Con provvedimento del 7 dicembre 2023, il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale hanno pubblicato le nuove Linee guida in materia di conservazione delle password.
Un documento in cui sono contenute indicazioni rilevanti sulle misure tecniche da adottare per innalzare il livello di sicurezza delle password, sia da parte dei fornitori di servizi digitali che degli sviluppatori di software, ma anche dal lato degli utenti. L’obiettivo è quello di ridurre il numero delle violazioni dei dati personali, che spesso sono causate da una cattiva gestione delle password.
Il provvedimento contiene raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. In particolare, viene consigliato l’utilizzo di funzioni crittografiche a chiave simmetrica o asimmetrica, che siano in grado di garantire un livello di sicurezza adeguato. Inoltre, viene raccomandato di adottare misure di sicurezza aggiuntive, come l’utilizzo di algoritmi di hashing e salting.
Sul fronte degli utenti, invece, l’utilizzo di una sola password per l’accesso a diversi servizi on-line è fortemente sconsigliato, poiché in tal caso la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.
Secondo alcuni studi di settore, il furto di username e password è utilizzato principalmente per accedere illecitamente ai siti di intrattenimento (35,6%), ai social media (21,9%), ai portali di e-commerce (21,2%), ai forum e siti web di servizi a pagamento (18,8%) e ai siti finanziari (1,3%).
Le linee guida sono applicabili a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti.
In particolare, le misure tecniche individuate nelle Linee guida sono ritenute necessarie nei seguenti casi, e cioè quando le password:
- riguardano un numero significativo di utenti (ad esempio, gestori di identità digitale, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, ecc.);
- riguardano utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni (ad esempio, dipendenti di pubbliche amministrazioni);
- riguardano specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati personali appartenenti a categorie particolari di interessati, o relativi a condanne penali e reati di cui agli artt. 9 e 10 del GDPR (ad esempio, professionisti sanitari, avvocati, magistrati).
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024
