Il 1° gennaio 2024 è stata pubblicata sulla prestigiosa “Fraud Magazine“, rivista internazionale di settore pubblicata bimestralmente dall’Association of Certified Fraud Examiner (ACFE), una ricerca condotta dal professionista ed esperto in indagini sulle frodi, Antonio Rossi, e da Lucrezia Tunesi, esperta in sicurezza e minacce aziendali, che ha rilevato come l’utilizzo di un indirizzo email criptato come indirizzo email principale da parte di un’organizzazione possa rappresentare un elemento di criticità e pertanto un “red flag” da considerare nell’ambito delle attività di verifica delle terze parti (c.d. Third Party Due Diligence ‘TPDD’).
I servizi di posta elettronica crittografata sono servizi che consentono di inviare e ricevere email in modo sicuro, impedendo a terzi non autorizzati di leggere il contenuto.
Le email criptate sono quindi email che vengono protette da crittografia, un processo che trasforma i dati in un formato illeggibile a chiunque non disponga della chiave di decrittografia appropriata.
Un metodo comune, utilizzato dagli E-mail Encrypted Services, è l’end-to-end encryption, che crittografa i dati dall’inizio alla fine, dal momento in cui vengono inviati dal mittente fino a quando non vengono letti dal destinatario. In questo modo, solo il mittente e il destinatario possono leggere l’email, anche se la email viene intercettata da un terzo.
Generalmente, ogni azienda dispone di un indirizzo email di primo contatto (e.g. info@nomeazienda.it), il quale è un indirizzo tipicamente presente sul sito internet ufficiale e/o presso i pubblici registri. Questo indirizzo è utilizzato per ricevere tutte le tipologie di richieste e informazioni, anche quelle generiche e non destinate alla condivisione di informazioni critiche o sensibili.
La visibilità dell’indirizzo email principale è importante per diversi motivi. Innanzitutto, consente ai soggetti interessati di contattare l’organizzazione in modo rapido e semplice. In secondo luogo, fornisce un’indicazione della legittimità dell’organizzazione. In terzo luogo, può essere utilizzata per valutare la trasparenza e la responsabilità dell’organizzazione.
Le risultanze emerse, in accordo con gli Autori, hanno confermato l’importanza di introdurre gli indirizzi e-mail “principali” delle organizzazioni tra i key risk indicator da considerare nell’ambito delle attività di TPDD, naturalmente da valutare e leggere organicamente e congiuntamente con ulteriori key risk indicator.
La ricerca – condotta tra giugno e luglio 2023 – si é focalizzata su un campione di n. 559 organizzazioni identificate su scala mondiale, le quali adottano come indirizzo “principale” un indirizzo e-mail criptato.
L’utilizzo di un indirizzo e-mail criptato come indirizzo principale è insolito, in quanto è solitamente associato a organizzazioni che desiderano mantenere la propria privacy e non essere rintracciate.
A tal proposito, la ricerca ha evidenziato che ben oltre la metà delle aziende che adottano questo comportamento sono aziende che presentano altri fattori di rischio. Trattasi infatti per il 69% di organizzazioni di recente costituzione, operanti in settori tipicamente affetti da fenomeni di infiltrazione criminale, con strutture organizzative molto ridotte e un fatturato annuo esiguo.
In merito, Antonio Rossi ha dichiarato “la tecnologia, se impiegata in modo illecito, rappresenta una potente arma nelle mani di criminali e terroristi. Pertanto, risulta di fondamentale importanza mantenere alta l’attenzione sulle novità tecnologiche e introdurre elementi innovativi nell’ambito di processi volti alla mitigazione dei rischi, come le due diligence su terze parti. Gli E-mail Encrypted Services, rappresentano un ottimo strumento per la protezione dei dati, grazie ai loro elevati standard di sicurezza e anonimato ma, al contempo, se utilizzati da organizzazioni criminali o terroristiche rappresentano un ottimo strumento volto a rendere non tracciabili le comunicazioni e pertanto a rendere maggiormente complesse le attivitá d’indagine”.
In aggiunta, Lucrezia Tunesi, ha sottolineato “Gli E-mail Encrypted Service sono un buon esempio di ambivalenza tecnologica, qualsiasi tecnologia porta infatti con sé vantaggi e svantaggi. In quest’ottica, effettuare una revisione costante degli indicatori da valutare in fase di on-boarding può aiutare l’azienda ad affrontare correttamente i nuovi rischi determinati dall’evoluzione tecnologica e fino a quel momento considerati trascurabili o irrilevanti”.