Mi sono arrivate segnalazioni di strane mail, provenienti da
Bsacompliancesolutions.org, che dichiarano di rappresentare la Business
Software Alliance e chiedono una presa di contatto telefonica per una
“revisione sulle licenze Adobe come previsto dai termini di utilizzo dei
software”.
Le mail hanno un aspetto simile al seguente:
BSA | The Software Alliance è un’associazione di punta che rappresenta gli
interessi del settore mondiale del software. BSA promuove l’uso e l’adozione
dei processi di garanzia della qualità dei software attraverso un sistema di
gestione delle licenze e programmi di formazione in tutto il mondo.BSA la contatta per conto del proprio membro Adobe (bsa.org/membership)
nell’ambito dello speciale programma condotto per aiutare le aziende a
verificare e a gestire i software utilizzati, a ridurre i rischi legati
all’utilizzo di programmi non supportati e a fornire preziose informazioni
relative ai prodotti software.La preghiamo di comunicare la propria disponibilità a parlare di questa
verifica entro 15 giorni.Al fine di identificare il tempo e la data per questa chiamata, Le chiediamo
gentilmente di verificare le opzioni disponibili nel sito
https://calendly.com/%5Bomissis%5D
Salve,
ho provato a contattarla telefonicamente ma senza successo.
Possiamo sentirci quando e’ disponibile?
Le comunico che il nostro contatto non e’ una proposta commerciale, ma una
revisione sulle licenze Adobe come previsto dai termini di utilizzo dei
software.Rimango in attesa di un suo riscontro.
Grazie
Ci sono ottime ragioni per essere dubbiosi di un messaggio del genere:
-
la persona che ha inviato la mail dichiara di agire per conto della
Business Software Alliance, che è una nota associazione internazionale che da tempo promuove il software
proprietario dei propri membri anche perseguendo la violazione del copyright
sui software da parte delle aziende. Ma il dominio Internet della Business
Software Alliance è BSA.org, mentre la mail arriva da un dominio
completamente differente, ossia BSAcompliancesolutions.org: uno
schema tipico delle truffe online. -
La richiesta è in italiano, ma il numero di telefono è britannico (prefisso
+44, zona di Londra): come mai questa richiesta arriva dal Regno Unito? Eppure
la BSA dichiara di essere
operativa “in oltre 30 paesi”. E il suo quartier generale per
l’Europa è a
Bruxelles, non nel
Regno Unito. -
Una ricerca nel sito della BSA non trova nessuna citazione di
bsacompliancesolutions.org. -
Il sito
Bsacompliancesolutions.org
mostra abbondantemente i loghi della BSA, ma anche i siti dei truffatori
mostrano i marchi delle aziende che tentano di imitare, per cui questa
presenza non dimostra nulla. -
Se si fa una ricerca in Internet si trovano
pareri
molto contrastanti su Bsacompliancesolutions.org: alcuni dicono che è reale ed è
una emanazione di Adobe o di BSA; altri dicono che è una truffa. Il sito
antitruffa
Scamadviser
segnala di aver ricevuto oltre 1100 richieste di informazioni su
Bsacompliancesolutions.org e lo considera quasi sicuramente legittimo.
Aggiunge che il nome di dominio è un redirect da
http://www.bsassi.org, bsassi.org e bsaenforcement.org.
In altre parole, per un utente comune questa mail è impossibile da verificare
e ha molti elementi sospetti. L’unico modo per sapere se è autentica o no è
contattare la BSA e chiederglielo.
L’ho fatto io per voi, passando dal suo
apposito indirizzo mail di contatto
(media@bsa.org) e
via Twitter
(@BSANews) e telefonando al numero
indicato nella mail sospetta, e la versione breve di questa storia è che
sì, Bsacompliancesolutions.org agisce per conto della BSA: me lo ha
confermato un portavoce della BSA.
Ma la BSA non può garantire che una specifica mail ricevuta provenga
effettivamente da Bsacompliancesolutions.org, e in ogni caso prima di rispondere
a messaggi di questo genere è opportuna un po’ di prudenza.
