Fare affari con controparti che utilizzano servizi email criptati: red flag o scelta di sicurezza?

In data 1° gennaio 2024 è stata divulgata sulla prestigiosa rivista internazionale “Fraud Magazine”, rivista di settore pubblicata bimestralmente dall’Association of Certified Fraud Examiner (ACFE), una ricerca condotta dal professionista ed esperto in indagini sulle frodi, Antonio Rossi, e da Lucrezia Tunesi, esperta in sicurezza e minacce aziendali, con la quale è stato rilevato come l’adozione da parte di un’organizzazione di un indirizzo email criptato - quale indirizzo email principale - possa rappresentare un elemento di criticità e pertanto un “red-flag” da andare a considerare nell’ambito delle attività di verifica delle terze parti (c.d. Third Party Due Diligence ‘TPDD’). Generalmente, ogni azienda, pur disponendo di molteplici indirizzi email, mediante i quali la stessa interagisce con i vari stakeholder, dichiara solitamente presso i pubblici registri e/o sul proprio sito internet un solo indirizzo email c.d. “principale”. Ossia, un indirizzo email al quale possono pervenire tutte le tipologie di richieste e informazioni. Trattandosi dunque di un indirizzo utilizzato per richieste generiche e non destinato alla condivisione di informazioni critiche o sensibili, è insolito che sia criptato, tanto da divenire sinonimo di scarsa trasparenza dell’azienda. Le risultanze emerse, in accordo con gli Autori, hanno confermato l’importanza di introdurre gli indirizzi email “principali” delle organizzazioni tra i key risk indicator da considerare nell’ambito delle attività di TPDD, naturalmente da valutare e leggere organicamente e congiuntamente con ulteriori key risk indicator. La ricerca, condotta tra giugno e luglio 2023, si è focalizzata su un campione di 559 organizzazioni identificate su scala mondiale, le quali adottano come indirizzo “principale” un indirizzo email criptato. La ricerca ha evidenziato che ben oltre la metà delle aziende che adottano questo comportamento sono aziende che presentano altri fattori di rischio. Trattasi infatti per il 69% di organizzazioni di recente costituzione, operanti in settori tipicamente affetti da fenomeni di infiltrazione criminale, con strutture organizzative molto ridotte e un fatturato annuo esiguo. In merito, Antonio Rossi ha dichiarato: “La tecnologia, se impiegata in modo illecito, rappresenta una potente arma nelle mani di criminali e terroristi. Pertanto, risulta di fondamentale importanza mantenere alta l’attenzione sulle novità tecnologiche e introdurre elementi innovativi nell’ambito di processi volti alla mitigazione dei rischi, come le due diligence su terze parti. Gli E-mail Encrypted Services, rappresentano un ottimo strumento per la protezione dei dati, grazie ai loro elevati standard di sicurezza e anonimato ma, al contempo, se utilizzati da organizzazioni criminali o terroristiche rappresentano un ottimo strumento volto a rendere non tracciabili le comunicazioni e, pertanto, a rendere maggiormente complesse le attività d’indagine”. In aggiunta, Lucrezia Tunesi, ha sottolineato: “Gli E-mail Encrypted Service sono un buon esempio di ambivalenza tecnologica, qualsiasi tecnologia porta infatti con sé vantaggi e svantaggi. In quest’ottica, effettuare una revisione costante degli indicatori da valutare in fase di on-boarding può aiutare l’azienda ad affrontare correttamente i nuovi rischi determinati dall’evoluzione tecnologica e fino a quel momento considerati trascurabili o irrilevanti”.