Domanda: Signor Baenz, visto che abbiamo già parlato, prima di presentare lei e il suo studio legale, sarei molto interessato a sapere: Perché la comunicazione criptata è così importante per gli avvocati?

Risposta: La comunicazione criptata per gli avvocati non è qualcosa che riguarda solo gli avvocati, ma dovrebbe riguardare tutti. Ma per gli avvocati esiste anche la dimensione del diritto professionale. Questa garantisce che gli avvocati operino all’interno di una serie di regole speciali e abbiano determinati doveri di considerazione che non si applicano alla sfera privata.

Ciò significa che, come avvocato, ho semplicemente un insieme di regole che mi impongono determinate cose, mentre come utente privato posso forse chiedermi: “Questo mi riguarda? Questo mi riguarda? Mi interessa? Lo trovo negativo? Come avvocato, invece, devo sempre considerare non solo la mia legge professionale, ma soprattutto gli interessi del mio cliente.

Ci sono linee guida chiare che dicono: Non devo danneggiare gli interessi del mio cliente. Per inciso, queste regole sono sempre esistite. Ma nel corso della questione della protezione dei dati, sono emersi nuovi rischi, uno dei quali è il rischio di interferenza. E tutti gli avvocati devono prenderlo sul serio. Tutti gli avvocati hanno il dovere di garantire che il cliente non sia messo a rischio da fughe di dati, accessi involontari o pubblicazione di dati.

Questo può essere garantito solo attraverso una comunicazione autentica e criptata come quella di Tuta Mail. Tuttavia, molti avvocati non sono nemmeno consapevoli di questo problema, che deve essere preso sul serio. Le normali precauzioni tecniche per il traffico di posta elettronica, come il TLS, semplicemente non bastano a raggiungere questo obiettivo.

Credo che la maggior parte degli avvocati non sappia nemmeno cosa significhi SSL o TLS. I provider di posta elettronica di solito rassicurano gli utenti dicendo che la connessione è crittografata. Spesso viene visualizzato come “Connessione criptata”. Ma molti non sanno che questo vale solo per la connessione al proprio server di posta elettronica. Il resto della connessione è sostanzialmente non criptato.

Ciò significa che i dati possono essere intercettati e modificati. Questo fatto semplicemente non è noto e non viene preso abbastanza sul serio. Spesso si dice: “Ma che c’è di male?“. Oppure: “A chi dovrebbe importare?” e con questo atteggiamento non ci si accorge nemmeno della minaccia reale. A mio avviso, tuttavia, la comunicazione criptata non è un optional, ma un dovere, soprattutto per gli avvocati.

Turn ON Privacy in one click.

Get

Domanda: Sì, credo che il tema del “cambiamento” sia molto importante anche perché la maggior parte delle persone non lo tiene presente. Recentemente è stato riportato dai media in Germania che una fattura inviata via e-mail da un’azienda è stata manipolata. Quanto è grande il rischio in questo caso e qual è la responsabilità delle aziende quando le e-mail, soprattutto le fatture, vengono inviate in modo non criptato? Le aziende dovrebbero affidarsi a e-mail criptate?

Risposta: Il rischio è enorme e in questo caso il cliente ha dovuto impararlo a sue spese. Ma naturalmente vale sempre per entrambe le direzioni. Forse dovremmo prima spiegare brevemente qual è stato il problema in questo caso specifico.

L’account di posta elettronica dell’azienda era stato violato - almeno così ha ipotizzato il tribunale. Prendiamo questo dato come base. Quindi qualcuno era intervenuto: l’hacker. L’account del destinatario, cioè il conto di pagamento, è stato cambiato per tutte le e-mail relative ai documenti di fatturazione. Tutto il resto sembrava esattamente lo stesso. Le e-mail erano identiche, solo il numero di conto era cambiato. Tuttavia, nessuno se ne accorse, né l’azienda né il cliente.

Il tribunale ha quindi stabilito due cose. In primo luogo, il cliente ha adempiuto al suo debito con questo pagamento al conto specificato nella fattura? No, disse il tribunale, non l’aveva fatto. In altre parole, il debito era ancora in sospeso. Questo è stato il primo duro colpo per il cliente: non aveva saldato il suo debito nonostante il pagamento di 11.000 euro.

Il tribunale non poteva decidere altrimenti. Se il denaro non arriva dove dovrebbe, allora non è stato pagato.

La questione se l’azienda avrebbe dovuto fare qualcosa per prevenire l’hacking - ad esempio con e-mail criptate - era inizialmente irrilevante in questo contesto. È diventata rilevante solo quando è sorta la domanda: “L’azienda è responsabile dei danni? Il danno non è forse esattamente l’importo che il cliente ha trasferito per nulla?

