Le “Linee Guida Funzioni Crittografiche – Conservazione delle Password” (di seguito, per semplicità, le “Linee guida”) sono frutto della collaborazione fra l’Autorità Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale. La cooperazione fra i due enti deriva dal protocollo d’intenti stipulato il 26 gennaio 2022 e mira, fra le altre cose, a promuovere l’adozione di iniziative congiunte nel campo della sicurezza cibernetica nazionale e della protezione dei dati personali.

Nell’ambito di tali iniziative si collocano le Linee guida, sviluppate per fornire le migliori prassi per proteggere le password, attraverso indicazioni e raccomandazioni tecniche sui cc.dd. “algoritmi di password hashing”.

Perché le Linee guida erano necessarie? La cyber-insicurezza cresce

Il rapporto CLUSIT sulla sicurezza ICT in Italia, aggiornato nel mese di ottobre 2023, evidenzia che gli attacchi informatici in Italia seguono un trend di crescita stabile e costante dal 2018 (+86%).

Più che il dato quantitativo, tuttavia, ciò che interessa alle singole organizzazioni è l’impatto (la c.d. “Severity”) sulle attività di business svolte, che rappresenta un moltiplicatore dei danni subiti. I principali attacchi cyber rilevati nel corso del 2023, infatti, hanno provocato ingenti danni economici, legali e reputazionali.

Secondo il CLUSIT, nell’ultimo lustro si è verificato “un cambiamento sostanziale nei livelli globali di cyber-insicurezza, al quale evidentemente non è corrisposto un incremento sufficiente delle contromisure adottate dai difensori”.

Anche per quanto riguarda i sistemi di autenticazione informatica, il CLUSIT ha rilevato “una notevole immaturità ed una sottovalutazione del problema, che non è più giustificata a fronte della disponibilità di numerosi meccanismi di autenticazione forte, come ad esempio le password monouso via app sullo smartphone, la biometria, e così via, anche a prezzi che rasentano lo zero”.

La maggior parte degli attacchi informatici rilevati, infatti, sfruttano le cattive abitudini degli utenti rispetto alle modalità di gestione delle parole chiave di accesso a sistemi e applicativi. La composizione di password generiche agevola la compromissione delle credenziali; l’uso frequente della stessa password rappresenta una vulnerabilità in grado di ripercuotersi, a catena, su una pluralità di servizi. In aggiunta, il Garante ha rilevato, nell’ambito delle istruttorie effettuate, “una limitata applicazione di misure tecniche per proteggere in modo efficace le password di utenti conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, derivante anche da un’inadeguata individuazione e valutazione dei predetti rischi da parte di titolari e responsabili del trattamento”.

Quando si applicano le Linee guida? A quali condizioni?

Al fine di accrescere la “Cyber security awareness” le Linee guida contengono indicazioni sulle misure tecniche in grado di garantire l’adeguato livello di sicurezza richiesto dal GDPR, in funzione dei rischi presentati dal trattamento. Tali misure dovrebbero essere correttamente applicate sin dalla fase di progettazione e di realizzazione di trattamenti basati su sistemi informatici e servizi online.

In particolare, il Garante specifica che l’adozione delle misure tecniche individuate nelle linee guida risulta necessaria “laddove sia soddisfatta una o più delle seguenti condizioni:

1. a) il trattamento riguarda le password di un numero significativo di utenti;
2. b) il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
3. c) il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento”.

Qualora i titolari del trattamento scelgano di adottare misure tecniche diverse da quelle individuate nelle citate linee guida, sono tenuti a comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche, nel rispetto del principio di accountability.

