La digitalizzazione procede a passo di gigante, e con essa l'importanza della comunicazione sicura. Un recente verdetto giudiziario mette in evidenza quanto sia importante le misure di sicurezza adeguata per l'invio di email – soprattutto quando si tratta di transazioni finanziarie. Cosa significa questo per le aziende? E quali metodi di cifratura sono realmente sicuri?
Sentenza di tribunale: la sicurezza insufficiente può essere cara
Un'azienda è stata recentemente citata in giudizio perché una fattura inviata era stata manipolata da un attacco hacker. Il cliente si rifiutò di pagare la fattura falsificata e il tribunale gli diede ragione! La ragione: l'azienda non aveva adottato misure di sicurezza adeguate al momento dell'inoltro della fattura.
La sentenza del Tribunale di Appello dello Schleswig-Holstein del 18.12.2024 (n. 12 U 9/24) chiarisce: le imprese sono responsabili secondo la Regolamentazione Generale sulla Protezione dei Dati (GDPR) se non proteggono adeguatamente i dati sensibili. L'uso semplice della crittografia dei trasporti non è sufficiente, in particolare quando si tratta di alti rischi finanziari. È stata ammessa la revisione della sentenza.
Un altro tribunale ha deciso il contrario, almeno per le autorità: Il TAR di Münster Il 20 febbraio 2025 è stato deciso (n. 16 B 288/23), che le autorità non sono tenute a inviare e-mail con crittografia da fine a fine.
Le sentenze giudiziarie hanno le seguenti conseguenze sul traffico di posta elettronica sicuro:
L'importanza della crittografia per le e-mail sicure
La base per email sicure è la crittografia. Questa tecnologia serve a proteggere informazioni sensibili durante il trasferimento e a mantenerle al riparo da accessi non autorizzati.
Immaginate che la vostra e-mail sia come una lettera che passa da diverse mani prima di raggiungere il destinatario. Senza crittografia, il contenuto della lettera sarebbe accessibile a chiunque lo tenga in mano. La crittografia invece assicura che il contenuto della vostra e-mail possa essere letto solo dal mittente e dal destinatario.
Le e-mail possono essere lette sul web, quindi la crittografia a due estremità protegge i dati sensibili. I metodi di crittografia ibrida combinano procedure per una comunicazione sicura. Le firme digitali garantiscono l'integrità delle e-mail.
Ci sono due tipi principali di crittografia: crittografia del trasporto e crittografia da un'estremità all'altra. Le e-mail vengono oggi solitamente crittografate durante il trasporto, ma non sono crittografate da un'estremità all'altra.
La crittografia dei trasporti protegge le tue e-mail durante il trasporto tra il tuo programma di posta elettronica e il server del tuo fornitore. Molti fornitori di posta elettronica supportano questo tipo di crittografia per proteggere i tuoi dati già in questo modo.
La crittografia a senso unico offre un livello di protezione ancora più alto. Questa tecnologia crittografa le tue e-mail in modo che solo l'inviatore e il destinatario possano decritturarle. Anche il tuo fornitore di posta elettronica non può leggere i contenuti delle tue mail.
In relazione alla sentenza ciò significa:
- La crittografia dei trasporti: protegge i dati durante il trasferimento da A a B. Immaginate un plico chiuso che viene protetto durante il viaggio alla posta. Ma questo non è sufficiente per la corte, perché il fornitore di servizi di trasporto ufficialmente non è così affidabile come la Deutsche Post.
- Crittografia fine a fine: crittografa i dati in modo che solo l'inviatore e il destinatario possano leggerli. L'inviatore crittografa i dati, e solo il destinatario può decifrarli con una chiave. Il fornitore di posta elettronica non ha accesso al contenuto. Il tribunale ha sottolineato che per la trasmissione di fatture con potenziali rischi finanziari alti, l'end-to-end crittografia è il protezione adeguata. La crittografia del trasporto è meglio di nessuna crittografia, ma non offre un protezione completa contro attacchi mirati.
Per una crittografia end-to-end è necessario che mittente e destinatario stipulino un accordo individuale. Di solito ciò avviene mediante lo scambio di chiavi o certificati elettronici.
La comunicazione tra te e il destinatario è assolutamente sicura con la crittografia end-to-end. Ci sono diversi plugin per i client di posta che puoi utilizzare per attivare questa modalità di crittografia. È particolarmente importante utilizzare la crittografia end-to-end quando scambi informazioni sensibili come password, dati finanziari o questioni personali via e-mail.
