WEBINAR / 9 Giugno
Documenti informatici: archiviazione, conservazione e consegna


Fra sistemi di conservazione e responsabilità di soggetti vigilati

ZOOM MEETING
Offerte per iscrizioni entro il 15/05

SCOPRI I DETTAGLI

WEBINAR / 9 Giugno
Documenti informatici: archiviazione, conservazione e consegna
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Flash News
Privacy

Data breach: errata conservazione password e tardive comunicazioni agli utenti

21 Maggio 2026
Di cosa si parla in questo articolo
data breach Garante Privacy GDPR
Condividi

Il Garante Privacy, con provvedimento n. 280 del 17 aprile 2026, ha sanzionato una società per carenze nelle misure di sicurezza adottate a protezione dei dati personali degli utenti dei servizi on line offerti, in seguito ad un data breach che ha coinvolto migliaia di persone, a loro comunicato peraltro tardivamente.

L’attacco informatico aveva comportato in particolare l’esfiltrazione di nomi, cognomi, indirizzi email, username e password per accedere ai servizi informatici resi dalla società.

Dagli accertamenti del Garante sono emerse diverse violazioni del GDPR:

  • la conservazione di una parte delle password in chiaro e di un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati
  • la conservazione di credenziali relative a sistemi non più in uso, in violazione dei principi di limitazione della conservazione e di sicurezza dei dati
  • la tardiva comunicazione del data breach agli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà.

Con il provvedimento, in estrema sintesi, il Garante ribadisce che i titolari del trattamento devvano adottare misure tecniche e organizzative adeguate e di assicurare una gestione tempestiva e trasparente delle violazioni dei dati personali: le esigenze reputazionali rappresentate dalla società non possono prevalere sui diritti delle persone coinvolte.

Sull’inadeguata conservazione delle password

Nel corso dell’istruttoria, è emerso che, al momento in cui si è verificato il data breach, alcune password erano conservate previa applicazione di una funzione di hashing, mentre altre erano addirittura conservate in chiaro.

La funzione di hashing utilizzata è comunque risultata non robusta, in termini crittografici, e il suo utilizzo non ha rappresentato quindi per il Garante una misura efficace per proteggere le password degli utenti, in quanto sono note, già da diversi anni, gravi vulnerabilità di tale funzione che consentono di risalire, a partire da un digest, alla password che lo ha generato.

Al riguardo, il Garante rileva come la conservazione delle password mediante l’utilizzo di tecniche crittografiche allo stato dell’arte sia una delle misure che devono essere adottate per proteggere adeguatamente le password degli utenti di un sistema informatico o di un servizio online.

La conservazione delle password degli utenti in chiaro, o con tecniche crittografiche non allo stato dell’arte, si pone quindi in contrasto con l’art. 5, par. 1, lett. f), e con l’art. 32 del GDPR che, al par. 1, lett. a), individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio.

Inoltre, le credenziali di autenticazione (e gli altri dati personali) oggetto di violazione erano relativi a sistemi non più in uso dal 2022: il Garante ha quindi rilevato che la conservazione di credenziali di autenticazione (username e password) – tenuto conto degli elevati rischi per i diritti e le libertà delle persone fisiche presentati da tale trattamento – debba essere effettuata solo per il tempo strettamente necessario al perseguimento delle finalità per le quali tali dati sono trattati, quali, ad esempio, quelle di consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o, se del caso, di garantirne la sicurezza (es. memorizzazione delle ultime password impostate per impedirne il riuso da parte dell’utente, c.d. password history, o di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente).

Ciò, anche in considerazione del fatto che il progresso tecnologico, con il passare del tempo, può compromettere l’efficacia delle misure tecniche adottate per proteggere le password degli utenti.

Il Garante precisa inoltre che, ove il titolare del trattamento decida di effettuare il trattamento per il tramite di responsabili del trattamento (società terze responsabili di misure di sicurezza), come nel caso di specie, deve ricorrere esclusivamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.

Per il Garante, in sostanza, risulta evidente la colpa in eligendo in capo alla società stessa (ai sensi dell’art. 28 del GDPR).

