Le risposte automatiche alle e-mail costituiscono uno strumento di continuità operativa la cui utilità è indubbia, con vantaggi pratici per mittente, destinatario ed eventuali relativi enti di appartenenza. Lo stesso Garante privacy ancora nel 2007 suggeriva l’attivazione di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti (..) che consentano di inviare automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le “coordinate” (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura”[1]. In caso di cessazione del rapporto di lavoro, sempre il GPDP di recente ha ribadito, previa disattivazione dell’account, l’opportunità dell’“adozione di sistemi automatici volti a informarne i terzi e a fornire a questi ultimi indirizzi alternativi”[2]. Tali indicazioni si collocano nel solco dei principi di correttezza, trasparenza e continuità operativa del Titolare e quadro degli obblighi organizzativi in materia di protezione dei dati personali.
Tuttavia, alla luce degli obblighi in materia di analisi dei rischi di cui alla normativa NIS2 e di classificazione delle informazioni di cui la ISO/IEC 27001:2022[3], occorre interrogarsi se sia sempre una pratica neutra o benefica, ovvero se non possa, in determinate configurazioni o condizioni, ampliare la superficie di attacco dell’organizzazione. Facendo un parallelo, lo stesso GPDP, in campagne informative rivolte ai cittadini, ha messo in guardia rispetto alla pubblicazione sui social network di informazioni relative alla vita privata, alla propria abitazione, alle vacanze, etc., evidenziando come “postando sui social network informazioni sulle vacanze si potrebbe far sapere a eventuali malintenzionati che in casa non c’è nessuno. (..) I “social-ladri” non vanno in vacanza [e] Il pericolo aumenta se poi si scrive anche quando si parte e per quanto tempo si resterà in ferie”[4].
Indice degli argomenti
Informazioni desumibili
Dalle informazioni contenute negli Out of Office (OOO) è possibile desumere sia informazioni di carattere personali del mittente che di tipo tecnico volte, le une come le altre, tanto più se incrociate, ad aumentare la potenziale superficie di attacco.
Informazioni di carattere personale
Talvolta gli OOO contengono l’indicazione precisa del periodo di assenza (es: “sarò fuori ufficio dal 10 al 24 agosto”) che consentono a chi riceve il messaggio di conoscere la finestra temporale certa di assenza del destinatario dal posto di lavoro. L’aspetto è ancora più critico in caso di lunga assenza. In quell’intervallo si può ipotizzare perlomeno un blando presidio della casella, se non addirittura la legittima volontà o l’impossibilità tecnica ad accedervi.
Inoltre, in scenari avanzati di combinazione con altre fonti OSINT come l’incrocio con altre informazioni eventualmente disponibili sui social (ad esempio fotografie da invidiabili mete turistiche o di ambienti domestici) amplifica il rischio non solo sotto in chiave cyber, ma anche con riferimento a possibili reati contro il patrimonio del diretto interessato.
I rischi aumentano se nell’e-mail di risposta automatica è inclusa, come spesso accade, la firma estesa del soggetto interessato. Spesso questa include l’indirizzo fisico del posto di lavoro, numeri di telefono e di cellulare ed esplicano e il ruolo ricoperto (es: “Responsabile acquisti”, “Direttore finanziario”, “HR Manager”, etc.) o comunque l’ambito lavorativo (es: “Ufficio Risorse Umane”, “Ufficio IT”, etc.), dati anche questi a loro volta ricavabili da altre fonti come, ad esempio, social destinati ad uso lavorativo (es. LinkedIn).
Analogamente, l’e-mail potrebbe contenere il nominativo, il ruolo e i dati di contatto del sostituto della persona assente.
Non è inusuale trovare negli OOO commenti personali o superflui sul motivo dell’assenza, quasi a giustificazione della stessa: messaggi che annunciano le sospirate ferie, menzionano uno stato di malattia, comunicano il periodo di chiusura aziendale (e il conseguente assenza di presidio dei locali) o pubblicizzano la partecipazione ad una importante fiera o convegno internazionale. L’indicazione stessa di un “accesso limitato alle e-mail in quanto all’estero” fornisce informazioni aggiuntive: probabilmente l’interessato almeno in certe fasce orarie leggerà le e-mail, ma risponderà solo a quelle realmente urgenti.
Informazioni di tipo tecnico
In caso di destinatario inesistente, le notifiche automatiche di mancata consegna[5] consentono tecniche di e-mail enumeration, ossia la verifica dell’esistenza di indirizzi validi, in quanto l’assenza di messaggi di errore, per converso, può implicitamente confermare la validità dell’indirizzo testato. Attraverso tecniche automatizzate, un attaccante può validare per tentativi liste di indirizzi allo scopo di affinare campagne di spam o phishing.
