Il "buon uso" della posta elettronica
Anche se, nell'era dei "social", vi sono innumerevoli metodi di comunicazione più immediata e accattivante, la posta elettronica è senz'altro il mezzo più autorevole di comunicazione, analogamente alla posta cartacea, ma con almeno una caratteristica in più (dal punto di vista dell'autorevolezza): tutte le transazioni (i vari passaggi dal mittente al destinatario) sono registrate ed è quindi possibile seguire il percorso fino alla cassetta postale del destinatario.
Si raccomanda l'uso della posta elettronica in sostituzione della carta, soprattutto per i messaggi interni all'organizzazione.
Di seguito si elencano alcune raccomandazioni di buone pratiche, insieme ad alcuni suggerimenti per un uso proficuo del sistema.
Raccomandazioni di utilizzo (netiquette)
- Il messaggio sia sempre breve, e possibilmente in formato "Solo testo". Si consiglia di NON scrivere in lettere maiuscole: equivale ad urlare, e aumenta la probabilità che il messaggio sia intercettato dai filtri antispam.
- Mettere sempre l'"Oggetto" del messaggio ("Subject" in inglese), che specifichi DAVVERO il CONTENUTO del messaggio (non il nome del mittente o altre sciocchezze). Rispondere solo in modo pertinente all’oggetto.
- Non infarcire un messaggio con diversi argomenti. Piuttosto è bene iniziare una nuova conversazione per ogni argomento, cioè scrivere una nuova email specificando il nuovo oggetto.
- La comunicazione istituzionale prevede che tutto ciò che riguarda le attività dell’istituzione sia fatto con strumenti dell’istituzione, ai fini di garantire la sicurezza, tutelare la privacy, e assicurare un backup continuo di ogni documento e informazione istituzionale. Per questo i messaggi di contenuto istituzionale devono essere spediti utilizzando sempre il nostro server, con un indirizzo @unisal.it, che dà al destinatario una ragionevole garanzia dell’identità del mittente. I dipendenti devono utilizzare gli indirizzi @unisal.it per messaggi di lavoro (e non per quelli privati).
- Per le comunicazioni ufficiali, per le quali sia necessario il “non disconoscimento”, attivare la casella “richiedi conferma di recapito” nelle opzioni di spedizione del messaggio: in tal modo il server può avvisare con certezza che il messaggio è stato recapitato al server di destinazione (e per i messaggi interni fa ancora di più: garantisce che il messaggio è arrivato nella cassetta postale del destinatario, che quindi non potrà dire di non averlo ricevuto).
- In calce ai messaggi istituzionali aggiungere sempre una “firma”: nome, cognome, incarico e settore. Naturalmente la “firma” sia sobria: non più di tre o quattro righe di testo.
- Non inserire immagini che contengono scritte: aumentano la probabilità di essere classificate come SPAM
- I destinatari devono essere ben specificati ("A": il destinatario diretto. "Cc": i destinatari per conoscenza).
- Le liste di destinatari devono essere sempre inserite nel campo "Ccn" ("Bcc" in inglese), per elementari ragioni di riservatezza, poiché così si evita di far conoscere a ciascuno gli indirizzi di tutti, e si riduce il rischio che possano essere utilizzati per spam o truffe.
- Non superare il numero di 100 destinatari per messaggio. Liste di distribuzione più grandi dovrebbero essere suddivise in più gruppi (e spedire un messaggio per ogni gruppo) oppure utilizzare appositi servizi.
- Mantenere aggiornate le liste di distribuzione, in modo che non contengano indirizzi inattivi o falsi, altrimenti c'è il rischio concreto che il nostro server venga intercettato come server di distribuzione di spam e inserito in una "block list", impedendoci la distribuzione dei messaggi.
- Gli allegati incidono notevolmente sul traffico. Non allegare mai video, Power Point, mp3 (al massimo inserire il link che punta al sito WEB dove il documento è pubblicato). Il formato degli allegati deve essere standard (doc, pdf, jpg, zip), perché il destinatario possa aprirli senza alcuna conversione, e ridurre la probabilità che vengano intercettati dai sistemi antispam.
- Nella cartella “Posta inviata” viene solitamente salvata una copia, senza alcun valore, del messaggio inviato. Se si desidera mantenere copia di un messaggio realmente spedito inserire il proprio indirizzo, o quello di una cassetta istituzionale, nel campo Ccn.
- Un messaggio può essere contrassegnato secondo il grado di priorità o riservatezza. Se è contrassegnato come "riservato" o "personale" non inoltratelo ad altri.
- Data la natura del mezzo (posta “elettronica”) è bene rispondere sempre in tempi brevi. Quando ci si trova fuori casa è consigliabile impostare un messaggio automatico di risposta (“Risposte fuori sede”)
- L’e-mail è il mezzo meno adatto per discutere: la velocità del mezzo impedisce la riflessione, e le parole scritte, una volta partite, non si possono correggere. È bene quindi non usare l’e-mail per discutere, soprattutto se si tratta di problemi confidenziali o conflittuali, sia con persone che con istituzioni.