(La versione lunga è che quando ho inviato la mail dalla mia casella di lavoro
presso la RSI, ho ottenuto la risposta
“Il messaggio è stato rifiutato dal server di posta elettronica del
destinatario”, ma a quanto pare in realtà la mia mail è stata ricevuta nonostante il
messaggio d’errore. Fra l’altro, l’indirizzo media@bsa.org viene
rediretto su bsa@allisonpr.com, e a sua volta Allisonpr.com porta
all’agenzia di marketing e comunicazione britannica Allison+Partners (allisonpr.co.uk). Alla mia telefonata, invece, ha risposto una segreteria telefonica; ho
lasciato un messaggio ma non ho avuto risposta)
—
Infatti anche se BSAcompliancesolutions.org è effettivamente una emanazione della BSA,
resta la questione delle “revisioni” (o audit) delle licenze software
che vengono effettivamente chieste dalla BSA o da organizzazioni legate alla
BSA. Un articolo del 2010 di
Redmondmag
racconta vari casi di queste richieste che sono state respinte nettamente dai
responsabili software e dagli uffici legali delle aziende contattate dalla BSA o da suoi incaricati
perché erano prive di basi giuridiche. La BSA è un’associazione privata, e
come tale non ha il diritto di perquisire o ispezionare nulla.
Anche il portavoce della BSA mi ha confermato via mail che le revisioni sono
“su base completamente volontaria”: quindi non sentitevi obbligati a
rispondere o a collaborare.
La dichiarazione completa del portavoce della BSA:
BSA | The Software Alliance is a trade association based in Washington, DC
that focuses on policy advocacy. We advocate on behalf of makers of
enterprise software in the United States, before the European Union through
our office in Brussels, and in a number of capitals worldwide. Our advocacy
focuses on advancing privacy, cybersecurity, artificial intelligence, and
digital trade policies that help to support digital transformation across
every industry.Like many other trade associations, BSA also
operates programs, collectively under the umbrella of its
Compliance Solutions
division, that help to promote the overall marketplace for enterprise
software. One of these programs involves outreach to end-users of certain
BSA members’ products to educate them on the benefits of using fully
licensed software and the cybersecurity and other risks of unlicensed
software.Our ultimate goal in engaging these end users is to
work with IT decisionmakers, on a completely voluntary basis, to assess
their organization’s software requirements and usage, identify gaps, and
explore solutions. Because of the nature of those assessments, and so as to
not prejudge any circumstances, we do not comment on our interactions or
engagement with any specific organization.
Gli esperti
raccomandano
a chi riceve mail con richieste di revisione delle licenze software di non
rispondere subito ma di esaminare prima di tutto i contratti di licenza dei
propri software, specificamente le loro clausole sui controlli e sulle
conformità (auditing e compliance), e di non offrire a terzi
pieno accesso ai propri sistemi informatici, anche perché questo potrebbe
comportare problemi di sicurezza e di conformità alle leggi sulla protezione
dei dati.
Come regola generale, inoltre, è opportuno chiedere che qualunque richiesta di
questo tipo venga inviata per iscritto o con e-mail certificata; una semplice
mail normale non è sufficiente.
E infine, se vi state chiedendo come mai la BSA o i suoi affiliati hanno
deciso di contattare proprio voi, ci possono essere due ragioni: la prima è
che molti software commerciali sono in grado di segnalare alle case
produttrici, via Internet, quando e dove una loro copia viene usata senza licenza, e
la seconda è che la BSA offre ricompense fino a 10.000 euro per chi fa
segnalazioni
di presunte piraterie software.
L’intento della BSA, ossia far pagare le licenze software a tutti e
contrastare la pirateria, è insomma lodevole, ma i metodi che usa o che
vengono usati dai suoi rappresentanti sono poco chiari e possono causare
facilmente fraintendimenti. Siate prudenti.