Funzioni crittografiche e conservazione delle password: le linee guida del Garante Privacy e ANC

Fonte: Linee guida Funzioni Crittografiche Conservazione delle Password.pdf

La Redazione

24 Gennaio 2024

L’accesso alla maggior parte dei sistemi e servizi informatici prevede il superamento di procedure di autenticazione informatica a uno o più fattori che, spesso, comprendono l’utilizzo di una password. La gestione delle password diventa dunque un aspetto fondamentale ai fini della sicurezza informatica e della protezione dei dati personali.

Nell'ambito della cooperazione istituzionale tra Garante Privacy e Agenzia per la cybersicurezza nazionale, l'ACN ha svolto approfondimenti in ordine alle migliori prassi per proteggere le password, predisponendo, in collaborazione con l'Ufficio del Garante, le “Linee Guida Funzioni Crittografiche – Conservazione delle Password” (provvedimento Garante per la protezione dei dati personali, n. 594 del 7 dicembre 2023 e decreto del direttore generale dell'Agenzia per la cybersicurezza nazionale, prot. n. 31593 del 13 dicembre 2023), che contengono indicazioni e raccomandazioni sulle funzioni allo stato dell'arte (cc.dd. algoritmi di password hashing) e sui relativi parametri di utilizzo.

Le Linee Guida rispondono all'esigenza di individuare misure tecniche allo stato dell'arte per proteggere le password degli utenti conservate nell'ambito dei sistemi di autenticazione informatica o di altri sistemi e di favorirne la diffusione e l'adozione, in modo che i titolari e i responsabili del trattamento, anche in attuazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, assicurino la conformità al principio di integrità e riservatezza e l'adempimento degli obblighi di sicurezza e siano in grado di comprovarlo.

Il Garante precisa che l'adozione delle misure tecniche individuate nelle Linee Guida in oggetto risulti necessaria, in particolare, laddove sia soddisfatta una o più delle seguenti condizioni:

il trattamento riguarda le password di un numero significativo di utenti;
il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l'ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento.

(Fonte: Diritto e Giustizia)

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Cerca nel testo