La notifica di casella piena[6] fornisce all’attaccante varie informazioni: i) conferma che l’indirizzo è attivo e utilizzato; ii) il destinatario non può ricevere comunicazioni via e-mail; iii) il destinatario non sta usando la sua e-mail (se ne sarebbe già accorto); iv) anche se messo in copia nelle comunicazioni, non le riceverà.
Le notifiche di errore talvolta includono dettagli tecnici sul sistema di posta utilizzato esponendo senza motivo informazioni sull’infrastruttura IT, consentendo l’identificazione di software e versioni in uso.
Informazioni miste
Infine, molti utenti non modificano la risposta automatica dei device. Molte e-mail arrivano con firme apparentemente innocue, quali “messaggio inviato dal mio iPhone” che rivelano però contemporaneamente due informazioni: la marca del device e l’informazione che in questo momento l’interessato non si trova al PC.
Possibili vettori di attacco
Unite, tutte queste informazioni agevolano all’attaccante la fase di “reconnaissance” del bersaglio, riducendo i tempi e i costi di mappatura dell’organizzazione (organizational mapping).
Le informazioni personali forniscono informazioni preziose per attacchi di impersonificazione con condotte di social engineering nei confronti di colleghi, clienti o fornitori, facendo riferimento all’assenza nota del referente abituale.
Ad esempio, nel caso dovesse essere nota l’assenza per ferie del CFO, potrebbe essere mandata una e-mail apparentemente proveniente dall’Amministratore Delegato (es: dall’indirizzo falsificato o da un dominio simile), contenente la richiesta urgente di un bonifico riservato per un’operazione confidenziale. L’assenza del CFO elimina un potenziale livello di verifica interna e rende l’operazione fraudolenta più credibile. Sappiamo infatti che la contemporanea presenza delle caratteristiche di urgenza ed autorevolezza (fonte provenienza) in un messaggio creano notevole tensione in chi lo riceve. Questo lo può facilmente indurre a non effettuare le opportune verifiche e a dare seguito in tempi brevi alla richiesta.
Un esempio pratico
L’informazione sulla partecipazione ad un convegno potrebbe essere sfruttata per inviare durante la finestra temporale e-mail tematicamente coerenti (es: slide dell’evento, pass, accesso ad agevolazioni). L’elevata contestualizzazione aumenta la probabilità che il destinatario apra un allegato malevolo o inserisca credenziali su un sito contraffatto.
La presenza dei riferimenti dei sostituti consente di sfruttare riferimenti incrociati (es: “come anticipato al dott. Rossi, attualmente assente”). La combinazione tra informazioni organizzative e contatto telefonico consente, con telefonate dirette e attacchi cross-channel per aumentare la credibilità dell’interlocutore fraudolento. Come è facile immaginare, in un’ottica di attacco mirato, i dettagli tecnici possono orientare tentativi di attacco specificamente costruiti per un determinato ecosistema tecnologico, ad esempio per individuare vulnerabilità note e pianificare attacchi mirati, oppure per predisporre un phishing che simuli una notifica Apple (es. “account iCloud bloccato”)
Normative di riferimento
Oltre al tema delle informazioni desumibili dai messaggi, ad uso dei malintenzionati come indicato, questi messaggi se configurati in modo non proporzionato potrebbero violare il principio di minimizzazione dei dati[7] contenuto nel GDPR. L’aspetto non viene praticamente preso in considerazione nel contesto della protezione dei dati personali.
Il controllo A.5.12 della ISO/IEC 27001:2022, denominato Classification of information, impone l’adozione di criteri formali per la classificazione delle informazioni in funzione del loro valore, della loro sensibilità e dell’impatto potenziale derivante da divulgazioni non autorizzate. L’applicazione del controllo alle comunicazioni descritte in questo articolo richiede di considerare tali messaggi non come meri automatismi operativi, bensì come veicoli potenziali di informazioni organizzative che possono assumere rilevanza sotto il profilo della sicurezza. Conseguentemente, anche queste informazioni devono essere oggetto di classificazione coerente con la loro sensibilità e con il contesto di diffusione.
Analogamente la ISO/IEC 27701:2025 “Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance” richiede che il titolare applichi nei confronti dei dati degli interessati misure specifiche come ad esempio i controlli:
- A.1.2.2 Identify and document purpose
- A.l.4.2 Limit collection
- A.l.4.3 Limit processing
- A.l.4.5 PII minimization
I soggetti NIS, inoltre, dovranno valutare se considerare queste fattispecie nella valutazione del rischio[8]:
- ID.RA-05: Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio.
In particolare, i controlli previsti stabiliscono che:
- In accordo al piano di gestione dei rischi per la sicurezza informatica di cui alla misura GV.RM-03, è eseguita e documentata la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, che comprende almeno: a) l’identificazione del rischio; b) l’analisi del rischio; c) la ponderazione del rischio.
