Icons created by Freepik - Flaticon

Comunicazione a mezzo email

Oggigiorno la comunicazione tra persone, enti, istituzioni, società e organizzazioni è fondamentalmente digitale.

Secondo alcune statistiche presenti sul web, le email generano un traffico quotidiano che è tendenzialmente in aumento come emerge dai dati sotto riportati:


20212022202320242025
319.6333.2347.3361.6376.4
Traffico quotidiano in miliardi di email business e consumer - Fonte: www.radicati.com

Pertanto, nel 2022 è previsto un traffico giornaliero di mail pari a 333.2 miliardi di email (in numeri 333.200.000.000 🙄).

Tuttavia, non è tanto l’enorme quantità di traffico email a stupirci, quanto la totale inconsapevolezza degli utenti in ordine alla necessità di proteggere il contenuto di ciascuna email.
Infatti, nel traffico giornaliero come sopra descritto, una imponente percentuale di mail viene inviata “in chiaro” e cioè senza l’adozione di soluzioni crittografiche che proteggano il contenuto di ciascun messaggio.

A nostro avviso, dovrebbero essere sempre cifrate by default le mail che inviamo indifferentemente se si tratti di messaggi personali o di lavoro; non ci dovrebbe essere alcuna distinzione, posto che il principio della riservatezza della corrispondenza non fa differenze.

Non serve riportare dettagliatamente le norme giuridiche di riferimento - quanto meno a livello europeo - che disciplinano la riservatezza e la protezione dei dati personali.
In Europa i diritti alla riservatezza e alla protezione dei dati personali sono qualificati come diritti fondamentali.

Probabilmente, vale la pena di domandarsi perché nel 2022 le persone ancora non utilizzano per lo scambio di email sistemi di crittografia, mentre si preoccupano di scegliere app per la messaggistica istantanea che invece adottano protocolli di sicurezza.
Sembra quasi come se si ponesse maggiore attenzione alla sicurezza delle comunicazioni con app di messaggistica istantanea e meno a quelle mediante email.

Evidentemente, si ha una percezione della sicurezza come sinonimo di protezione e quindi anche di riservatezza.
In realtà si tratta di concetti profondamente diversi ma complementari tra loro.
Vale il seguente postulato


Security ≠ Privacy

Qual è il motivo, in termini di privacy e sicurezza nella comunicazione, in base al quale ci si dovrebbe preoccupare maggiormente della messaggistica istantanea e in modo più trascurabile delle email?

App di messaggistica istantanea e privacy

Abbiamo già scritto sulle app di messaggistica istantanea maggiormente note (WhatsApp, Signal, Telegram) e sui rischi da esse derivanti non tanto (o meglio non solo) per gli aspetti di sicurezza ma soprattutto per il limite in capo all’utente di poter avere il pieno controllo sui propri dati personali1.

Ciò che risulta aberrante è assistere a come si utilizzino con massima leggerezza app di messaggistica istantanea in ambito lavorativo pubblico e privato, nonché da parte di chi riveste ruoli istituzionali.

Soggetti pubblici e anche coloro che ricoprono ruoli istituzionali dovrebbero astenersi dall’utilizzo di app di messaggistica istantanea come WhatsApp, basate su sistemi centralizzati e che non consentono all’utente di avere il pieno controllo sui propri dati e sul contenuto della comunicazione.
Per la comunicazione via email i soggetti pubblici e coloro che ricoprono ruoli istituzionali hanno a disposizione indirizzi email con dominio proprio.
Molto frequentemente, però, si utilizzano smartphone personali ad uso promiscuo anche per esigenze di servizio.
Non ci sembra che questa sia una soluzione corretta.

Tuttavia, al di là della nostra opinione che potrebbe non essere condivisa, ci si dovrebbe domandare se gli utilizzatori di app come WhatsApp sono consapevoli della sorte dei metadati, anche qualora i contenuti dei messaggi fossero criptati.

In realtà, ci si aspetta proprio da soggetti pubblici e da coloro che ricoprono ruoli istituzionali un’attenzione speciale verso i contenuti delle loro comunicazioni, non soltanto in termini di sicurezza, ma anche riguardo al rispetto della disciplina in materia di protezione dei dati personali e privacy.

Quanti data breach per l’inoltro di messaggi o di screenshot?

Questi soggetti sono completamente dipendenti nella loro comunicazione (che coinvolge ovviamente anche i destinatari) dalle società che hanno sviluppato le app e certamente non hanno il pieno controllo dei propri dati (anche) personali nell’utilizzo di sistemi centralizzati.

La ricezione di messaggi mediante app di messaggistica istantanea come WhatsApp susciterebbe in noi estrema preoccupazione e questo è solo uno dei motivi per i quali abbiamo deciso di non utilizzarla.

Ti preoccupi della riservatezza dei contenuti delle tue mail?

Non intendiamo attribuirci o indossare necessariamente il vessillo della “privacy”, ma è - come già detto in più di una occasione - spesso viene sottovalutato il profilo della privacy e della sicurezza nella comunicazione.

A volte le persone affermano inconsapevolmente e in modo del tutto infondato di non avere nulla da nascondere e quindi di essere “esenti” dalla privacy.

