Nel post precedente avevo descritto una "Esperienza (poco consolante) con la PEC". Concludevo in questo modo:
Vedo due possibili spiegazioni per questa vicenda:
Posso però affermare con certezza che se siamo nel caso 1 allora l'assistenza clienti ed il processo di gestione di queste tematiche da parte di Aruba lascia molto a desiderare (eufemismo).
Successivamente alla pubblicazione del mio post ci sono state varie interazioni che hanno chiarito la vicenda.
In breve: eravamo nel caso 1: il mail sospetto non era un attacco. L'assistenza clienti si era sbagliata ripetutamente: era un email inviatomi veramente da Aruba (per un motivo che non c'entrava nulla con la PEC). Il chiarimento telefonico avvenuto il giorno successivo al mio post ha chiarito tutto, sottolineando che la loro assistenza clienti non aveva gestito la pratica in modo appropriato. Hanno anche suggerito, in maniera molto pacata ed educata, che io avrei potuto accorgermi della legittimità del messaggio email. Su questo non sono d'accordo (chi vuole legga più sotto), ma sono rimasto completamente soddisfatto dalla cortesia e dalla chiarezza della persona che mi ha contattato.
Ciò premesso, segue la descrizione dettagliata di cosa è accaduto per chi è interessato.
Il giorno 12 Novembre, dopo avere rinnovato la PEC con Aruba, ricevo un credito da spendere sul sito "pratiche.it". Ad un'occhiata superficiale mi è sembrato interessante quindi mi sono iscritto ed ho inserito i miei dati personali. Dopo un'occhiata più approfondita mi sono reso conto che il servizio non faceva per me. Invece di dimenticarmi semplicemente del sito, ho deciso di cancellare il mio account. Lasciare i miei dati personali in un sito che serve per chiedere certificati, visure etc ha senso se ho intenzione di usarlo; se non ho intenzione di usarlo è una cosa da non fare. Ho quindi deciso di cancellare il mio account seguendo le istruzioni indicate: cioè inviando un email a "info@pratiche.it".
Questi mi hanno risposto dicendo "deve inviare una mail a questi indirizzi: privacy@staff.aruba.it e dpo@staff.aruba.it". Al che mi sono un pò irritato ed ho risposto in questo modo:
C'è stato un breve ping-pong via email ("so che non dipende da lei, ma allora scrivete sul sito "inviate due email agli indirizzi X e Y", non "inviate un email all'indirizzo Z"".) ma mi sono arreso rapidamente perché non ci capivamo. Ho quindi inviato gli email richiesti:
Questo il 12 Novembre. Il mail sospetto è arrivato il 20 Novembre.
Ovviamente tra il 12 e il 20 ho fatto molte cose e "pratiche.it" (nota bene: pratiche.it, non Aruba) non era in cima ai miei pensieri. Ormai lo avevo rimosso dalla testa, per ovvi motivi. In quell'intervallo di tempo ho ricevuto circa 180 (centoottanta) email. Ovviamente non posso ricordare gli indirizzi email di tutti quelli che mi scrivono. Quando invio un email da cui attendo risposta ho un meccanismo per controllare periodicamente se la risposta è arrivata. Nel caso di pratiche.it non avevo attivato questo meccanismo. Non mi è sembrato indispensabile, lo ammetto. E, lo ammetto, non ricordavo che mi sarebbe dovuta arrivare una risposta da due indirizzi email di Aruba.
A questo punto il 19 Novembre c'è una intrusione massiva nella PEC di un provider non specificato (che comunque pare non essere il mio).
Il 20 Novembre ricevo un email dal mio provider PEC in cui, senza fare minimamente cenno a pratiche.it, mi viene detto "per verificare la sua richiesta relativa ad Informazioni commerciali su: Reclami / altro...deve riempire il file PDF in allegato". Non essendo dotato di capacità telepatiche (e non immaginando minimamente quanto fosse difficile togliere da pratiche.it dati che sono così semplici da inserire; per inserirli non mi hanno fatto riempire nessun modulo PDF) mi sono insospettito e mi sono comportato come ho descritto nel post precedente.
Alla fine tutto si è tradotto principalmente in una perdita di tempo.
