Con Provvedimento del 7 dicembre scorso, il Garante per la protezione dei dati personali (Garante Privacy), congiuntamente all’Agenzia per la cybersicurezza nazionale (ACN), hanno pubblicato le nuove Linee guida in materia di conservazione delle password, che forniscono indicazioni rilevanti sulle misure tecniche da adottare.
L’obiettivo è quello di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, poiché molte violazioni dei dati personali sono solitamente collegate alle modalità di protezione delle password.
A tale scopo, nel provvedimento in oggetto vengono fornite raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (ovvero username e password) vengano violate, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.
La maggior parte dei furti di identità, infatti, sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.
L’utilizzo della stessa password per l’accesso a diversi servizi online, inoltre, acuisce il problema, poiché in tali casi la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.
Il garante richiama alcuni studi di settore, che hanno dimostrato come il furto di username e password vengano il più delle volte utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%), nei portali di e-commerce (21,2%), oppure a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
L’adozione delle misure tecniche individuate nelle Linee Guida sono quindi ritenute necessarie per tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, ove il trattamento dei dati:
- riguardi le password di un numero significativo di utenti (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.);
- riguardi le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni);
- riguardi le password di specifiche tipologie di utenti che, in modo sistematico, trattino, con l’ausilio di sistemi informatici, dati personali appartenenti a categorie particolari di interessati, o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (es. professionisti sanitari, avvocati, magistrati).