Il tribunale ha risposto: Potrebbe essere, ma non l’intero importo.

Il fatto che il tribunale abbia poi detto Entrambe le parti contraenti si sono impegnate in una forma di comunicazione rischiosa. Quindi vale il principio per cui chi si impegna volontariamente in qualcosa di rischioso deve anche assumersi il rischio come cittadino responsabile. In circostanze in cui le conoscenze e le competenze sono distribuite in modo diseguale, ad esempio tra grandi aziende e consumatori, la situazione può essere diversa.

In questo caso, tuttavia, si trattava di un’azienda affermata da una parte e di un cliente affermato dall’altra. Il tribunale non ha quindi potuto dimostrare una grande differenza di conoscenza e ha dichiarato: ” In linea di principio, entrambi si assumono il rischio”.

Tuttavia, l’azienda è stata “premiata” con un po’ più di colpa, perché il tribunale ha detto: “Lei ha violato un altro dovere, vale a dire l’obbligo di proteggere il suo sistema informatico ai sensi del Regolamento generale sulla protezione dei dati”.

Alla domanda su quale consiglio Baenz darebbe ad altri studi legali che non sono sicuri di passare a piattaforme di comunicazione crittografate, suggerisce di iniziare in piccolo, ad esempio con un account Tuta Mail.

Domanda: È molto interessante. Significa che il cliente avrebbe dovuto richiedere una comunicazione criptata?

Risposta: Se vogliono andare sul sicuro, sì, esattamente. Si può mettere in questo modo. Il tribunale ha detto: “Siete stati entrambi coinvolti in questa comunicazione vulnerabile, quindi la colpa è di entrambi”.

Domanda: È molto interessante. Per evitare i problemi che lei ha descritto - ossia ciò che gli avvocati devono proteggere, ciò che sono obbligati a fare - lei e il suo studio legale offrite diverse opzioni per la comunicazione criptata, non solo Tuta Mail. Perché è così importante per voi che il cliente possa scegliere diversi canali di comunicazione?

Risposta: Ci sono due aspetti diversi. Un aspetto è che voglio dare al cliente la possibilità di scegliere. Non è un obbligo che mi viene imposto, ma dal mio punto di vista non sarebbe corretto attenermi a un unico sistema e rifiutare tutto il resto. Dopo tutto, non so quali varianti il cliente potrebbe già utilizzare. E non voglio creare un’ulteriore barriera, voglio che sia il più semplice possibile.

Ecco perché offriamo diverse opzioni. Se volete lavorare con PGP, fatelo pure. Se volete lavorare con Tuta Mail, fatelo. Se avete qualcos’altro, fatelo in modo diverso.

Il secondo aspetto è che se colloco la mia comunicazione in strumenti diversi, creo meno potenziali vettori di attacco in un unico luogo. Si tratta di una sorta di strategia di divisione, in modo da non essere completamente dipendente da un unico fornitore e vulnerabile agli attacchi. Non voglio gestire il 100% delle mie comunicazioni con un unico sistema, perché questo comporta naturalmente dei rischi.

Domanda: Come reagiscono i vostri clienti?

Risposta: Questo è il nocciolo della questione. La maggior parte dei clienti non ha nemmeno un sistema di crittografia, per non parlare delle idee o delle preferenze. Quando si avvicinano all’idea che sia effettivamente importante per il loro caso, di solito scelgono il sistema che suggerisco. E questo è stato Tuta Mail negli ultimi dieci anni. Per i clienti è importante che funzioni e basta. Non vogliono provare o confrontare cose diverse. Vogliono solo che funzioni.

Sono stato molto contento quando Tutanota è arrivato sulla scena, poco più di dieci anni fa, perché era un sistema molto facile da implementare. Anche con i clienti che non amavano le trovate tecniche, sono riuscito a convincerli a utilizzare la comunicazione criptata in modo permanente. Prima era molto più difficile, soprattutto con il PGP. Dovevo spiegare: “Devi installare questo e quello, generare un certificato…” e questo diventava uno sforzo eccessivo per i clienti.

Una volta che i clienti hanno superato la barriera, è stato facile per loro. Per iniziare a comunicare in modo criptato, non devono nemmeno creare un proprio account con Tuta, il che è stato ed è particolarmente piacevole. In questo modo, possono continuare a utilizzare il loro programma di posta elettronica abituale e comunicare con me in modo sicuro attraverso il link di Tutanota, o Tuta today. Tramite la password condivisa, hanno accesso a tutte le comunicazioni precedenti in qualsiasi momento tramite un browser internet, quindi non devono decriptare ogni singolo messaggio, ma possono visualizzare tutte le comunicazioni precedenti tramite un unico link. È un’ottima cosa per i clienti.