Firme Digitali: Sicurezza attraverso Autenticazione
Oltre alla crittografia, la firma digitale offre un altro importante meccanismo di protezione per le vostre e-mail.
Una firma digitale è come un'etichetta elettronica che si può apporre alle proprie email. Questa firma conferma che la comunicazione proviene effettivamente da te e non è stata alterata. Il destinatario può verificare questa firma per assicurarsi che l'email sia autentica e non manipolata.
Le firme digitali sono particolarmente utili per le comunicazioni commerciali importanti o quando si vuole assicurarsi che i messaggi non siano stati modificati.
La scelta giusta: crittografia vs firma digitale
La crittografia e le firme digitali contribuiscono alla sicurezza delle email, ma svolgono funzioni diverse.
La crittografia protegge il contenuto delle tue e-mail da accessi non autorizzati, mentre la firma digitale conferma l'autenticità del messaggio. In molti casi è sensato combinare entrambe le tecnologie per garantire un completo scudo alla tua comunicazione.
La prova a carico dell'azienda
È importante anche il fatto che le aziende abbiano la prova che hanno adottato tutte le misure di sicurezza necessarie. Se i dati vengono compromessi a causa di insufficienti misure di sicurezza, l'azienda deve dimostrare di aver soddisfatto gli obblighi di diligenza.
Che cosa significa questo per le aziende?
In contrasto con le autorità, le aziende hanno ora più compiti da svolgere:
- Valutazione del rischio: considerare il rischio concreto e il danno potenziale alla scelta della metodologia di cifratura.
- Crittografia end-to-end: utilizzate la crittografia end-to-end per i dati sensibili, in particolare le fatture e le richieste di pagamento.
- Documentazione: Documentare tutte le misure di sicurezza per poter dimostrare, in caso di incidente, di aver adempiuto ai propri doveri di diligenza.
- Formazione: Insegui i tuoi dipendenti a gestire dati sensibili e metodi di comunicazione sicuri.
Il seguente diagramma illustra le conseguenze dei giudizi esposti nella spedizione di e-mail:
Questo diagramma è stato creato con il supporto dell'intelligenza artificiale (IA locale).
Conclusione
È spesso difficile stabilire i dettagli di un attacco informatico e dimostrare il collegamento tra la violazione d'obbligo dell'autore e l'evento dannoso prodottosi.
La trasporto cifratura non offre un sufficiente protezione nel caso di alto rischio finanziario, la end-to-end cifratura è consigliata. La end-to-end è complesso e deve essere concordato individualmente. La compatibilità dei servizi di cifratura varia a seconda del programma di posta elettronica o fornitore di posta (ad esempio Gmail, Outlook, Yahoo).
Le imprese devono considerare il rischio concreto e il potenziale danno al momento della scelta del metodo di cifratura. La cifratura impedisce che il contenuto di un'e-mail possa essere letto senza la chiave corrispondente. Ciò è particolarmente importante per i dati personali sensibili.
Quali sono i dati personali sensibili?
- Dati dai quali si evincono l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche di una persona
- Affiliazione sindacale
- Dati genetici, dati biometrici, che vengono trattati esclusivamente per l'identificazione univoca di una persona naturale
- Dati di salute
- Dati sul comportamento sessuale o sull'orientamento sessuale di una persona
Fonte: Commissione europea
La prova dell'osservanza delle norme sulla protezione dei dati è a carico del responsabile.
Molte assicurazioni contro la cybercrimine non coprono automaticamente i danni causati da attacchi hacker o offrono un'assicurazione limitata.
Consigli
Utilizzare una crittografia end-to-end ogni volta che possibile, soprattutto quando si comunica regolarmente tra diverse sedi.
Solo in caso di necessità la persona interessata dovrebbe essere chiesta se è d'accordo con l'invio dei suoi dati, cifrati durante il trasporto. Ma ciò potrebbe svegliare i cani addormentati.
In luogo di un'email non crittata, il Spedizione a mezzo posta può essere scelto come metodo di trasmissione sicuro. Alternativamente si possono utilizzare procedure come S/MIME o PGP. Anche gli allegati protetti da password sembrano buone opzioni. Il passwrod dovrebbe però essere inviato tramite un altro canale, ad esempio via SMS. Dovrebbe essere cambiato almeno regolarmente, se si verifica una comunicazione più frequente (protetta).
Imprese e privati dovrebbero essere sempre cauti al momento della trasmissione di pagamenti e non effettuare pagamenti a conti sconosciuti o sospetti.
I responsabili della protezione dei dati dovrebbero informare i loro clienti in modo adeguato per limitare la propria responsabilità.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
