L'Agenzia per la Cybersicurezza Nazionale, in collaborazione con il Garante per la Protezione dei Dati Personali, ha recentemente pubblicato importanti Linee Guida sulle funzioni crittografiche volte a migliorare la sicurezza dei dati sensibili e personali.

La crittografia è una tecnica essenziale per proteggere la confidenzialità e l'integrità dei dati durante la loro trasmissione e archiviazione.

Le nuove Linee Guida forniscono indicazioni dettagliate sull'uso corretto delle funzioni crittografiche per garantire un livello adeguato di sicurezza nei sistemi informativi.

‍

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti d’identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

‍

Il provvedimento del Garante intende fornire indicazioni su modalità e tempi di conservazione delle password, rivolgendosi in primo luogo a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici.

Nell’osservanza delle Linee Guida, titolari e responsabili possono orientare le proprie scelte tecnologiche, oppure progettare e realizzare i propri sistemi informatici e servizi online, in conformità ai principi di limitazione della conservazione e di integrità e riservatezza, nonché agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. e) e f), e 32 del Regolamento (UE) 2016/679).

‍

Allo stesso tempo, il provvedimento invita i produttori di prodotti, servizi e applicazioni a tener conto delle indicazioni fornite dal Garante nelle fasi di progettazione e sviluppo, al fine di consentire a titolari e responsabili del trattamento di utilizzare sistemi e tecnologie che integrino i principi di protezione dei dati.

‍

L’adozione delle misure tecniche raccomandate nelle Linee Guida in materia di funzioni crittografiche per la conservazione delle password, o di misure che garantiscono un analogo livello di sicurezza, risulta necessaria qualora sia soddisfatta una o più delle seguenti condizioni:

‍

- Il trattamento riguarda le password di un numero significativo di utenti (ad esempio: un numero elevato di soggetti in termini assoluti o espressi in percentuale della popolazione di riferimento a livello locale, regionale e nazionale).

- Il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (ad esempio: dipendenti di Pubbliche Amministrazioni o grandi imprese o organizzazioni).

- Il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679 (ad esempio: professionisti sanitari, avvocati, magistrati).

‍

Ricorrendo una o più delle predette condizioni, sono tenuti all’adozione di adeguate misure tecniche di protezione delle password, a titolo esemplificativo e non esaustivo, i seguenti soggetti:

‍

- Gestori delle identità digitali SPID e CieID, di posta elettronica certificata, prestatori di servizi fiduciari;

- Soggetti, pubblici e privati, che erogano servizi di conservazione dei documenti informatici a favore di terzi;

- Società che offrono servizi di fatturazione elettronica;

- Presidenza del Consiglio dei Ministri e Ministeri, Agenzie fiscali;

- Enti e istituti di ricerca pubblici di rilievo nazionale;

- Enti pubblici non economici di rilievo nazionale;

- Autorità amministrative indipendenti, forze di polizia, Regioni e Province autonome, Province e città metropolitane;

- Comuni con popolazione maggiore o uguale a 10.000 abitanti;

- Federazioni Nazionali, Ordini, Collegi e Consigli professionali;

- Camere di Commercio, industria, artigianato e agricoltura;

- Università e Istituti di istruzione universitaria;

- Strutture sanitarie pubbliche e private;

- Società e aziende che forniscono servizi ICT;

- Concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici, accertamento e riscossione dei tributi locali, ecc.);

- Fornitori di servizi di comunicazione elettronica accessibili al pubblico, gestori di servizi di posta elettronica;

- Società operanti nel settore della distribuzione di energia elettrica o del gas;

- Istituti di credito, società finanziarie, imprese assicurative, società di informazioni creditizie;

- Società di informazioni commerciali;

- Società che svolgono attività di commercio elettronico; 

- Partiti e movimenti politici, sindacati, CAF e patronati;

- Imprese di somministrazione di lavoro e ricerca del personale;

- Società che offrono servizi di prenotazione di strutture ricettive;

- Società che offrono servizi di biglietteria per trasporti (ad esempio: aerei, ferroviari e marittimi) e servizi di biglietteria per eventi teatrali, sportivi ed altri eventi ricreativi e d'intrattenimento;

- Società che erogano servizi di streaming.

‍

Di seguito alcuni punti chiave trattati nelle Linee Guida:

‍

1. Scelta delle funzioni crittografiche: le Linee Guida offrono orientamenti sulla selezione delle funzioni crittografiche più appropriate per specifiche esigenze e contesti, tenendo conto dei requisiti di sicurezza e delle prestazioni del sistema.

2. Implementazione sicura: vengono fornite indicazioni dettagliate sull'implementazione sicura delle funzioni crittografiche, inclusa la gestione delle chiavi crittografiche e la protezione contro attacchi crittografici noti.

3. Algoritmi raccomandati: vengono consigliati algoritmi crittografici robusti e sicuri, con particolare attenzione alle best practices e agli standard riconosciuti a livello internazionale.

4. Utilizzo delle firme digitali: le Linee Guida trattano anche l'uso delle firme digitali per garantire l'autenticità e l'integrità dei dati, con raccomandazioni su protocolli e algoritmi appropriati.

5. Comunicazione sicura: viene sottolineata l'importanza di utilizzare la crittografia per garantire la sicurezza delle comunicazioni su reti pubbliche o non affidabili, come Internet.

6. Aggiornamenti e revisioni: le Linee Guida incoraggiano gli operatori di sistema a monitorare e mantenere aggiornate le funzioni crittografiche utilizzate, tenendo conto degli sviluppi tecnologici e delle nuove minacce.

7. Conformità alle normative: si sottolinea l'importanza di conformarsi alle normative nazionali e internazionali in materia di crittografia e protezione dei dati, inclusi i regolamenti sulla privacy e la normativa sulla sicurezza informatica.

8. Collaborazione e consulenza: le organizzazioni sono incoraggiate a collaborare con esperti di sicurezza informatica e consulenti specializzati per valutare e migliorare la sicurezza crittografica dei propri sistemi informativi.

‍

Conclusione

In definitiva, l’adozione delle presenti Linee Guida potrebbe certamente prevenire numerose problematiche connesse alla sicurezza e riservatezza dei dati, mitigando in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.

Basti pensare alle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali”, in base alle quali se, sono state adottate adeguate tecniche crittografiche per proteggere le password degli utenti, la violazione potrebbe non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti.

Le Linee Guida rappresentano un importante strumento per gli operatori di sistema e gli sviluppatori di software nel garantire un adeguato livello di sicurezza dei dati attraverso l'uso corretto delle funzioni crittografiche.

La collaborazione tra l'Agenzia per la Cybersicurezza Nazionale e il Garante per la Protezione dei Dati Personali testimonia dell'importanza attribuita alla protezione dei dati sensibili e alla promozione delle migliori pratiche in materia di sicurezza informatica.

‍

‍

‍

‍

‍

‍

‍

‍