L’unica difficoltà era che a volte, quando c’erano interruzioni di comunicazione più lunghe, dovevo ripetere la password. Per rendere le cose più semplici, di solito gliela comunico, non via e-mail ovviamente, ma attraverso un altro canale sicuro. L’aspetto pratico di Tuta è che posso memorizzare in modo sicuro la password del cliente nei Contatti Tuta e consultarla quando mi viene richiesta. In questo modo, posso ridare la password al cliente anche dopo mezzo anno o più.

Domanda: Sono molto contento di sentirlo. Tutanota è stato lanciato undici anni fa, quindi lei è un pioniere. Sono quasi sorpreso che io e lei non ci siamo mai incrociati prima. (ride) Ricorda ancora la transizione di allora? Ci sono state delle sfide per il suo studio legale quando ha introdotto Tutanota?

Turn ON Privacy in one click.

Get

Risposta: Certo, ce ne sono ancora oggi, a dire il vero. Purtroppo non sono riuscito a convertire tutto il nostro ufficio a Tutanota, ora Tuta Mail. C’è la famosa ostinazione. Se avessimo fatto il passaggio completo, avremmo avuto improvvisamente nuovi indirizzi di posta elettronica, un’eventualità assolutamente da evitare per molti clienti. Non stiamo parlando di uno o due clienti, ma di centinaia. Questo fa venire i brividi.

Ma quando glielo mostro: Potete continuare a utilizzare il vostro dominio, se lo desiderate, e il vostro indirizzo e-mail rimane visivamente lo stesso - non è un problema con Tuta Mail - allora dovrete comunque configurare e spostare tutto. Ciò richiede il coordinamento con il provider, alcune modifiche e uno sforzo una tantum. E poi arriva il pensiero commerciale: Cosa ci guadagno? Quanto è grande il rischio? Vale la pena di fare questo sforzo?

Ecco perché alla fine siamo bloccati su un modello a due sistemi. Ho convinto alcuni partner a configurare l’accesso a Tuta o a farselo configurare da me, o almeno ad accettare le e-mail crittografate di Tuta nella loro normale casella di posta elettronica, ad aprirle tramite un link e un browser e a rispondere in modo crittografato. Lo usiamo in particolare per argomenti particolarmente sensibili, per mandati congiunti o se vogliamo usare il principio del doppio controllo. La maggior parte dei colleghi continua a utilizzare il proprio sistema abituale per le comunicazioni quotidiane. Non sono ancora riuscito a cambiare le cose.

Nonostante le stranezze note, le persone preferiscono rimanere fedeli a ciò a cui sono abituate. È la classica analisi dei rischi e dei benefici. Perciò io stesso uso un approccio duplice: Tuta Mail per le questioni sensibili, cioè praticamente tutte le mie comunicazioni con i clienti, e Outlook per il resto. In definitiva, si tratta anche della crittografia sicura delle e-mail sul server di posta, che nel mio caso è Tuta.

Domanda: È una soluzione intelligente. Come valuta la strategia di Microsoft di spostare tutto nel cloud e i problemi di protezione dei dati che ne derivano, anche per quanto riguarda il possibile accesso ai dati da parte degli Stati Uniti? Si tratta di un rischio notevole per uno studio legale. Il cloud americano - anche se i dati sono archiviati su server tedeschi - è effettivamente un no-go per gli studi legali?

Risposta: Assolutamente sì. Per questo spero che nei prossimi anni riusciremo ancora a migrare completamente. Una volta passati a Tuta, tutto funziona come prima. Grazie all’app e al client desktop, è possibile utilizzare Tuta Mail ovunque. A differenza di Outlook, dove è necessario lavorare via IMAP a seconda del client, tutto è molto più semplice.

Leggete il confronto dettagliato tra Tuta Mail e Outlook.

Domanda: Passiamo ora a lei: Può presentare brevemente se stesso e il suo studio legale? In cosa siete specializzati?

Risposta: Con piacere. Siamo uno studio legale di medie dimensioni con sedi ad Amburgo, Berlino, Potsdam, Schwerin, Rostock e anche all’estero. La nostra attività si concentra sulla consulenza alle medie imprese, ma anche ai singoli clienti, soprattutto in materia di diritto commerciale e tributario. Siamo avvocati, consulenti fiscali e revisori contabili.

Qui a Schwerin abbiamo un dipartimento fiscale che si occupa di tutte le questioni fiscali dei nostri clienti, dalla contabilità alle dichiarazioni dei redditi e ai bilanci annuali. Io stesso sono un avvocato specializzato in diritto tributario e da molti anni mi occupo intensamente di questioni fiscali, soprattutto in casi critici: verifiche fiscali difficili, voluntary disclosure, procedimenti penali per presunta evasione fiscale. È qui che entro in gioco io.

