Incident response e studio legale: come si gestiscono i primi 72 minuti (prima ancora delle 72 ore)

La prima crepa, quasi sempre, non ha la teatralità che ci aspetteremmo. È una mail “strana” arrivata a più persone, con un allegato che nessuno ricorda di aver richiesto. È il gestionale che rallenta proprio mentre stai preparando una scadenza. È un cliente che chiama e, senza alzare la voce, ti dice che ha ricevuto richieste anomale “a nome vostro”, formulate con quella sintassi che sembra credibile proprio perché è leggermente storta.

In studio, l’istinto è quello che conosciamo bene: minimizzare. Non per superficialità, ma per agenda, per abitudine al rumore di fondo, per quella disciplina mentale che ti fa andare avanti anche quando qualcosa non torna. Solo che qui il punto non è “capire subito” cosa sia successo. Il punto è decidere, subito, che cosa non fare.

C’è un paradosso curioso, quasi ironico, negli studi legali. Siamo abituati a gestire crisi altrui, a tenere insieme narrazioni contraddittorie, a fare ordine quando tutti intorno perdono la bussola. Ma quando la crisi è interna scatta una strana asimmetria: da un lato l’urgenza di ripartire, perché l’operatività è ossigeno e ogni minuto pesa; dall’altro l’obbligo di proteggere riservatezza, segreto professionale, fiducia, e anche qualcosa di più sottile che spesso si dimentica: la ricostruibilità. Se non puoi ricostruire in modo credibile cosa è accaduto, non potrai mai governare davvero il dopo, né con i clienti né con eventuali autorità né con i fornitori. È in quella finestra stretta, che io chiamo “i primi 72 minuti”, che si decide se l’incidente resta un episodio o diventa una storia. Una storia che altri racconteranno al posto tuo.

Tra il minuto zero e il decimo, la tentazione è brutale nella sua semplicità: “spegni tutto”. È la reazione che sembra più prudente, perché interrompe il danno. Eppure, spesso, è la più costosa in termini di prove. Spegnere, riavviare, “ripulire” al volo può cancellare tracce, azzerare sessioni, sovrascrivere log, modificare timestamps. Lo studio, in quei minuti, non sta solo difendendo sistemi; sta difendendo la possibilità di capire. Serve qualcuno che riconosca il segnale e abbia abbastanza sangue freddo da non trasformarlo in panico operativo. E serve una frase semplice, quasi banale, ma potentissima se detta al momento giusto: “Prima preserviamo, poi ripartiamo”. I log, per esempio, hanno una fragilità quasi fisica: se non li preservi quando esistono, dopo non esistono più. Non per complotti, ma per normale rotazione, per limiti di storage, per automatismi di sicurezza che “fanno pulizia” mentre tu cerchi risposte.

Poi arriva il minuto dieci e, con lui, la seconda trappola: la catena di comando che non c’è. L’incidente diventa una chat parallela fatta di vocali, screenshot, inoltri, interpretazioni. Un partner scrive a un consulente esterno senza avvisare l’IT. L’IT apre un ticket con il fornitore del gestionale senza dire nulla a chi gestisce la privacy. Un collaboratore, in buona fede, “avvisa tutti” inoltrando la mail sospetta e diffondendo esattamente ciò che bisognava contenere. Nel giro di pochi minuti nascono tre incident response diverse e incompatibili tra loro, ciascuna con la sua documentazione, le sue decisioni, i suoi piccoli eroismi. E la cosa tragica è che, quando più avanti servirà una linea unica, avrai un mosaico di pezzi che non combaciano. Qui entra una figura che non è un vezzo organizzativo ma un’ancora: un single point of contact. Una persona che non deve essere “la più tecnica” o “la più senior” in assoluto, ma quella che tiene la penna, raccoglie le informazioni, decide quali canali usare, e soprattutto impedisce che lo studio si contraddica mentre ancora non sa neppure cosa sta affrontando.

Tra il minuto venti e il trentesimo c’è una fase delicata, quasi tutta “da studio legale”, e spesso sottovalutata: il rischio di scrivere troppo, nel posto sbagliato, con le persone sbagliate in copia. Un incidente produce comunicazione come una fuga di gas produce odore: inevitabile, invasiva. Il problema è che quella comunicazione, domani, potrebbe essere letta fuori contesto o usata contro di te. In un contenzioso con un fornitore, in una richiesta di chiarimenti di un cliente, in un’ispezione, in una disputa tra soci, in un procedimento disciplinare. È qui che vale la pena tenere distinti, con disciplina, tre piani che tendono a mescolarsi: la comunicazione tecnica (cosa vediamo, quali evidenze, quali azioni), la comunicazione legale (privilegio, riservatezza, strategia), e quella gestionale (chi decide cosa, impatti operativi, priorità). Quando vengono mescolate , crei un documento ibrido che non protegge nessuno ma puo’ confonde tutti.

In alcuni casi basta poco per evitare danni collaterali: canali dedicati, accessi limitati, e la scelta mirata e consapevole di non “commentare” mentre le soluzioni non sono state ancora applicate.

È qui che, quasi senza accorgertene, hai già deciso la traiettoria. Non hai risolto nulla, certo. Ma hai evitato di distruggere ciò che ti servirà per risolvere.

