Licenziamento in tronco per l'utilizzo privato delle email? Tanta confusione...

Di recente i giornali hanno riportato una sentenza della corte di Strasburgo relativa al controllo della posta elettronica aziendale dei dipendenti.

"MAIL e messaggi via chat controllati dai datori di lavoro che sono anche autorizzati a licenziare i dipendenti in caso di uso a fini personali durante l'orario d'ufficio. E' questa la sentenza della Corte europea dei diritti umani secondo la quale il controllo della posta elettronica (e dei programmi di messaggistica) e il licenziamento se l'uso è privato, non viola la privacy dei lavoratori."

da Repubblica 

"STRASBURGO - I datori di lavoro possono controllare l'uso che i dipendenti fanno della mail aziendale e sono anche autorizzati a licenziarli in caso di utilizzo a fini personali."

da ANSA

Iniziamo con il dire che c'è stata molta confusione e che gli articoli (di qualsiasi giornale o agenzia, non solo di quelli citati) hanno portato alla luce solo una parte della sentenza, omettendone completamente il resto. Come sempre più spesso accade, si tende al sensazionalismo.

Allo stato attuale, la nostra normativa sulla privacy non prevede l'accesso alle email personali, ovvero tutte le email nominali nome.cognome, n.cognome e così via. Prevede, invece, un utilizzo condiviso e accessibile alle email generiche, come info@, amministrazione@, ufficiotecnico@ etc. E' evidente, quindi, che in assenza di disposizioni diverse, l'accesso alle email personali è perseguibile per legge e non è un'operazione lecita (che poi avvenga o meno, non sta a noi dirlo). In questo articolo scritto quasi 2 anni fa, se ne parla approfonditamente: http://claudiodabbicco.blogspot.it/2014/02/monitoraggio-delle-connessioni.html.

Ogni azienda, tuttavia, ha la possibilità di creare delle policy interne che il lavoratore può anche non sottoscrivere. In caso di reale necessità, quindi, l'azienda può porre dei limiti agli strumenti che mette a disposizione dei propri lavoratori. Può, ad esempio, dichiarare che le email potrebbero essere controllate per "motivi di sicurezza" o "immagine aziendale". Così come potrebbe informare il lavoratore che rispondere ad un'email ufficiale con "xkè" è motivo di licenziamento in tronco, potrebbe anche definire un limite nell'utilizzo, confinando lo strumento all'uso esclusivamente aziendale. E' questo il caso che riguarda i due articoli sopra riportati, ovvero l'azienda poteva visionare le email e l'utilizzo personale della posta elettronica era stato esplicitamente vietato e causava il licenziamento immediato del lavoratore (che ne era a conoscenza perchè aveva sottoscritto la policy aziendale).

Spesso non si considerano aspetti importanti legati ad un utilizzo personale della posta aziendale, come l'esposizione dell'intero dominio a spam, virus, l'invio inutile di loghi aziendali a destinatari privati, l'utilizzo di banda e risorse economicamente a carico dell'azienda. Che differenza intercorre tra utilizzare un'auto aziendale per fini privati ed utilizzare invece l'email? Se l'idea comune è che l'email cada gratis come manna dal cielo e non abbia costi per nessuno... bhè, non è così.

A questo punto, la domanda è: perchè se tutti abbiamo almeno un account gmail, apple, yahoo, libero... non utilizziamo quello e lasciamo che le risorse aziendali vengano utilizzate solo per questo scopo? A prescindere da cosa e come abbiamo firmato. Ritengo sia una soluzione non solo più saggia, ma che ci garantirebbe una serie di vantaggi non da poco (basti pensare ad un cambio di lavoro con la conseguente perdita della propria casella di posta legata a tutti i servizi sottoscritti in anni di navigazione).

NSA, Juniper e Computer Quantistici. Il punto.

Facciamo un attimo il punto su due argomenti d'attualità che riguardano da vicino il mondo della sicurezza informatica.

