Le mail da BSAcompliancesolutions.org sono autentiche? Sì, però attenzione!

Mi sono arrivate segnalazioni di strane mail, provenienti da Bsacompliancesolutions.org, che dichiarano di rappresentare la Business Software Alliance e chiedono una presa di contatto telefonica per una “revisione sulle licenze Adobe come previsto dai termini di utilizzo dei software”.

Le mail hanno un aspetto simile al seguente:

BSA | The Software Alliance è un'associazione di punta che rappresenta gli interessi del settore mondiale del software. BSA promuove l’uso e l’adozione dei processi di garanzia della qualità dei software attraverso un sistema di gestione delle licenze e programmi di formazione in tutto il mondo.

BSA la contatta per conto del proprio membro Adobe (bsa.org/membership) nell’ambito dello speciale programma condotto per aiutare le aziende a verificare e a gestire i software utilizzati, a ridurre i rischi legati all’utilizzo di programmi non supportati e a fornire preziose informazioni relative ai prodotti software.

La preghiamo di comunicare la propria disponibilità a parlare di questa verifica entro 15 giorni.

Al fine di identificare il tempo e la data per questa chiamata, Le chiediamo gentilmente di verificare le opzioni disponibili nel sito https://calendly.com/[omissis]

Salve,

ho provato a contattarla telefonicamente ma senza successo.

Possiamo sentirci quando e’ disponibile?

Le comunico che il nostro contatto non e' una proposta commerciale, ma una revisione sulle licenze Adobe come previsto dai termini di utilizzo dei software.

Rimango in attesa di un suo riscontro.

Grazie

Ci sono ottime ragioni per essere dubbiosi di un messaggio del genere

  • la persona che ha inviato la mail dichiara di agire per conto della Business Software Alliance, che è una nota associazione internazionale che da tempo promuove il software proprietario dei propri membri anche perseguendo la violazione del copyright sui software da parte dalle aziende. Ma il dominio Internet della Business Software Alliance è BSA.org, mentre la mail arriva da un dominio completamente differente, ossia BSAcompliancesolutions.org: uno schema tipico delle truffe online.
  • La richiesta è in italiano, ma il numero di telefono è britannico (prefisso +44, zona di Londra): come mai questa richiesta arriva dal Regno Unito? Eppure la BSA dichiara di essere operativa “in oltre 30 paesi”. E il suo quartier generale per l’Europa è a Bruxelles, non nel Regno Unito. 
  • Una ricerca nel sito della BSA non trova nessuna citazione di bsacompliancesolutions.org.
  • Il sito Bsacompliancesolutions.org mostra abbondantemente i loghi della BSA, ma anche i siti dei truffatori mostrano i marchi delle aziende che tentano di imitare, per cui questa presenza non dimostra nulla. 
  • Se si fa una ricerca in Internet si trovano pareri molto contrastanti su Bsacompliancesolutions.org: alcuni dicono che è reale ed è una emanazione di Adobe o di BSA; altri dicono che è una truffa. Il sito antitruffa Scamadviser segnala di aver ricevuto oltre 1100 richieste di informazioni su Bsacompliancesolutions.org e lo considera quasi sicuramente legittimo. Aggiunge che il nome di dominio è un redirect da www.bsassi.org, bsassi.org e bsaenforcement.org.

In altre parole, per un utente comune questa mail è impossibile da verificare e ha molti elementi sospetti. L’unico modo per sapere se è autentica o no è contattare la BSA e chiederglielo.

L’ho fatto io per voi, passando dal suo apposito indirizzo mail di contatto (media@bsa.org) e via Twitter (@BSANews) e telefonando al numero indicato nella mail sospetta, e la versione breve di questa storia è che sì, Bsacompliancesolutions.org agisce per conto della BSA: me lo ha confermato un portavoce della BSA. Ma la BSA non può garantire che una specifica mail ricevuta provenga effettivamente da Bsacompliancesolutions.org, e in ogni caso prima di rispondere a messaggi di questo genere è opportuna un po’ di prudenza.