A questo punto, quando il cronometro segna più o meno il minuto trenta, iniziano le micro-decisioni che rovinano la ricostruzione. E non arrivano dai “cattivi”, arrivano dai migliori: persone esperte, reattive, abituate a proteggere lo studio. Vedo spesso la stessa scena, con variazioni minime. Il partner che ordina di “cambiare tutte le password” subito, senza sapere quali account siano coinvolti, senza bloccare sessioni già attive, senza preservare i dati che dimostrerebbero quali accessi anomali ci sono stati. L’IT che reinstalla una macchina “per sicurezza” e, così facendo, azzera artefatti utili a capire se c’è stato esfiltration o solo tentativo. L’assistente che cancella le mail “per non farle vedere”, come se la vergogna fosse più pericolosa dell’attaccante. Il collaboratore che inoltra il messaggio sospetto a mezzo studio “per avvisare”, e finisce per diffondere l’attacco o normalizzarne il contenuto. Sono autogol travestiti da prudenza. E la cosa più amara è che, una volta fatti, non si torna indietro.

Tra il minuto quaranta e il cinquantacinque lo studio moderno diventa una mappa mentale fatta di account e dipendenze. La posta elettronica non è solo posta: è agenda, è flusso di autorizzazioni, è reset di password, è accesso ai documenti condivisi. Se perdi la posta, spesso perdi anche il controllo dell’ecosistema. Se perdi l’agenda, perdi udienze, call, promemoria, e la credibilità del “noi siamo presenti”. Se perdi l’archivio cloud, perdi versioni, cronologie, talvolta anche la prova di chi ha visto cosa e quando. E poi ci sono i dispositivi personali usati per lavoro, l’MFA impostato su un telefono che magari è lo stesso su cui arrivano i messaggi del gruppo di famiglia, le app di messaggistica in cui circolano documenti “solo per comodità”, i token lasciati in sessione su un laptop che passa di mano in mano in emergenza. Qui la tensione è reale: bloccare accessi, sì, perché la propagazione è un rischio concreto; ma farlo in modo cieco può rendere impossibile capire cosa è successo. A volte la differenza la fa una scelta quasi invisibile: isolare senza formattare, sospendere senza cancellare, revocare sessioni mantenendo le evidenze. È un equilibrio scomodo, eppure è proprio lì che si decide se l’incidente rimane confinato o si espande in ogni cartella condivisa, in ogni contatto, in ogni casella “secondaria” che nessuno ricordava più.

Tra il minuto cinquantacinque e il sessantacinque entra in scena la reputazione, che non è un tema “di marketing”, è un tema probatorio e fiduciario. La comunicazione, mentre l’incidente è in corso, è un rischio in due direzioni: tacere troppo e sembrare opachi; dire troppo e compromettere indagini, creare panico, alimentare voci, o peggio fissare per iscritto ipotesi non verificate. È il momento in cui lo studio dovrebbe avere una voce sola anche verso l’interno: il team deve sapere cosa fare e cosa non fare, senza interpretazioni individuali. Poi ci sono i clienti coinvolti o potenzialmente coinvolti: spesso chiedono certezze quando certezze non ne hai. Qui conta la scelta delle parole, quasi la grammatica dell’onestà: dire che si sta indagando, che alcune misure sono state adottate, che ci sarà un aggiornamento a una certa ora, senza inventare dettagli “per tranquillizzare”.

Infine, i fornitori e, se serve, i consulenti forensi: attivarli presto non è un segno di debolezza, è un modo per evitare che lo studio si ritrovi, giorni dopo, a ricostruire con strumenti impropri ciò che poteva essere preservato con metodo.

Ed eccoci al minuto sessantacinque, settanta, settantadue. Non hai “chiuso” l’incidente. Non hai ancora la timeline completa, né la certezza sull’impatto. Però hai fatto una cosa decisiva: hai impostato le prossime 72 ore.

Se nei primi 72 minuti hai contenuto senza cancellare, centralizzato le decisioni, preservato la riservatezza e ridotto il caos comunicativo, allora il dopo diventa gestibile anche quando entrano in gioco gli obblighi di notifica e le valutazioni sul rischio per i diritti e le libertà delle persone. Se invece hai rincorso, improvvisato, scritto ovunque e fatto pulizia nel modo sbagliato, le 72 ore diventano una corsa a ostacoli in cui ti mancano proprio gli elementi che servono per correre.

Quando l’incidente passa, lo studio resta con qualcosa di più di un problema tecnico risolto. Resta con la fiducia messa alla prova, con la consapevolezza che certe abitudini erano comode ma fragili, con una documentazione che o è ordinata e difendibile oppure è un labirinto. E resta, se si è lucidi, una piccola opportunità: trasformare l’episodio in protocollo leggero, non in un manuale che nessuno leggerà. Alcune “abitudini” nella zona di confort, riviste e modificate contano più di dieci policy firmate e dimenticate: canali chiari quando c’è un’emergenza, ruoli minimi ma netti, routine di backup testate sul serio, controllo degli accessi che non sia solo “abbiamo l’MFA”, ma sappiamo veramente cosa fare ?!

In fondo, le domande che mi restano addosso dopo ogni incidente in uno studio sono sempre le stesse, e non hanno nulla di teorico.

Esiste davvero un referente unico per le emergenze digitali, o si scopre solo nel caos chi prende in mano la situazione? Dove finiscono le prime comunicazioni quando qualcosa esplode, in una chat, in una mail, in un vocale che domani non trovi più? Chi decide cosa dire al cliente, e quando, e con quale livello di prudenza senza scivolare nell’opacità? E soprattutto, lo studio preferisce “ripartire” subito o “capire” subito: quale delle due scelte, nella pratica, ha protetto meglio i clienti nelle crisi che avete vissuto?

Yuri Lucarini Informatico Forense – Criminologo

#IncidentResponse #CyberSecurity #DigitalForensics #LegalTech #DataProtection

Fonti per approfondimento:

• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf ; 

• https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en ;

• https://www.edpb.europa.eu/sme-data-protection-guide/data-breaches_en ; 

• https://ico.org.uk/for-organisations/advice-for-small-organisations/personal-data-breaches/72-hours-how-to-respond-to-a-personal-data-breach/