Focus sulle funzioni crittografiche: integrità e riservatezza by design

Come anticipato, le Linee guida mirano a diffondere prassi che assicurino l’integrità e la riservatezza dei dati trattati. Tali principi derivano direttamente dall’art. 5, par. 1, lett. f), del GDPR, il quale prevede che i dati sono:

“trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Fra le misure tecniche volte a prevenire che le credenziali di autenticazioni ai sistemi informatici possano essere violate, Garante e ACN raccomandano l’implementazione delle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. Le funzioni descritte nelle Linee guida si basano su specifici algoritmi di password hashing. Tali algoritmi rappresentano dei formidabili strumenti di protezione delle password, in quanto permettono di evitare la conservazione delle credenziali in chiaro. Affinché il password hashing sia applicato correttamente, tuttavia, occorre che l’algoritmo utilizzato presenti due requisiti:

• una complessità computazionale adeguata (ovvero “tale per cui sia rapido calcolare un singolo digest, ma sia eccessivamente dispendioso calcolarne un numero elevato”);
• una capacità di memoria richiesta adeguata (ovvero “tale da saturare la RAM quando molti digest vengono calcolati contemporaneamente”).

Il Garante individua, quindi, i principali algoritmi di hashing e fornisce alcune raccomandazioni comprensive dei parametri di configurazione. I parametri forniti dal Garante consentono di determinare i valori minimi di cui sopra (costo computazionale, memoria utilizzata, oltre alla c.d. “possibilità di parallelizzazione”), essenziali ai fini della sicurezza del password hashing.

Focus sui criteri di conservazione

Oltre a fornire raccomandazioni prettamente tecniche, al fine di garantire il rispetto del principio di integrità e riservatezza dei dati, il Garante ricorda anche l’importanza del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e), del GDPR, il quale prevede che i dati sono:

“conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

In relazione alla conservazione delle password, rispettare il principio di limitazione della conservazione significa:

• cancellare tempestivamente le password, anche in modo automatico, “laddove non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione”;
• ricordare che “la conservazione delle stesse per un arco di tempo superiore a consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o, se del caso, a garantirne la sicurezza (es. memorizzazione delle ultime password impostate per impedirne il riuso da parte dell’utente, c.d. password history, o di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente) presenta rischi per i diritti e le libertà delle persone fisiche anche in considerazione del progresso tecnologico che, con il passare del tempo, può rendere obsolete le misure tecniche adottate o comprometterne l’efficacia”.

Prodotti sicuri: misure di sicurezza all’avangaurdia

Il Provvedimento del Garante si conclude con una raccomandazione rivolta ai produttori di prodotti, servizi e applicazioni, soggetti che rappresentano “figure essenziali ai fini della protezione dei dati fin dalla progettazione e per impostazione predefinita” (come evidenziato dalle Linee guida del WP29, n. 4/2019, sull’articolo 25 del GDPR – Protezione dei dati fin dalla progettazione e per impostazione predefinita). Per la natura delle attività svolte, infatti, i produttori sono i primi che dovrebbero progettare e sviluppare prodotti, servizi e applicazioni tenendo conto delle misure indicate nelle Linee guida, in relazione alle modalità di conservazione delle password e ai criteri da utilizzare per determinarne il periodo di conservazione.

Competenze e consapevolezza

In conclusione, come abbiamo visto, le Linee guida manifestano lo sforzo comune del Garante e dell’ACN di abbattere la cyber-insicurezza, mediante la diffusione pubblica delle migliori prassi da seguire. Per non vanificare lo sforzo delle due autorità, tuttavia, è necessario che enti ed imprese si organizzino internamente per recepire le Linee guida, anche attraverso appositi progetti di Cybersecurity Awareness.

L’attività di formazione dovrebbe essere metodologicamente e strategicamente strutturata e gestita come un vero e proprio asset aziendale. Solo in questo modo diviene davvero possibile accrescere competenze e consapevolezza del personale coinvolto nelle attività di trattamento dei dati.

Ti ricordiamo che il 6 febbraio parte il Corso di Alta Formazione Data Protection Officer, giunto alla 56esima edizione. Il Corso, suddiviso in tre percorsi formativi, approfondisce il tema della sicurezza delle informazioni, sia attraverso l’analisi di linee guida e best practices, sia mediante lo studio di casi concreti.