Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

GDPR e trasferimento dati: aggiornate le decisioni di adeguatezza con la svizzera in primo piano   Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE ha stabilito regole stringenti per il trasferimento di dati personali oltre i confini europei. Secondo l'Articolo…

Fare Impresa con i Dati: l'Eccellenza in Brianza Siamo felici di essere stati protagonisti della rubrica “Imprese e Lavoro” del quotidiano La Provincia di Como di questa settimana. Un’occasione per confermare le nostre abilità e capacità che offriamo alle aziende…

La privacy fra i pilastri della sostenibilità d’impresa: 10 suggerimenti per la rendicontazione ESG Gli investimenti in ESG continuano ad aumentare: secondo recenti indagini le aziende sono oggi più consapevoli dell’importanza della rendicontazione sulla sostenibilità, sia per rendere più verde…

Natale e privacy: raccomandazioni per la data protection Durante le feste, ogni anno, si moltiplicano le minacce per la privacy. I rischi più comuni derivano sia da fonti esterne, quali cyber criminali che puntano sullo spirito natalizio per sferrare attacchi…

Password sicure, come fare? Nuove Linee Guida del Garante e ACN Con il Provvedimento del 7 dicembre 2023  l’Autorità Garante per la protezione dei dati personali ha adottato le “Linee Guida Funzioni Crittografiche – Conservazione delle Password”, che includono sia…

Password sicure, come fare? Nuove Linee Guida del Garante e ACN

Con il Provvedimento del 7 dicembre 2023  l’Autorità Garante per la protezione dei dati personali ha adottato le “Linee Guida Funzioni Crittografiche – Conservazione delle Password, che includono sia indicazioni sulle principali misure di sicurezza tecniche da applicare, sia i criteri da seguire per determinare i termini di conservazione delle password.
Cosa prevedono? A chi si applicano? Cosa succede in caso di mancato rispetto?

 
 
 

Le “Linee Guida Funzioni Crittografiche – Conservazione delle Password” (di seguito, per semplicità, le “Linee guida”) sono frutto della collaborazione fra l’Autorità Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale. La cooperazione fra i due enti deriva dal protocollo d’intenti stipulato il 26 gennaio 2022 e mira, fra le altre cose, a promuovere l’adozione di iniziative congiunte nel campo della sicurezza cibernetica nazionale e della protezione dei dati personali.

Nell’ambito di tali iniziative si collocano le Linee guida, sviluppate per fornire le migliori prassi per proteggere le password, attraverso indicazioni e raccomandazioni tecniche sui cc.dd. “algoritmi di password hashing”.

 

Perché le Linee guida erano necessarie? La cyber-insicurezza cresce

Il rapporto CLUSIT sulla sicurezza ICT in Italia, aggiornato nel mese di ottobre 2023, evidenzia che gli attacchi informatici in Italia seguono un trend di crescita stabile e costante dal 2018 (+86%).

Più che il dato quantitativo, tuttavia, ciò che interessa alle singole organizzazioni è l’impatto (la c.d. “Severity”) sulle attività di business svolte, che rappresenta un moltiplicatore dei danni subiti. I principali attacchi cyber rilevati nel corso del 2023, infatti, hanno provocato ingenti danni economici, legali e reputazionali.

Secondo il CLUSIT, nell’ultimo lustro si è verificato “un cambiamento sostanziale nei livelli globali di cyber-insicurezza, al quale evidentemente non è corrisposto un incremento sufficiente delle contromisure adottate dai difensori”.

Anche per quanto riguarda i sistemi di autenticazione informatica, il CLUSIT ha rilevato “una notevole immaturità ed una sottovalutazione del problema, che non è più giustificata a fronte della disponibilità di numerosi meccanismi di autenticazione forte, come ad esempio le password monouso via app sullo smartphone, la biometria, e così via, anche a prezzi che rasentano lo zero”.

La maggior parte degli attacchi informatici rilevati, infatti, sfruttano le cattive abitudini degli utenti rispetto alle modalità di gestione delle parole chiave di accesso a sistemi e applicativi. La composizione di password generiche agevola la compromissione delle credenziali; l’uso frequente della stessa password rappresenta una vulnerabilità in grado di ripercuotersi, a catena, su una pluralità di servizi. In aggiunta, il Garante ha rilevato, nell’ambito delle istruttorie effettuate, “una limitata applicazione di misure tecniche per proteggere in modo efficace le password di utenti conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, derivante anche da un’inadeguata individuazione e valutazione dei predetti rischi da parte di titolari e responsabili del trattamento”.

 

Perché le Linee guida sono importanti?

Il furto di username e password, archiviate in database non adeguatamente protetti con funzioni crittografiche, consente ai cybercriminali di commettere frodi a danno delle vittime: numerosi data breach notificati al Garante, ad esempio, hanno comportato l’accesso abusivo a sistemi informatici o servizi online.

Le conseguenze derivanti da tali violazioni sono significative in quanto impattano sia sui diritti e sulle libertà delle persone fisiche coinvolte sia sull’attività svolta da enti ed imprese.

La pubblicazione delle Linee guida nasce quindi dall’esigenza di promuovere la consapevolezza e la comprensione del pubblico riguardo ai rischi derivanti dalla mancata implementazione di misure tecniche (e organizzative) di protezione delle password, nonché dall’esigenza di favore la diffusione e l’adozione di prassi che assicurino l’integrità e la riservatezza dei dati trattati.

