Le password aziendali rappresentano un elemento cruciale nella protezione di informazioni riservate e dati sensibili. Gestirle in modo inadeguato può infatti causare danni finanziari significativi e minare la fiducia dei clienti.

Di recente sono state rilasciate delle nuove linee guida riguardanti le funzioni crittografiche e la conservazione delle password, sia dall'Agenzia per la cybersicurezza nazionale che dal Garante Privacy, sottolineando l'importanza di proteggere queste informazioni nel contesto della cybersecurity.

Il Garante Privacy ha inoltre pubblicato una serie di FAQ con l'obiettivo di chiarire alcuni aspetti delle linee guida. Un’importante iniziativa presa in considerazione al crescente numero di segnalazioni di violazioni dei dati personali inviate al Garante in base al Regolamento UE 2016/679 (GDPR). L'obiettivo è quello di promuovere la sicurezza informatica nazionale e la tutela dei dati personali di tutti gli utenti.

Nonostante le continue notifiche di violazione delle password, proteggerle in modo efficace rimane una sfida complessa sia per le aziende che per gli enti responsabili del trattamento dei dati. In questo contesto, è essenziale adottare strategie e strumenti adeguati.

Cybersecurity: l’importanza di proteggere le password aziendali

L'accesso alla maggior parte dei sistemi e servizi informatici richiede il superamento di procedure di autenticazione che spesso coinvolgono l'uso di una password o di una parola chiave. La gestione di queste informazioni è di fondamentale importanza per la sicurezza informatica e la protezione dei dati personali. Questa responsabilità pone l'onere sui gestori dei sistemi e dei servizi di adottare misure tecniche e organizzative efficaci per la sicurezza, l'archiviazione, la conservazione e l'utilizzo delle password.

Molte delle segnalazioni di violazione dei dati riguardano incidenti di sicurezza che includono:

• Furto di credenziali di autenticazione, come nome utente e password, talvolta anche di account disattivati o relativi a servizi online o sistemi informatici non più in uso.
• Accessi non autorizzati utilizzando credenziali di autenticazione ottenute attraverso attacchi informatici.

L'Autorità ha quindi avviato indagini e ispezioni specifiche in questi casi, sia nei confronti dei titolari delle notifiche che dei responsabili del trattamento, per valutare l'efficacia delle misure tecniche e organizzative adottate per l'autenticazione.

Durante queste verifiche è emerso un uso limitato di misure di protezione adeguate in merito alle password conservate, spesso dovuto a una scarsa identificazione e valutazione del rischio da parte dei titolari e dei responsabili del trattamento.

Quali sono i rischi derivati dalla mancata protezione delle password?

Le password svolgono un ruolo cruciale nella protezione dei dati personali: la mancanza di adeguata protezione può spesso facilitare il furto di identità. Questo avviene quando le credenziali di autenticazione vengono archiviate in database non sufficientemente protetti con adeguate funzioni crittografiche.

Gli attacchi informatici frequentemente approfittano della pratica poco sicura in cui gli utenti utilizzano la stessa password per accedere a diversi servizi online. Impiegare la stessa password su più piattaforme espone a gravi rischi di sicurezza, poiché se una di queste viene violata, l'accesso a tutte le altre può essere compromesso.

I provvedimenti del Garante Privacy

Negli ultimi anni sono stati adottati diversi provvedimenti riguardanti la mancata protezione delle password e le relative violazioni di dati. Questi eventi hanno motivato l'Agenzia per la cybersicurezza nazionale e il Garante Privacy a sviluppare delle linee guida come contributo essenziale per mitigare tali rischi.

Alcuni di questi provvedimenti hanno coinvolto le ASL, il Ministero della Salute e l’ISTAT, ma anche società private, vittime di Data Breach.

In tutti questi casi si evidenzia una violazione delle disposizioni del Regolamento UE 2016/679, in particolare degli articoli 5, paragrafo 1, lettera f), 25 e 32, insieme alla mancanza di adeguate misure di sicurezza tecniche e organizzative adottate dai titolari e dai responsabili del trattamento rispetto ai rischi legati al trattamento dei dati.

A quali soggetti si applicano le Linee Guida del Garante Privacy?

Le Linee Guida devono essere seguite anche nel caso in cui Titolari o Responsabili del trattamento abbiano implementato delle procedure di autenticazione a più fattori o "strong authentication", che combinano l'uso di una password con uno o più elementi come dati biometrici o cronologia delle password.

Si estendono a una vasta gamma di soggetti, tra cui gestori di identità digitale come SPID o CieID, gestori di Servizi PEC, fornitori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, pubbliche amministrazioni, e anche utenti che trattano regolarmente dati sensibili come dati giudiziari o categorie particolari come definito dall'articolo 9 del Regolamento UE 2016/679, come professionisti sanitari, avvocati, magistrati.

Linee guida del Garante privacy: i concetti principali

In sintesi, le linee guida prendono in considerazione:

• L'uso di funzioni crittografiche robuste, fornendo indicazioni sui metodi considerati più sicuri al momento.
• L'introduzione del concetto di "password hashing" e la descrizione degli algoritmi più comuni, mettendo l'accento sui possibili attacchi agli archivi delle password.
• Indicazioni sui parametri raccomandati per gli algoritmi, elencati nella Tabella 1.
• I produttori di software sono invitati a considerare queste Linee Guida durante la progettazione e lo sviluppo dei loro prodotti, per garantire che integrino i principi di protezione dei dati.
• Le password non devono essere conservate per un periodo più lungo di quello necessario per verificare l'identità degli utenti o garantirne la sicurezza. Se un sistema informatico o un servizio online viene cessato, le password devono essere cancellate tempestivamente, anche automaticamente. Questo è importante per garantire la conformità al principio di protezione dei dati fin dalla progettazione e per impostazione predefinita.

Infine, è responsabilità dei soggetti coinvolti, in conformità al principio di responsabilizzazione, garantire che le misure adottate per proteggere le password offrano un adeguato livello di sicurezza.

Il Garante Privacy, attraverso le FAQ in materia di conservazione delle password, ha chiarito che in caso di data breach che coinvolge solo dati meramente personali e che non presenti rischi significativi per i diritti e le libertà degli interessati, potrebbe non essere necessaria la comunicazione. Questo, naturalmente, a condizione che il data breach sia adeguatamente documentato sul Registro dei Data Breach.

Per maggiori informazioni vi invitiamo a consultare il sito web ufficiale dell'Agenzia per la cybersicurezza nazionale e il sito istituzionale del Garante per la protezione dei dati personali.

‍