Imprese e Pubbliche Amministrazioni sono custodi delle password dei loro clienti e utenti: devono tenerle al riparo da occhi indiscreti e ladri digitali.
Altrimenti ci rimettono di tasca propria, sia in risarcimenti di danni alle persone cui si riferiscono le credenziali, sia in sanzioni amministrative per violazione della privacy.
È l'effetto del Provvedimento n. 594 DEL 7/12/2023, con il quale il Garante della privacy ha messo sul chi valà enti pubblici e privati che non pongono le attenzioni dovute alle credenziali usate dalle persone per accedere ai servizi disponibili sulla rete Internet.
In qualità di custodi, gli enti pubblici e privati (che sono i titolari del trattamento) devono mettere in atto oculate e costanti precauzioni per impedire accesso abusivo o esfiltrazioni delle credenziali di autenticazione: queste vanno cancellate se non sono più in uso e quelle valide (cioè usate correntemente da clienti e utenti) devono essere mascherate con super-algoritmi per essere tenute al riparo dai cyber-ladri. Ed è lo stesso Garante unitamente all'Agenzia perla Cybersicurezza Nazionale (ACN) ad individuare gli algoritmi di serie A in apposite linee guida, richiamate dal provvedimento generale citato.
Imprese e Pubbliche Amministrazioni mantengono sui propri sistemi informatici le password scelte e usate da clienti e cittadini per l'accesso ai servizi in rete.
Molto spesso si tratta di password di un numero elevato di interessati sia in ambito pubblico sia in ambito privato. Si pensi, per esempio, ai gestori dell'identità digitale SPID, a gestori di posta elettronica certificata, gestori di servizi di posta elettronica ordinaria, banche, assicurazioni, operatori telefonici, strutture sanitarie.
Il Garante sottolinea il caso di soggetti che accedono a banche dati di particolare rilevanza o dimensioni (per esempio dipendenti di Pubbliche Amministrazioni), oppure a categorie di utenti che abitualmente trattano dati sensibili o giudiziari (come professionisti sanitari, avvocati, magistrati).
Da un lato abbiamo, quindi, una serie di password caricate sui data base sparpagliati in rete.
Vista la situazione con gli occhi di un predatore elettronico si tratta di un bottino troppo ricco e troppo facile da lasciare. Al contrario, è una fonte inesauribile e in costante rinnovamento, in cui gli aggressori del web possono immergersi per un bracconaggio infinito di dati personali, sensibili e no.
Peraltro, secondo quanto sottolineato dallo stesso Garante, troppo spesso furti di identità sono causati dall'utilizzo di password archiviate in database non adeguatamente protetti con funzioni crittografiche e sono agevolati dalla diffusa cattiva abitudine di usare la stessa password (o una simile) per l'accesso a più sistemi informatici o servizi online. Insomma, il ladro è un delinquente, ma trova porte spalancate e casseforti aperte. Clienti e utenti concedono spazio alla propria pigrizia nell'utilizzo della stessa parola chiave come un passe-partout per una pluralità di applicazioni e piattaforme.
Dal canto loro i gestori dei servizi non blindano le parole chiave dei loro utenti, ma le lasciano esposte alla mercé di chi non può augurarsi di meglio che essere facilitato nel rintraccio.
E le conseguenze sono tragiche. Il Garante riporta alcune statistiche, da cui emerge che le password rubate dai cybercriminali vengono utilizzate per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Per fronteggiare i rischi da trascuratezze e avventatezze nella conservazione delle password, il Garante adotta una strategia su tre livelli.
- Il primo livello è il metodo di conservazione sicura delle password. La sequenza di segni, lettere e numeri che compone la password non deve essere conservata così com'è, ma deve essere manipolata, cosicché un delinquente possa al massimo avere accesso alla versione manipolata, ma non a quella effettiva.
Questa manipolazione a fin di bene è fatta con l'aiuto di algoritmi, i quali applicati alle password consentono la conservazione delle stesse non nella loro testualità, ma nella loro versione informatica rafforzata (hash). Naturalmente ci sono diverse qualità di algoritmi, catalogabili quanto ad efficacia e sicurezza.
Al riguardo, Garante e ACN indicano, nelle linee guida, gli algoritmi di prima classe da usare per conservare le password.
- Il secondo livello del contrasto al fenomeno della cattiva gestione delle password riguarda la conservazione, che deve essere non solo sicura, ma anche limitata nel tempo.