 

Quando si applicano le Linee guida? A quali condizioni?

Al fine di accrescere la “Cyber security awareness” le Linee guida contengono indicazioni sulle misure tecniche in grado di garantire l’adeguato livello di sicurezza richiesto dal GDPR, in funzione dei rischi presentati dal trattamento. Tali misure dovrebbero essere correttamente applicate sin dalla fase di progettazione e di realizzazione di trattamenti basati su sistemi informatici e servizi online.

In particolare, il Garante specifica che l’adozione delle misure tecniche individuate nelle linee guida risulta necessaria “laddove sia soddisfatta una o più delle seguenti condizioni:

  1. a) il trattamento riguarda le password di un numero significativo di utenti;
  2. b) il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
  3. c) il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento”.

Qualora i titolari del trattamento scelgano di adottare misure tecniche diverse da quelle individuate nelle citate linee guida, sono tenuti a comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche, nel rispetto del principio di accountability.

 

Focus sulle funzioni crittografiche: integrità e riservatezza by design

Come anticipato, le Linee guida mirano a diffondere prassi che assicurino l’integrità e la riservatezza dei dati trattati. Tali principi derivano direttamente dall’art. 5, par. 1, lett. f), del GDPR, il quale prevede che i dati sono:

“trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Fra le misure tecniche volte a prevenire che le credenziali di autenticazioni ai sistemi informatici possano essere violate, Garante e ACN raccomandano l’implementazione delle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. Le funzioni descritte nelle Linee guida si basano su specifici algoritmi di password hashing. Tali algoritmi rappresentano dei formidabili strumenti di protezione delle password, in quanto permettono di evitare la conservazione delle credenziali in chiaro. Affinché il password hashing sia applicato correttamente, tuttavia, occorre che l’algoritmo utilizzato presenti due requisiti:

  • una complessità computazionale adeguata (ovvero “tale per cui sia rapido calcolare un singolo digest, ma sia eccessivamente dispendioso calcolarne un numero elevato”);
  • una capacità di memoria richiesta adeguata (ovvero “tale da saturare la RAM quando molti digest vengono calcolati contemporaneamente”).

Il Garante individua, quindi, i principali algoritmi di hashing e fornisce alcune raccomandazioni comprensive dei parametri di configurazione. I parametri forniti dal Garante consentono di determinare i valori minimi di cui sopra (costo computazionale, memoria utilizzata, oltre alla c.d. “possibilità di parallelizzazione”), essenziali ai fini della sicurezza del password hashing.

 

Focus sui criteri di conservazione

Oltre a fornire raccomandazioni prettamente tecniche, al fine di garantire il rispetto del principio di integrità e riservatezza dei dati, il Garante ricorda anche l’importanza del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e), del GDPR, il quale prevede che i dati sono:

“conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In relazione alla conservazione delle password, rispettare il principio di limitazione della conservazione significa:

  • cancellare tempestivamente le password, anche in modo automatico, “laddove non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione”;
  • ricordare che “la conservazione delle stesse per un arco di tempo superiore a consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o, se del caso, a garantirne la sicurezza (es. memorizzazione delle ultime password impostate per impedirne il riuso da parte dell’utente, c.d. password history, o di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente) presenta rischi per i diritti e le libertà delle persone fisiche anche in considerazione del progresso tecnologico che, con il passare del tempo, può rendere obsolete le misure tecniche adottate o comprometterne l’efficacia”.
Prodotti sicuri: misure di sicurezza all’avangaurdia

Il Provvedimento del Garante si conclude con una raccomandazione rivolta ai produttori di prodotti, servizi e applicazioni, soggetti che rappresentano “figure essenziali ai fini della protezione dei dati fin dalla progettazione e per impostazione predefinita” (come evidenziato dalle Linee guida del WP29, n. 4/2019, sull’articolo 25 del GDPR – Protezione dei dati fin dalla progettazione e per impostazione predefinita). Per la natura delle attività svolte, infatti, i produttori sono i primi che dovrebbero progettare e sviluppare prodotti, servizi e applicazioni tenendo conto delle misure indicate nelle Linee guida, in relazione alle modalità di conservazione delle password e ai criteri da utilizzare per determinarne il periodo di conservazione.

 

Competenze e consapevolezza

In conclusione, come abbiamo visto, le Linee guida manifestano lo sforzo comune del Garante e dell’ACN di abbattere la cyber-insicurezza, mediante la diffusione pubblica delle migliori prassi da seguire. Per non vanificare lo sforzo delle due autorità, tuttavia, è necessario che enti ed imprese si organizzino internamente per recepire le Linee guida, anche attraverso appositi progetti di Cybersecurity Awareness.

L’attività di formazione dovrebbe essere metodologicamente e strategicamente strutturata e gestita come un vero e proprio asset aziendale. Solo in questo modo diviene davvero possibile accrescere competenze e consapevolezza del personale coinvolto nelle attività di trattamento dei dati.

 

Ti ricordiamo che il 6 febbraio parte il Corso di Alta Formazione Data Protection Officer, giunto alla 56esima edizione. Il Corso, suddiviso in tre percorsi formativi, approfondisce il tema della sicurezza delle informazioni, sia attraverso l’analisi di linee guida e best practices, sia mediante lo studio di casi concreti.

Follow us on
Our Gallery