- La valutazione del rischio di cui al punto 1 è eseguita a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi.
- La valutazione del rischio cui al punto 1 è approvata dagli organi di amministrazione e direttivi.
- La valutazione del rischio di cui al punto 1 è effettuata considerando almeno le minacce interne ed esterne, le vulnerabilità non risolte e gli impatti conseguenti ad eventuali incidenti.
Misure di mitigazione
Le risposte automatiche non sono di per sé sempre dannose. La loro implementazione va valutata caso per caso, partendo dalla differenziazione del profilo di rischio effettuata sulla base del dal ruolo del destinatario: un conto è un messaggio OOO di un C-Level contenente date, contatti e motivi di assenza, un altro è un OOO riferito ad una figura esecutiva di basso livello che segnala di contattare l’Ufficio Centrale. In taluni casi, come ad esempio nel caso di un dipendente cessato ove è l’unica strada percorribile per non perdere comunicazioni, è sufficiente indicare una e-mail di ruolo.
Una misura di mitigazione può consistere nella limitazione delle risposte automatiche ai soli domini aziendali o a mittenti presenti in rubriche interne, riducendo così l’esposizione verso l’esterno. La maggior parte delle piattaforme di posta elettronica, inclusi Microsoft 365 e Google Workspace, consentono di creare messaggi diversi per ciascuna tipologia di mittente pubblico.
Se verso l’interno potrebbe non essere un problema aggiungere informazioni, verso l’esterno è consigliabile minimizzarle al massimo. Nella maggior parte dei casi sarà sufficiente indicare una e-mail di ruolo, es: “Al momento sono fuori ufficio. In caso di urgenza contattare supporto@nomeazienda.it”.
È possibile, inoltre, valutare se adottare in caso di errore tecniche di “silent drop”, vale a dire scartare il messaggio senza inviare al mittente alcuna risposta di errore. A sua volta, questa soluzione presenta altre criticità (il mittente non è a conoscenza che il messaggio è stato scartato) ed è consigliabile, pertanto, adottarla solo nei confronti degli indirizzi esterni al dominio aziendale.
Riservatezza e technostress
Le informazioni di natura tecnica sul device o sull’infrastruttura di posta dovrebbero essere sempre omesse e talune tipologie di risposte, come quelle relative alle caselle inesistenti, dovrebbero essere completamente disattivate con reindirizzamento in ingresso verso un indirizzo dedicato al loro filtraggio. La misura introduce però altre tematiche legate alla tutela della riservatezza delle comunicazioni, tutte da valutare.
Rimane infine la considerazione su una prassi sicuramente lavorativamente sbagliata ma oramai molto diffusa. Le OOO sono nate in un’epoca nella quale i PC erano solo fissi, ed in vacanza non eravamo sempre raggiungibili dallo smartphone. Soprattutto a certi livelli, quelli più a rischio da questi messaggi, c’è una generale attenzione alle e-mail anche nei periodi di ferie. Si tratta però di una finta soluzione, che apre più scenari di rischio di quanti non ne eviti, primo dei quali, ça va sans dire, la sindrome da technostress da always on con i conseguenti errori umani da overload.
Soppesati i pro e i contro delle possibili soluzioni esposte, la principale mitigazione del rischio si otterrà mediante una capillare attività di sensibilizzazione sul corretto utilizzo dei messaggi OOO, sostenute da apposite integrazioni del Regolamento per il corretto utilizzo dei Sistemi informativi aziendali.
Verso un bilanciamento tra continuità operativa e sicurezza
Le indicazioni fornite dal GPDP in materia di attivazione delle risposte automatiche alle e-mail risultano pienamente coerenti con i principi di buona organizzazione amministrativa, continuità operativa e tutela degli interessati e nell’interesse dell’organizzazione, ma l’evoluzione del panorama delle minacce informatiche ne impongono una rilettura alla luce di un approccio strutturato di analisi e gestione del rischio, come anche indicato dal GDPR, dalle norme della famiglia ISO/IEC 27000 e dalla NIS2.
Note
[1] GPDP Lavoro: le linee guida del Garante per posta elettronica e internet [1387522] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1387522
[2] GPDP Provvedimento del 23 giugno 2025 [10161563] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10161563
[3] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements https://www.iso.org/standard/27001 specificatamente per il controllo 5.12 Classificazione delle informazioni
[4] GPDP E-state in privacy https://www.garanteprivacy.it/temi/estate
[5] RFC 5321 – 550 – Mailbox unavailable https://datatracker.ietf.org/doc/html/rfc5321
[6] RFC 5321 – 552 – Mailbox full
[7] GDPR Art. 5 1. I dati personali sono: (C39) (..) c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
[8] Determinazione ACN 379907 del 18/12/2025 (che ha abrogato e sostituito la determinazione ACN 164179 del 14/04/2025)
