TL;DR La somiglianza tra il dominio dedicato ai militari USA .mil e quello nazionale del Mali, .ml, ha causato non poco imbarazzo per moltissime mail destinate a personale militare recapitate oltreoceano sulle mailbox di utenti della Repubblica in Africa Occidentale.
Ci credereste se vi dicessi che, secondo una inchiesta del Financial Times ripresa poi da molti altri media, come la CNN, negli ultimi anni milioni di mail riservate militari sono state inviate a indirizzi e-mail in Mali, invece che ai loro rispettivi destinatari?
Come saprete, il dominio di primo livello .mil è assegnato al Dipartimento della Difesa americano ed è, quindi, anche quello delle rispettive caselle mail. A quanto pare, e non è difficile immaginarlo, errori di scrittura hanno causato l’invio di molte missive digitali al dominio .ml, assegnato appunto al Mali, Repubblica dell’Africa occidentale.
Secondo Il Messaggero, che ha ripreso la notizia in Italia, a sollevare il problema è stato un imprenditore olandese “dopo che l’azienda, di cui è proprietario, era stata incaricata di gestire proprio il dominio “.ml”. «Nelle mail – ha raccontato l’imprenditore – c’erano i numeri delle camere d’albergo del capo di stato maggiore dell’esercito, il generale James McConville, e del suo entourage durante un viaggio in Indonesia a maggio. In un’altra un agente dell’Fbi scriveva a un funzionario della Marina degli Stati Uniti».“
Purtroppo il protocollo che gestisce la posta elettronica SMTP (Simple Mail Transfer Protocol), descritto nell’RFC 5321, è progettato per trasferire dal server del mittente a quello del destinatario il contenuto della mail in pochi istanti: se non intercettato immediatamente, prima che il proprio server SMTP abbia inoltrato la mail al server SMTP di destinazione, è tecnicamente impossibile impedire che il messaggio venga recapitato. In breve, una volta spedita una mail, ne perdiamo di fatto il controllo.
Una grana non da poco, considerando anche che il Mali è alleato della Russia e che in un periodo in cui il conflitto Russo-Ucraino, che vede la NATO fortemente coinvolta, non depone certo a favore degli USA.
Se l’errore può far sorridere e sorprendere, soprattutto per il contesto e l’impatto che ha (provate a immaginare la faccia dell’imprenditore olandese che riceve mail contenenti informazioni riservate militari della più grande potenza mondiale…), temo che purtroppo siamo davanti a un problema diffuso e decisamente sottovalutato.
Chiaramente gli errori su mail “comuni” fanno molta meno notizia, ma sbagliare destinatario purtroppo può capitare e le conseguenze possono essere anche molto costose, come ben sanno coloro che sono incappati nei provvedimenti del Garante della Privacy per un utilizzo sbagliato della posta eletronica. Come ad esempio nel provvedimento n. 9794913 nei confronti di Cribis Credit Management s.r.l. che, per due mail di sollecito pagamento contenenti dati personali inviate ad un cliente moroso (che però non era la medesima persona della mail destinataria dei solleciti), è stata sanzionata di 10.000€ per trattamento illecito.
Per farla breve, nel caso nella mail destinata all’utente sbagliato vi siano documenti o informazioni personali o riservate, si verifica un data breach che, oltre al danno dovuto alla perdita di confidenzialità delle informazioni, rischia di sfociare in sanzioni.
Il mio consiglio è sempre di verificare attentamente l’indirizzo mail a cui stiamo scrivendo e, in caso di dubbio sulla correttezza, evitare di inviare documenti o informazioni personali o riservate.