NSA e la vicenda Juniper

Di recente Juniper, nota e diffusissima azienda di firewall hardware, ha scoperto codice malevolo inserito all'interno del proprio firmware.

http://punto-informatico.it/4290802/PI/News/juniper-firewall-backdoor-incorporata.aspx

Si vocifera che, con ogni probabilità, vi sia un coinvolgimento della solita NSA, l'agenzia di sicurezza nazionale americana. Dopo ricerche e revisioni di codice, si è anche scoperto che governi stranieri erano a conoscenza della backdoor inserita dall'NSA e ne hanno sfruttato l'esistenza per avvantaggiarsi a loro volta e controspiare l'agenzia americana.

Cisco ed altri competitor hanno dichiarato di aver avviato un processo interno di revisione del codice, volto ad identificare intromissioni simili. Non c'è da stupirsi, Juniper non sarà nè la prima nè l'ultima ad essere implicata in questo fenomeno, aspettiamoci casi simili anche su altri contesti e con altri vendor.

Fermo restante che l'injection di codice malevolo a quei livelli difficilmente può avvenire senza aver compromesso una risorsa interna all'azienda, è evidente quanto si svolga quotidianamente una guerra senza esclusioni di colpi. Può lo spauracchio del terrorismo giustificare la violazione costante, incontrollata e violenta della nostra privacy? Intendiamoci, la rete non è un far west, è giusto che gli organi competenti abbiamo strumenti per gestirla... ma fino a che punto i controllori debbano avere carta bianca e poteri illimitati?

Computer Quantistici

E' odierna la notizia di un computer quantistico dichiaratamente funzionante: http://www.repubblica.it/tecnologia/2016/01/08/news/google_il_nostro_computer_quantistico_funziona_-130785803/ originariamente presentato nel 2013.

Tempo fa parlavamo della crittografia quantistica in questo stesso blog. Ricordiamo che un computer quantistico sfrutta il qubit al posto del bit, aprendo a delle potenzialità di calcolo inimmaginabili con l'attuale limitata codifica binaria. https://it.wikipedia.org/wiki/Computer_quantistico

Il risvolto meno noto di avere, ad oggi, un computer quantistico funzionante è la possibilità  di trovare una soluzione a problemi matematici complessi in tempi ragionevolmente brevi. Sembrerebbe una cosa positiva, ma in realtà non lo è soprattutto per determinati settori dell'informatica. Tutta la crittografia moderna si basa su problemi matematici complessi e fattorizzazione di numeri primi. Problemi che, con i mezzi tradizionali, richiedono una capacità di calcolo estremamente elevata e, di conseguenza, un tempo estremamente lungo per essere risolti e quindi vanificare il processo crittografico. Sostanzialmente l'avanzare della capacità di calcolo, così come lo è stato l'introduzione del calcolo distribuito (basti pensare a macchine zombie e botnet integralmente dedicate a questo scopo), è un vero e proprio incubo che avvicina sempre più pericolosamente il bastone e la carota.

Morale della favola: se una macchina è in grado di sfornare performance 100 milioni di volte maggiori nella capacità di calcolo, questo non può che minare direttamente le basi della crittografia, riscrivendo il paradigma per cui "se per forzare questa chiave ho bisogno di 10 anni, allora è sufficientemente sicura".

Che vantaggi ha invece l'impiego della tecnologia, ad oggi, nel mondo reale? Probabilmente quasi nessuno (eccezione fatta per pochi isolati casi), perchè la capacità di calcolo è già da tempo solitamente abbondante nelle nostre sale CED e non è probabilmente più il fattore limitante da molti anni. Basti pensare a quanto il mondo dello storage sia rimasto indietro, con latenze e performance dettate da lenti accessi magnetici ancora in uso per via della relativa giovinezza (e quindi costo) del mondo SSD. Intendiamoci, c'è scenario e scenario.