La sicurezza dei sistemi di posta elettronica
L'argomento è sicuramente complesso da affrontare, poiché non vi sono coinvolte soltanto macchine, ma anche e soprattutto gli utenti, che sono imprevedibili.
Gli attacchi di maggior successo, e anche più dannosi, hanno effetto non a causa di vulnerabilità dei sistemi di posta elettronica, ma a causa dell'utente che "concede fiducia" ad una azione illecita. Ovviamente l'utente è ingannato da messaggi accattivanti o perentori o minacciosi, che rientrano in quella ampia e variegata area delle tecniche di inganno che viene chiamata "ingegneria sociale".
C'è poi il problema della riservatezza dei messaggi, ovvero come essere sicuri che durante il tragitto sulla rete il messaggio non venga intercettato e letto da altri.
Riservatezza della trasmissione
Il protocollo SMTP, quello utilizzato per la trasmissione dei messaggi email, agisce in modo analogo alla trasmissione delle cartoline postali, dove i testi sono leggibili a chiunque le abbia tra mano. Per iniziare ad avere riservatezza è necessario crittografare ("cifrare") i messaggi: quasi tutti i sistemi oggi lo fanno. Per il nostro servizio, anzi, la trasmissione "in chiaro" (senza crittografia) è addirittura disabilitata, ed impossibile da usare.
Quando si usa un servizio di "webmail", ovvero si controlla la posta mediante il browser, bisogna fare attenzione che sulla barra degli indirizzi vi sia l'icona di un lucchetto chiuso, e magari sia di colore verde: ciò indica che la crittografia è abilitata.
Ma non basta. Molti, anche a livello governativo, sono convinti che usare Whatsapp per scambiare messaggi sia più sicuro della posta elettronica: questo è vero per quanto riguarda la trasmissione, che è cifrata. Ma il problema è che, con il pretesto di "allenare l'intelligenza artificiale", o "offrire un'esperienza personalizzata", tutti i messaggi che transitano su questi sistemi (compresi Facebook e Gmail) vengono letti, o da programmi o da persone reali.
Poi si potrebbe chiedere di garantire la certezza del mittente (e magari un ulteriore cifratura decifrabile solo dal destinatario), ma questo non è compito del sistema di posta, quanto piuttosto delle applicazioni di firma elettronica, che trattano il messaggio prima della spedizione, o a ricezione avvenuta.
Infine si può avere la posta certificata, un sistema di posta interamente gestito da una autorità di certificazione (lo stato, tramite pochi concessionari), che garantisce identità, certezza del recapito e riservatezza.
Non farsi fregare (resistere all'"ingegneria sociale")
Purtroppo gli indirizzi email finiscono, prima o poi e per innumerevoli motivi, in mano a gente di pochi scrupoli, e quindi siamo bersagliati da molteplici messaggi pubblicitari, ingannevoli e truffaldini (e questo anche se i nostri sistemi di filtraggio respingono, in media, l'85% dei messaggi in arrivo!).
Scopo principale degli "spammer" è invogliarvi a comprare qualcosa, ma non solo: rispondere indica che il vostro indirizzo è sicuramente attivo, e lo spammer lo rivenderà aumentato di valore.
Scopo invece dei truffatori e criminali ("scammer") è principalmente:
- ottenere le vostre credenziali, e utilizzarle per spedire, con i nostri server, i loro messaggi di spam (a migliaia!).
- Infettare il vostro PC con un virus: i più pericolosi sono i ransomware, che crittografano tutti i files rendendoli inutilizzabili, e chiedendo un riscatto per la decrittazione.
- Estorcere denaro, con la scusa di un parente o amico bloccato in Africa senza soldi, o con la minaccia di diffondere vostri presunti comportamenti illeciti o immorali.
Questi criminali sono davvero bravi, e sanno cogliere la debolezza di chi legge frettolosamente o distrattamente, ma il danno inferto è notevole, può danneggiare tutta l'organizzazione, e bisogna sapersi difendere.
- Leggere attentamente tutto il messaggio, compreso il nome del mittente. Se il mittente non ha relazione con la firma, se il messaggio contiene offerte gratuite e minacce di sospensione, errori di ortografia e sintassi già dovete "drizzare le orecchie" (impariamo anche noi a scrivere correttamente...)
- Nessuno, né banca né posta né amministratore di sistema, vi chiederà mai di "confermare" le vostre credenziali cliccando su un link, anche se il messaggio sembra davvero di Unicredit o di BancoPosta.
- Non date credito a messaggi non firmati personalmente (e magari da persone conosciute: un messaggio firmato "amministratore di sistema Unisal" è certamente una truffa).
- Attenzione agli allegati! Anche se l'"Agenzia delle Entrate" minaccia cartelle esattoriali, non aprite documenti Word o Excel. Se poi Word vi avvisa che il documento contiene "macro", cioè contenuto "attivo" o eseguibile, è sicuramente un virus.
- In caso di dubbio, prima di cliccare qualsiasi cosa, chiedete consiglio! (chiedere dopo aver cliccato è già troppo tardi...)