Vedo due possibili spiegazioni per questa vicenda:
- Non è un tentativo di attacco. Al contrario di quanto mi è stato detto dall'assistenza, il rinnovo del mio abbonamento PEC ha provocato l'invio automatico di un allegato PDF (magari a causa dell'adeguamento di Aruba alla GDPR) e questo invio è stato catalogato erroneamente come mia richiesta di assistenza.
- E' un tentativo di attacco.
Posso però affermare con certezza che se siamo nel caso 1 allora l'assistenza clienti ed il processo di gestione di queste tematiche da parte di Aruba lascia molto a desiderare (eufemismo).
Successivamente alla pubblicazione del mio post ci sono state varie interazioni che hanno chiarito la vicenda.
In breve: eravamo nel caso 1: il mail sospetto non era un attacco. L'assistenza clienti si era sbagliata ripetutamente: era un email inviatomi veramente da Aruba (per un motivo che non c'entrava nulla con la PEC). Il chiarimento telefonico avvenuto il giorno successivo al mio post ha chiarito tutto, sottolineando che la loro assistenza clienti non aveva gestito la pratica in modo appropriato. Hanno anche suggerito, in maniera molto pacata ed educata, che io avrei potuto accorgermi della legittimità del messaggio email. Su questo non sono d'accordo (chi vuole legga più sotto), ma sono rimasto completamente soddisfatto dalla cortesia e dalla chiarezza della persona che mi ha contattato.
Ciò premesso, segue la descrizione dettagliata di cosa è accaduto per chi è interessato.
Il giorno 12 Novembre, dopo avere rinnovato la PEC con Aruba, ricevo un credito da spendere sul sito "pratiche.it". Ad un'occhiata superficiale mi è sembrato interessante quindi mi sono iscritto ed ho inserito i miei dati personali. Dopo un'occhiata più approfondita mi sono reso conto che il servizio non faceva per me. Invece di dimenticarmi semplicemente del sito, ho deciso di cancellare il mio account. Lasciare i miei dati personali in un sito che serve per chiedere certificati, visure etc ha senso se ho intenzione di usarlo; se non ho intenzione di usarlo è una cosa da non fare. Ho quindi deciso di cancellare il mio account seguendo le istruzioni indicate: cioè inviando un email a "info@pratiche.it".
Questi mi hanno risposto dicendo "deve inviare una mail a questi indirizzi: privacy@staff.aruba.it e dpo@staff.aruba.it". Al che mi sono un pò irritato ed ho risposto in questo modo:
C'è stato un breve ping-pong via email ("so che non dipende da lei, ma allora scrivete sul sito "inviate due email agli indirizzi X e Y", non "inviate un email all'indirizzo Z"".) ma mi sono arreso rapidamente perché non ci capivamo. Ho quindi inviato gli email richiesti:
Questo il 12 Novembre. Il mail sospetto è arrivato il 20 Novembre.
Ovviamente tra il 12 e il 20 ho fatto molte cose e "pratiche.it" (nota bene: pratiche.it, non Aruba) non era in cima ai miei pensieri. Ormai lo avevo rimosso dalla testa, per ovvi motivi. In quell'intervallo di tempo ho ricevuto circa 180 (centoottanta) email. Ovviamente non posso ricordare gli indirizzi email di tutti quelli che mi scrivono. Quando invio un email da cui attendo risposta ho un meccanismo per controllare periodicamente se la risposta è arrivata. Nel caso di pratiche.it non avevo attivato questo meccanismo. Non mi è sembrato indispensabile, lo ammetto. E, lo ammetto, non ricordavo che mi sarebbe dovuta arrivare una risposta da due indirizzi email di Aruba.
A questo punto il 19 Novembre c'è una intrusione massiva nella PEC di un provider non specificato (che comunque pare non essere il mio).
Il 20 Novembre ricevo un email dal mio provider PEC in cui, senza fare minimamente cenno a pratiche.it, mi viene detto "per verificare la sua richiesta relativa ad Informazioni commerciali su: Reclami / altro...deve riempire il file PDF in allegato". Non essendo dotato di capacità telepatiche (e non immaginando minimamente quanto fosse difficile togliere da pratiche.it dati che sono così semplici da inserire; per inserirli non mi hanno fatto riempire nessun modulo PDF) mi sono insospettito e mi sono comportato come ho descritto nel post precedente.
Alla fine tutto si è tradotto principalmente in una perdita di tempo.
Commenti