Il Garante prescrive, quindi, ai fornitori dei servizi in rete l'obbligo di cancellare tempestivamente le password, anche in modo automatico, quando non siano più necessarie per verificare l'identità degli utenti ai fini dell'accesso a sistemi informatici o servizi online o per garantirne la sicurezza (per esempio memorizzazione delle ultime password per impedirne il riuso, password history, o di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente) e, comunque, in caso di cessazione dei sistemi informatici o servizi online o di disattivazione delle credenziali di autenticazione.
Tenere le password, anche se non più usate per un servizio, significa agevolare chi ci tenta comunque ad usarle e scopre che sono ancora buone per un'altra piattaforma: e questo sempre per la ragione che l'utente sprovveduto e indolente ricicla su app diverse, ma a getto continuo, un numero limitato di password.
- Il terzo livello di contromisure riguarda quegli imprenditori che vendono prodotti e servizi per gestire le password, soprattutto a riguardo delle misure relative alle modalità di conservazione delle password e ai criteri da utilizzare per determinarne il periodo di conservazione.
Ai fornitori, anche se sono estranei ai trattamenti, il Garante formula l'invito di mettere sul mercato applicazioni e servizi già in linea con gli standard di sicurezza, così da rendere automatiche la conservazione delle password in ambiente protetto.
Non osservare le prescrizioni adottate dal Garante e dall'ACN significa innanzitutto esporsi al rischio di sanzioni amministrative. Chi non rispetta le linee guida Garante-ACN sulle funzioni crittografiche per la conservazione delle password si macchia della violazione di misure di attuazione del principio di integrità e riservatezza e della violazione degli obblighi in materia di sicurezza del trattamento, rispettivamente previsti dagli articoli 5, paragrafo 1, lett. f) e 32 del Regolamento UE sulla privacy n.2016/679 (Gdpr): la sanzione prevista per le violazioni dell'art. 32 arriva fino a 10 milioni di euro o, per le imprese, il 2% del fatturato annuo (se l'importo percentuale supera i 10 milioni di euro).
La sanzione per le violazioni dell'art. 5 arriva fino a 20 milioni di euro o, per le imprese, il 4% del fatturato annuo (se l'importo percentuale supera i 20 milioni di euro).
Inoltre, chi non osserva le indicazioni sui criteri da utilizzare per determinare il periodo di conservazione delle password si rende responsabile della trasgressione delle misure di attuazione del principio di limitazione della conservazione previsto dall’art. 5, par. 1, lett. e), del Gdpr: anche per questa ipotesi la conseguente sanzione arriva a 20 milioni di euro o, per le imprese, alla superiore cifra del 4% del fatturato.
A tutto ciò, infine, va aggiunto che, in base all’art. 82 Gdpr, il titolare del trattamento deve risarcire i danni materiali e immateriali causato da violazioni del Gdpr.
In proposito, si consideri che, secondo la Corte di giustizia dell'Unione europea, anche il solo timore di un potenziale uso improprio dei dati da parte di terzi, imputabile a imprese e Pubbliche Amministrazioni prive delle adeguate misure di sicurezza previste dal Gdpr, integra un danno morale, di cui si può chiedere il risarcimento (sentenza del 14/12/2023, resa nella causa C-340/21).
Da tutto ciò deriva che, se un'impresa o una Pubblica Amministrazione non rispetta le precauzioni sulle password, non solo subisce sanzioni amministrative da parte del Garante, ma può essere chiamata davanti ad un giudice civile a rispondere del danno immateriale consistente nel timore di un potenziale uso delle password sottratte dal cybercriminale, anche prima dell'effettivo utilizzo.
Sul punto si aggiunge che l'eventuale concorso dell'interessato che, imprudentemente ricicla le stesse password, potrà attenuare, ma non azzerare l'importo del risarcimento dovuto da imprese e Pubbliche Amministrazioni, se queste ultime non hanno seguito le disposizioni sulla sicurezza della conservazione delle credenziali.
Fonte: https://www.italiaoggi.it/news/la-password-va-custodita-bene-monito-del-garante-privacy-2622400#Echobox=1704177288
A cura di:
L'innovazione tecnologica richiede cambiamento culturale, organizzativo e l'adozione dell'IA per competere efficacemente.
Pubblicata in G.U. la legge 28/6/24, n. 90, sulla cybersicurezza nazionale e prevenzione dei reati informatici.
