Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”.
Successivamente, con un comunicato del 1° marzo 2024, il Garante ha altresì pubblicato alcune FAQ che rispondono ad alcuni grandi interrogativi inerenti al tema della sicurezza delle password:
- L’adozione di queste Linee Guida risulta necessaria in presenza di una delle tre seguenti condizioni:
- il trattamento riguarda le password di un numero significativo di utenti;
- il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
- il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.
- I destinatari di queste Linee Guida, pertanto, sono “tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici”, rispetto ai quali il Garante fornisce un elenco a mero titolo esemplificativo:
- Gestori delle identità digitali SPID e CieID;
- gestori di posta elettronica certificata;
- società che svolgono attività di commercio elettronico;
- partiti e movimenti politici;
- sindacati, ecc.
- Tali linee Guida si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori nonché alla cronologia delle password: la sicurezza non è mai troppa!
- Le Password degli utenti devono essere tempestivamente cancellate, anche in modo automatico, in queste due casi:
- Cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
- Disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.
Qualora queste Linee Guida vengano adottate scrupolosamente, il rischio di subire violazioni di dati personali diminuisce notevolmente.
Tuttavia, qualora la violazione presentasse rischi per i diritti e le libertà degli interessati, rimane obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).
E voi, alla luce di queste Linee Guida, potete dire di adottare le corrette misure di sicurezza in materia di conservazione delle Password?
