Il Garante risponde alle FAQ sulle linee guida in materia di password

Le violazioni dei dati personali spesso avvengono a causa del fatto che gli utenti utilizzano le medesime password per accedere a diversi servizi online. Di conseguenza, la compromissione delle credenziali di autenticazione per l’accesso a un singolo servizio potrebbe poi comportare l’accesso non autorizzato anche a tutta una serie di altri sistemi. I cybercriminali, rubando username e password, possono commettere molte frodi a danno delle vittime. Alcuni dati riportano che il 35,6% dei dati rubati vengono utilizzati per accedere a siti di intrattenimento, il 21,9% per violare social media, mentre il 21,2% per entrare nei portali di e-commerce. Nel 18,8% dei casi il furto delle credenziali di accesso ha permesso di accedere a forum e siti web a pagamento mentre l’1,3% ha riguardato l’accesso a sistemi finanziari.

Le linee guida messe a punto dall’ACN e dal Garante si rivolgono alle imprese nonché alle amministrazioni che in qualità di titolari o responsabili del trattamento conservano sui propri sistemi le password degli utenti. Mediante le linee guida il Garante e l’ACN vogliono fornire delle raccomandazioni sulle funzioni crittografiche ritenute più sicure, almeno al momento, per la conservazione delle password così da evitare eventuali violazioni e comportare accessi illeciti, furti di identità, richieste di riscatto o altri tipi di attacchi.

Ecco le FAQ:

• Quali sono i soggetti destinatari del provvedimento del Garante in materia di conservazione delle password?

Il provvedimento di rivolge a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti all’interno dei propri sistemi informatici. Nel provvedimento sono indicate le modalità e i tempi di conservazione delle password. I titolari possono progettare e realizzare i propri sistemi informatici in conformità ai principi di limitazione della conservazione e integrità e riservatezza nonché agli obblighi in materia di sicurezza del trattamento. Anche i produttori di servizi e applicazioni sono invitati a tener conto delle indicazioni fornite dal Garante nelle fasi di progettazione e sviluppo.

• Quali sono i soggetti tenuti a adottare adeguate misure tecniche di protezione delle password?

L’adozione delle misure tecniche di conservazione delle password risulta necessaria nel caso in cui vengano soddisfatte una o più di queste condizioni:

1. il trattamento riguarda le password di un numero significativo di utenti;
2. l trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
3. il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.

• In caso di utilizzo di una procedura di autenticazione informatica a più fattori, è comunque necessario adottare misure di protezione delle password?

Sì, anche nel caso di una procedura di autenticazione a più fattori occorre seguire le linee guida dettate dall’Autorità e dall’ACN. Anche in questo caso, infatti, è opportuno proteggere in maniera adeguata le password anche in considerazione del fatto che gli utenti potrebbero utilizzare la stessa password per accedere a più sistemi informatici o servizi online.

• In cado di conservazione della cronologia delle password, è necessario applicare misure di protezione anche alle password impostate in precedenza dagli utenti?

Si, le linee guida devono essere applicate anche alla c.d. password history. Infatti, anche in questi casi la password degli utenti deve essere adeguatamente protetta proprio perché questi potrebbero utilizzare la medesima password per accedere a sistemi e servizi diversi.

• Come comportarsi in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione?

Adottando le cautele individuate nelle linee guida viene mitigato il rischio per gli utenti di violazioni dei dati.

• In quali casi occorre cancellare le password degli utenti seppur conservate in modo sicuro?

Le password devono essere cancellate tempestivamente in caso di:

1. cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
2. disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

(Fonte: Diritto e Giustizia)