La Società ha pertanto violato l’art. 5, par. 1, lett. e) e f), del GDPR, nonché l’art. 32 del GDPR, ovvero l’obbligo di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Sulla comunicazione del data breach agli interessati

La società non ha informato le migliaia di interessati coinvolti dalla violazione dei dati personali, poiché ha ritenuto che tale violazione, avente ad oggetto le credenziali di autenticazione (username e password) degli utenti dei propri servizi online, non fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Garante, tuttavia, ha ritenuto che la violazione dei dati personali fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e che pertanto la Società avrebbe dovuto effettuare la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del GDPR, in considerazione di una molteplicità di fattori:

  • la natura della violazione dei dati personali, che si è verificata nell’ambito di un attacco informatico finalizzato ad acquisire credenziali di autenticazione (username e password, in alcuni casi sotto forma di stringa di testo, detta anche digest) e altri dati personali (tra i quali, nome, cognome e indirizzo di posta elettronica, in alcuni casi fittizio)
  • la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dall’utilizzo delle credenziali di autenticazione oggetto di diffusione per accedere illecitamente a sistemi informatici o servizi online e consultare, o acquisire, dati personali degli interessati a cui sono riferite o di altre categorie di interessati
  • le considerazioni in ordine alle modalità di impostazione delle password (che in assenza di elementi idonei a comprovare il contrario – debbono essere considerate, in via prudenziale, come se fossero state scelte da ciascun utente) e l’abitudine degli utenti di utilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri sistemi informatici o servizi online o, comunque, di utilizzare password simili tra loro cambiando solo alcuni caratteri
  • il numero elevato di interessati a cui sono riferite le credenziali di autenticazione in questione e la facilità con cui è possibile risalire a specifiche persone fisiche, identificate o identificabili, dai dati personali oggetto di violazione
  • il basso livello di sicurezza garantito dalle funzioni crittografiche utilizzate per proteggere le password degli utenti conservate nei sistemi della società, in termini di resistenza ai più comuni attacchi informatici (es. a forza bruta o a dizionario) volti a individuare la password che ha generato un determinato digest.

Solo a seguito del provvedimento correttivo adottato dal Garante, la società ha informato gli interessati, coinvolti nella violazione dei dati personali, con l’invio di una comunicazione agli interessati per i quali disponeva di un indirizzo di posta elettronica e con l’effettuazione di comunicazioni pubbliche per informare i restanti (tramite comunicati stampa pubblicati sul sito web e sui canali social della Società e su un quotidiano a tiratura nazionale, nonché inviati ad alcune società clienti con l’invito a darne ampia diffusione al loro interno).

La Società ha precisato che il motivo del ritardo nella comunicazione era dipeso dal fatto che:

  • inizialmente la società non aveva ritenuto il data breach suscettibile di presentare un rischio elevato per gli interessati
  • destavano particolare preoccupazione i possibili rischi reputazionali derivanti dall’invio di detta comunicazione, che avrebbe avuto un impatto mediatico in un periodo peculiare per la società.

Le motivazioni addotte dalla Società non giustificano il ritardo con il quale è stata effettuata, peraltro a seguito di un provvedimento correttivo dell’Autorità, la comunicazione ai sensi dell’art. 34 del GDPR: l’aver fatto prevalere motivi reputazionali sui diritti di protezione dei dati degli interessati rappresenta un elemento di evidente scarso rispetto del principio di accountability al quale il titolare ha l’obbligo di conformare i trattamenti dallo stesso effettuati.

La Società, con la tardiva comunicazione della violazione dei dati personali, ha pertanto violato quanto previsto dall’art. 34 del GDPR.

Di cosa si parla in questo articolo
data breach Garante Privacy GDPR
Allegati

WEBINAR / 9 Giugno
Documenti informatici: archiviazione, conservazione e consegna


Fra sistemi di conservazione e responsabilità di soggetti vigilati

ZOOM MEETING
Offerte per iscrizioni entro il 15/05

SCOPRI I DETTAGLI

WEBINAR / 30 Giugno
Attuazione CCD 2: problematiche applicative


Questioni connesse alla concessione del credito e alla gestione del rapporto

ZOOM MEETING
Offerte per iscrizioni entro il 09/06

SCOPRI I DETTAGLI