(La versione lunga è che quando ho inviato la mail dalla mia casella di lavoro presso la RSI, ho ottenuto la risposta “Il messaggio è stato rifiutato dal server di posta elettronica del destinatario”, ma a quanto pare in realtà la mia mail è stata ricevuta nonostante il messaggio d’errore. Fra l’altro, l’indirizzo media@bsa.org viene rediretto su bsa@allisonpr.com, e a sua volta Allisonpr.com porta all’agenzia di marketing e comunicazione britannica Allison+Partners (allisonpr.co.uk). Alla mia telefonata, invece, ha risposto una segreteria telefonica; ho lasciato un messaggio ma non ho avuto risposta)

---

Infatti anche se BSAcompliancesolutions.org è effettivamente una emanazione della BSA, resta la questione delle “revisioni” (o audit) delle licenze software che vengono effettivamente chieste dalla BSA o da organizzazioni legate alla BSA. Un articolo del 2010 di Redmondmag racconta vari casi di queste richieste che sono state respinte nettamente dai responsabili software e dagli uffici legali delle aziende contattate dalla BSA o da suoi incaricati perché erano prive di basi giuridiche. La BSA è un’associazione privata, e come tale non ha il diritto di perquisire o ispezionare nulla.

Anche il portavoce della BSA mi ha confermato via mail che le revisioni sono “su base completamente volontaria”: quindi non sentitevi obbligati a rispondere o a collaborare.

La dichiarazione completa del portavoce della BSA:

BSA | The Software Alliance is a trade association based in Washington, DC that focuses on policy advocacy. We advocate on behalf of makers of enterprise software in the United States, before the European Union through our office in Brussels, and in a number of capitals worldwide. Our advocacy focuses on advancing privacy, cybersecurity, artificial intelligence, and digital trade policies that help to support digital transformation across every industry.

Like many other trade associations, BSA also operates programs, collectively under the umbrella of its Compliance Solutions division, that help to promote the overall marketplace for enterprise software. One of these programs involves outreach to end-users of certain BSA members’ products to educate them on the benefits of using fully licensed software and the cybersecurity and other risks of unlicensed software.

Our ultimate goal in engaging these end users is to work with IT decisionmakers, on a completely voluntary basis, to assess their organization’s software requirements and usage, identify gaps, and explore solutions. Because of the nature of those assessments, and so as to not prejudge any circumstances, we do not comment on our interactions or engagement with any specific organization.

Gli esperti raccomandano a chi riceve mail con richieste di revisione delle licenze software di non rispondere subito ma di esaminare prima di tutto i contratti di licenza dei propri software, specificamente le loro clausole sui controlli e sulle conformità (auditing e compliance), e di non offrire a terzi pieno accesso ai propri sistemi informatici, anche perché questo potrebbe comportare problemi di sicurezza e di conformità alle leggi sulla protezione dei dati.

Come regola generale, inoltre, è opportuno chiedere che qualunque richiesta di questo tipo venga inviata per iscritto o con e-mail certificata; una semplice mail normale non è sufficiente.

E infine, se vi state chiedendo come mai la BSA o i suoi affiliati hanno deciso di contattare proprio voi, ci possono essere due ragioni: la prima è che molti software commerciali sono in grado di segnalare alle case produttrici, via Internet, quando e dove una loro copia viene usata senza licenza, e la seconda è che la BSA offre ricompense fino a 10.000 euro per chi fa segnalazioni di presunte piraterie software.

L’intento della BSA, ossia far pagare le licenze software a tutti e contrastare la pirateria, è insomma lodevole, ma i metodi che usa o che vengono usati dai suoi rappresentanti sono poco chiari e possono causare facilmente fraintendimenti. Siate prudenti.

Commenti