare delicatezza e manipolabilità”.

Pertanto è fondamentale che la software house che agisce come gestore della vendita telematica per conto del delegato o del tribunale garantisca l’inalterabilità dei files di log mediante un procedimento specifico di marcatura temporale degli stessi.

 

Altro evento, più vicino al mondo delle aste telematiche si è verificato in tema di annullamento di un provvedimento di esclusione da una gara di appalto. Con la sentenza n. 1942 del 2012, il T.A.R. della Regione Lombardia ha accolto il ricorso della società Baxter S.p.A. per l’annullamento del provvedimento di esclusione dalla procedura di gara indetta e gestita in via informatica – tramite una piattaforma ”SinTel” – dalla Lombardia Informatica S.p.A.. Secondo quanto affermato dalla stazione appaltante, la Baxter S.p.A. all'atto della presentazione dell'offerta in via elettronica avrebbe sottoscritto ed immesso nel sistema, in luogo della dichiarazione di offerta economica, un documento vuoto, cioè un file di dimensioni pari a 0 kb, privo quindi dei contenuti richiesti. Il giudice amministrativo, dichiarando ammissibile il ricorso, ha disposto il mezzo istruttorio della verificazione avendo la necessità di chiarire se il file inviato elettronicamente dalla concorrente fosse effettivamente un file vuoto. In sede di consulenza tecnica, il verificatore ha chiarito che, non essendo il file marcato temporalmente, ogni riferimento a data e ora sarebbe inattendibile, né utile a dirimere la verificazione. Infatti, secondo quanto riscontrato, le registrazioni (LOG) non contenevano dati necessari a ricostruire gli eventi relativi alla transazione con la quale la società ricorrente ha presentato l'offerta. Questo era determinato dal fatto che la piattaforma non consentiva una completa tracciabilità delle operazioni e non garantiva l'inalterabilità delle registrazioni stesse.

Anche per le aste telematiche è quindi fondamentale che i files di LOG vengano archiviati dai gestori con una marcatura temporale, affinché possano poi essere presi in considerazione in caso di eventuale controversia.

 

  1. Verificare la Cyber-Security di una piattaforma per le aste telematiche

Resta sul fondo un unico interrogativo: il tribunale o il professionista delegato come possono sapere se la piattaforma del gestore delle vendite telematiche è progettata in modo tale da resistere a possibili attacchi di hacker?

In effetti, probabilmente questi soggetti non possiedono gli strumenti necessari per effettuare direttamente simili verifiche. Dovranno quindi ricorrere a elementi indiziari indiretti.

Come descritto in precedenza, occorrerebbe anzitutto richiedere la dimostrazione dell’effettiva attuazione di tutti gli accorgimenti necessari ad elevare al massimo il livello di sicurezza della piattaforma mediante una certificazione ISO/IEC 27001:2013.

Poiché tutte le piattaforme e i siti web sono prima o poi fatti oggetto di attacchi informatici, un’altra soluzione ragionevole è quella di guardare la “storia” del gestore per verificare se in altre occasioni egli sia rimasto vittima di hackeraggi andati a bersaglio.

Infine, un criterio efficiente può essere quello di guardare al prestigio delle firme delle altre software house con cui collabora il gestore, giacché che fra gli operatori informatici è molto più semplice riconoscere i rispettivi valori reputazionali.