A questo proposito può essere utile menzionare l’arcinota affermazione di Edward Snowden, il quale - a chi faceva questa affermazione - rispondeva:

“Sostenere che non ci si preoccupa del diritto alla privacy perché non si ha nulla da nascondere non è diverso dal dire che non ci si preoccupa della libertà di parola perché non si ha nulla da dire”. (Edward Snowden)

E’ impensabile che ancora oggi non si rifletta su quanto sia delicato il tema della comunicazione proprio riguardo alla riservatezza dei contenuti scambiati e non sia maturata una coscienza etica per azionare la crittografia by default.

Agire consapevolmente vuol dire anche avere profondo rispetto dei destinatari della comunicazione che trasmettiamo.

E’ possibile che siamo talmente superficiali da non porre un minimo di attenzione a questi aspetti così importanti?

Auspicando una maggiore e ampia sensibilizzazione su questo tema, potrebbe accadere che molti davvero non sappiano come raggiungere l’obiettivo o siano ancora indecisi.

La domanda, a questo punto, potrebbe essere: “Qual è la soluzione?”.

A questa domanda possiamo rispondere presentando alcune tra le soluzioni informatiche che sono attualmente disponibili.

GnuPG - OpenPGP

Criptare i messaggi email è possibile mediante l’utilizzo di chiavi di firma e di crittografia per ciascun indirizzo email.

Facciamo riferimento a GnuPG (GNU Privacy Guard) è una risorsa libera che costituisce l’implementazione dello standard OpenGPG RFC4880.

Sul sito di OpenPGP leggiamo:

OpenPGP è lo standard di crittografia e-mail più usato. È definito dal gruppo di lavoro OpenPGP della Internet Engineering Task Force (IETF) come Proposed Standard in RFC 4880. OpenPGP è stato originariamente derivato dal software PGP, creato da Phil Zimmermann.

GnuGP, si è detto, implementa lo standard OpenPGP e sul sito web leggiamo:

GnuPG is a command line tool without any graphical user interface. It is an universal crypto engine which can be used directly from a command line prompt, from shell scripts, or from other programs. Therefore GnuPG is often used as the actual crypto backend of other applications.

Even when used on the command line it provides all functionality needed - this includes an interactive menu system. The set of commands of this tool will always be a superset of those provided by any frontends.

Si tratta di uno strumento che può essere utilizzato con comandi shell-bash nel Terminale.

Utilizzando, ad esempio, MailMate, quando arriva un messaggio email criptato, il client lancia il seguente comando:

/usr/local/bin/gpg --no-verbose --batch --no-tty --compliance "openpgp" --status-fd 2 --verify "path/filename" -

GnuPG è disponibile per diversi sistemi operativi anche mediante appositi package.

Il sito di GnuPG rimanda al sito web Email Self-Defense dove è presente una guida completa per eseguire le opportune impostazioni.

Su macOS GnuPG si può installare mediante Homebrew con il seguente comando

brew install gnupg gnupg2

Gli utenti macOS possono comunque installare GPG Suite, pacchetto completo disponibile anche per Monterey.

Una volta installato GPG Suite, è possibile lanciare l’app GPG Keychain per creare le chiavi per ciascun indirizzo email.

L’utente, dopo aver creato le chiavi, potrà decidere se consentire l’upload della chiave sul server.

Subito dopo la creazione delle chiavi, l’utente riceverà una mail dal server https://keys.openpgp.org che è descritto come “un servizio pubblico per la distribuzione e la ricerca di chiavi compatibili con OpenPGP, comunemente chiamato ‘keyserver”.

Da quel momento, configurando il proprio client email sarà possibile non solo inviare mail firmate ma anche mail crittografate.
La GPG Suite contiene anche un plugin per Apple Mail che, però è a pagamento.

Alcuni client email come MailMate possono firmare, criptare e decriptare le email anche senza l’installazione della GPG Suite, in quanto i processi sono gestiti tramite gnupg.

Con pochi passaggi, quindi, è possibile configurare il proprio sistema in modo da essere in grado di inviare e ricevere mail criptate.

Per iOS, invece, dal sito di OpenPGP è possibile individuare alcune app che sono compatibili con questo standard.

Per iOS è necessario utilizzare un’app specifica che supporti lo standard OpenPGP.
Tra le app presenti sul sito OpenPGP abbiamo provato sia Canary Mail (disponibile anche per Mac) sia iPGMail.

Certificati S/MIME

Al di là delle soluzioni su riportate, è possibile acquistare da una Certification Authority un certificato S/MIME che consente di firmare e criptare e decriptare i contenuti delle email.
Con il certificato S/MIME l’invio di email criptate è realizzabile solo se anche il destinatario è titolare di un certificato S/MIME (in sostanza non si possono inviare email criptate da mittente con OpenPGP a destinatario con S/MIME).

ProtonMail

Gli utenti ProtonMail non devono effettuare quanto descritto nel paragrafo precedente perché la soluzione della società svizzera contiene già un sistema di crittografia, lasciando all’utente la possibilità di scegliere - dalle impostazioni - tra PGP/MIME oppure tra PGP/Inline.

Gli utenti ProtonMail possono inviare mail criptate a destinatari ProtonMail oppure ad altri esterni.

Conclusioni

In conclusione, vorremmo sensibilizzare tutti sulla necessità di utilizzare soluzioni che consentano lo scambio di email criptate by default.

Ciascun utente dovrebbe preoccuparsi della sicurezza della propria comunicazione e provvedere di conseguenza.

Stay tuned!