Fornisco anche assistenza nella stesura dei contratti, soprattutto quando l’obiettivo è l’ottimizzazione fiscale. Questo non è qualcosa che un consulente fiscale tradizionale può fare da solo, ma richiede un avvocato specializzato per l’attuazione. Per questo motivo, spesso sono l’anello di congiunzione tra le questioni fiscali e la loro attuazione legale, ad esempio nel caso di strutture di diritto societario, testamenti, contratti di matrimonio o questioni delicate simili.

Domanda: Si tratta di dati molto sensibili. Capisco perché sia stato contento quando Tutanota è arrivato sul mercato.

Risposta: Sì, assolutamente. Per me era una giustificazione interiore per occuparmi intensamente della tecnologia. Ci vuole tempo, oltre al lavoro professionale, ai clienti, alla giurisprudenza, alla legislazione. Ma in particolare come avvocato tributarista, dove spesso trattiamo dati molto sensibili, alcuni dei quali sono rilevanti ai fini del diritto penale, per me era importante. Voglio che la mia comunicazione sia sicura come una conversazione riservata in una stanza blindata.

Turn ON Privacy in one click.

Get

Domanda: È un atteggiamento fantastico, che vorremmo vedere più spesso. È sorprendente che la tendenza si stia muovendo nella giusta direzione. Se guardiamo a scandali come quello delle fatture manipolate attraverso le e-mail violate di cui abbiamo parlato, quale ruolo pensa che avrà la comunicazione sicura in futuro?

Risposta: Diventerà sempre più importante. Mi preoccupano due sviluppi: in primo luogo, la tendenza negli Stati Uniti del Presidente a rivendicare per sé un’area non soggetta a controllo giudiziario. Questo è difficilmente comprensibile per la nostra comprensione del diritto in Germania, ma viene preso sul serio. In questi settori, quindi, la tutela giuridica praticamente non esiste più.

Naturalmente, ciò riguarda anche le aziende che sono soggette alla legge statunitense, al Patriot Act e alla sovranità digitale. Anche se i server si trovano in Europa: se a un’azienda statunitense viene richiesto di consegnare i dati alle autorità americane, deve farlo. Promesse come “Non lo faremo” non valgono nulla in caso di emergenza. Questo vale anche per Microsoft.

D’altra parte, in Europa ci sono sforzi politici per indebolire la crittografia attraverso backdoor. Il cosiddetto controllo delle chat, ad esempio: Si vuole consentire una buona crittografia, ma creare un accesso per le autorità investigative. Per me, come avvocato, è un no-go. Non esiste una backdoor solo per i buoni. Una volta ottenuto l’accesso, alla fine si apre la porta ad altri.

Domanda: Torniamo alla sovranità digitale in Europa. Dove saremo tra cinque anni? Le autorità utilizzeranno ancora Microsoft?

Risposta: Spero di no, o almeno non nella forma attuale. Ci sono degli approcci, ad esempio nello Schleswig-Holstein, ma temo che non ci arriveremo tra cinque anni. Forse tra dieci. Un problema importante è la consulenza informatica fornita dalle autorità. Spesso si attengono ai loro standard perché funzionano. I problemi o le preoccupazioni vengono quindi spesso eliminati.

Lo vediamo con la cartella clinica elettronica. È fondamentalmente buona, ma mal implementata. Invece di fare sempre tutto da zero, le autorità potrebbero utilizzare approcci open source e costruire su di essi, come Nextcloud o Tuta Mail, la Germania ha molte buone aziende. Invece, la ruota viene costantemente reinventata e ognuno cucina la propria minestra. Questo costa tempo e denaro e non porta a nulla.

Domanda: Infine: Che consiglio ha per gli studi legali che non sono ancora sicuri di dover passare alla comunicazione criptata?

Risposta: Fatelo e basta. Iniziate in piccolo, come me. Create un account Tuta e usatelo per le comunicazioni sensibili. Offritelo ai vostri clienti. Lasciate che cresca lentamente senza cambiare tutto subito. Non abbiate paura della tecnologia - questo è il mio consiglio.

Domanda: Quindi, siate pronti a farlo. Questo è sempre il mio consiglio. Fare piccoli passi verso una migliore protezione dei dati e una maggiore sicurezza, perché purtroppo non esiste un interruttore magico da premere una volta sola. Ma i piccoli passi possono fare molta strada. Signor Baenz, la ringrazio per l’intervista; mi farebbe piacere scambiare presto due chiacchiere!

Risposta: Grazie mille, è stato un piacere.