Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

Password sicure, come fare? Nuove Linee Guida del Garante e ACN

Con il Provvedimento del 7 dicembre 2023  l’Autorità Garante per la protezione dei dati personali ha adottato le “Linee Guida Funzioni Crittografiche – Conservazione delle Password, che includono sia indicazioni sulle principali misure di sicurezza tecniche da applicare, sia i criteri da seguire per determinare i termini di conservazione delle password.
Cosa prevedono? A chi si applicano? Cosa succede in caso di mancato rispetto?

 
 
 

Le “Linee Guida Funzioni Crittografiche – Conservazione delle Password” (di seguito, per semplicità, le “Linee guida”) sono frutto della collaborazione fra l’Autorità Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale. La cooperazione fra i due enti deriva dal protocollo d’intenti stipulato il 26 gennaio 2022 e mira, fra le altre cose, a promuovere l’adozione di iniziative congiunte nel campo della sicurezza cibernetica nazionale e della protezione dei dati personali.

Nell’ambito di tali iniziative si collocano le Linee guida, sviluppate per fornire le migliori prassi per proteggere le password, attraverso indicazioni e raccomandazioni tecniche sui cc.dd. “algoritmi di password hashing”.

 

Perché le Linee guida erano necessarie? La cyber-insicurezza cresce

Il rapporto CLUSIT sulla sicurezza ICT in Italia, aggiornato nel mese di ottobre 2023, evidenzia che gli attacchi informatici in Italia seguono un trend di crescita stabile e costante dal 2018 (+86%).

Più che il dato quantitativo, tuttavia, ciò che interessa alle singole organizzazioni è l’impatto (la c.d. “Severity”) sulle attività di business svolte, che rappresenta un moltiplicatore dei danni subiti. I principali attacchi cyber rilevati nel corso del 2023, infatti, hanno provocato ingenti danni economici, legali e reputazionali.

Secondo il CLUSIT, nell’ultimo lustro si è verificato “un cambiamento sostanziale nei livelli globali di cyber-insicurezza, al quale evidentemente non è corrisposto un incremento sufficiente delle contromisure adottate dai difensori”.

Anche per quanto riguarda i sistemi di autenticazione informatica, il CLUSIT ha rilevato “una notevole immaturità ed una sottovalutazione del problema, che non è più giustificata a fronte della disponibilità di numerosi meccanismi di autenticazione forte, come ad esempio le password monouso via app sullo smartphone, la biometria, e così via, anche a prezzi che rasentano lo zero”.

La maggior parte degli attacchi informatici rilevati, infatti, sfruttano le cattive abitudini degli utenti rispetto alle modalità di gestione delle parole chiave di accesso a sistemi e applicativi. La composizione di password generiche agevola la compromissione delle credenziali; l’uso frequente della stessa password rappresenta una vulnerabilità in grado di ripercuotersi, a catena, su una pluralità di servizi. In aggiunta, il Garante ha rilevato, nell’ambito delle istruttorie effettuate, “una limitata applicazione di misure tecniche per proteggere in modo efficace le password di utenti conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, derivante anche da un’inadeguata individuazione e valutazione dei predetti rischi da parte di titolari e responsabili del trattamento”.

 

Perché le Linee guida sono importanti?

Il furto di username e password, archiviate in database non adeguatamente protetti con funzioni crittografiche, consente ai cybercriminali di commettere frodi a danno delle vittime: numerosi data breach notificati al Garante, ad esempio, hanno comportato l’accesso abusivo a sistemi informatici o servizi online.

Le conseguenze derivanti da tali violazioni sono significative in quanto impattano sia sui diritti e sulle libertà delle persone fisiche coinvolte sia sull’attività svolta da enti ed imprese.

La pubblicazione delle Linee guida nasce quindi dall’esigenza di promuovere la consapevolezza e la comprensione del pubblico riguardo ai rischi derivanti dalla mancata implementazione di misure tecniche (e organizzative) di protezione delle password, nonché dall’esigenza di favore la diffusione e l’adozione di prassi che assicurino l’integrità e la riservatezza dei dati trattati.

 

Quando si applicano le Linee guida? A quali condizioni?

Al fine di accrescere la “Cyber security awareness” le Linee guida contengono indicazioni sulle misure tecniche in grado di garantire l’adeguato livello di sicurezza richiesto dal GDPR, in funzione dei rischi presentati dal trattamento. Tali misure dovrebbero essere correttamente applicate sin dalla fase di progettazione e di realizzazione di trattamenti basati su sistemi informatici e servizi online.

In particolare, il Garante specifica che l’adozione delle misure tecniche individuate nelle linee guida risulta necessaria “laddove sia soddisfatta una o più delle seguenti condizioni:

  1. a) il trattamento riguarda le password di un numero significativo di utenti;
  2. b) il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
  3. c) il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento”.

Qualora i titolari del trattamento scelgano di adottare misure tecniche diverse da quelle individuate nelle citate linee guida, sono tenuti a comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche, nel rispetto del principio di accountability.

 

Focus sulle funzioni crittografiche: integrità e riservatezza by design

Come anticipato, le Linee guida mirano a diffondere prassi che assicurino l’integrità e la riservatezza dei dati trattati. Tali principi derivano direttamente dall’art. 5, par. 1, lett. f), del GDPR, il quale prevede che i dati sono:

“trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Fra le misure tecniche volte a prevenire che le credenziali di autenticazioni ai sistemi informatici possano essere violate, Garante e ACN raccomandano l’implementazione delle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. Le funzioni descritte nelle Linee guida si basano su specifici algoritmi di password hashing. Tali algoritmi rappresentano dei formidabili strumenti di protezione delle password, in quanto permettono di evitare la conservazione delle credenziali in chiaro. Affinché il password hashing sia applicato correttamente, tuttavia, occorre che l’algoritmo utilizzato presenti due requisiti:

  • una complessità computazionale adeguata (ovvero “tale per cui sia rapido calcolare un singolo digest, ma sia eccessivamente dispendioso calcolarne un numero elevato”);
  • una capacità di memoria richiesta adeguata (ovvero “tale da saturare la RAM quando molti digest vengono calcolati contemporaneamente”).

Il Garante individua, quindi, i principali algoritmi di hashing e fornisce alcune raccomandazioni comprensive dei parametri di configurazione. I parametri forniti dal Garante consentono di determinare i valori minimi di cui sopra (costo computazionale, memoria utilizzata, oltre alla c.d. “possibilità di parallelizzazione”), essenziali ai fini della sicurezza del password hashing.

 

Focus sui criteri di conservazione

Oltre a fornire raccomandazioni prettamente tecniche, al fine di garantire il rispetto del principio di integrità e riservatezza dei dati, il Garante ricorda anche l’importanza del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e), del GDPR, il quale prevede che i dati sono:

“conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In relazione alla conservazione delle password, rispettare il principio di limitazione della conservazione significa:

  • cancellare tempestivamente le password, anche in modo automatico, “laddove non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione”;
  • ricordare che “la conservazione delle stesse per un arco di tempo superiore a consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o, se del caso, a garantirne la sicurezza (es. memorizzazione delle ultime password impostate per impedirne il riuso da parte dell’utente, c.d. password history, o di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente) presenta rischi per i diritti e le libertà delle persone fisiche anche in considerazione del progresso tecnologico che, con il passare del tempo, può rendere obsolete le misure tecniche adottate o comprometterne l’efficacia”.
Prodotti sicuri: misure di sicurezza all’avangaurdia

Il Provvedimento del Garante si conclude con una raccomandazione rivolta ai produttori di prodotti, servizi e applicazioni, soggetti che rappresentano “figure essenziali ai fini della protezione dei dati fin dalla progettazione e per impostazione predefinita” (come evidenziato dalle Linee guida del WP29, n. 4/2019, sull’articolo 25 del GDPR – Protezione dei dati fin dalla progettazione e per impostazione predefinita). Per la natura delle attività svolte, infatti, i produttori sono i primi che dovrebbero progettare e sviluppare prodotti, servizi e applicazioni tenendo conto delle misure indicate nelle Linee guida, in relazione alle modalità di conservazione delle password e ai criteri da utilizzare per determinarne il periodo di conservazione.

 

Competenze e consapevolezza

In conclusione, come abbiamo visto, le Linee guida manifestano lo sforzo comune del Garante e dell’ACN di abbattere la cyber-insicurezza, mediante la diffusione pubblica delle migliori prassi da seguire. Per non vanificare lo sforzo delle due autorità, tuttavia, è necessario che enti ed imprese si organizzino internamente per recepire le Linee guida, anche attraverso appositi progetti di Cybersecurity Awareness.

L’attività di formazione dovrebbe essere metodologicamente e strategicamente strutturata e gestita come un vero e proprio asset aziendale. Solo in questo modo diviene davvero possibile accrescere competenze e consapevolezza del personale coinvolto nelle attività di trattamento dei dati.

 

Ti ricordiamo che il 6 febbraio parte il Corso di Alta Formazione Data Protection Officer, giunto alla 56esima edizione. Il Corso, suddiviso in tre percorsi formativi, approfondisce il tema della sicurezza delle informazioni, sia attraverso l’analisi di linee guida e best practices, sia mediante lo studio di casi concreti.

Follow us on
Our Gallery