Premesso che, molte violazioni dei dati personali sono strettamente collegate alle modalità di protezione delle password; infatti, troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Tali attacchi informatici sfruttano la prassi da parte degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.

Come noto, nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Il Garante ha inteso fornire ulteriori indicazioni su modalità e tempi di conservazione delle password, rivolgendosi in primo luogo a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici. Nell’osservanza delle linee guida, titolari e responsabili possono orientare le proprie scelte tecnologiche, oppure progettare e realizzare i propri sistemi informatici e servizi online, in conformità ai principi di limitazione della conservazione e di integrità e riservatezza, nonché agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. e) e f), e 32 del Regolamento (UE) 2016/679). (link: https://www.gpdp.it/temi/cybersecurity/password/conservazione-delle-password )

L’adozione delle misure tecniche raccomandate nelle linee guida in materia di funzioni crittografiche per la conservazione delle password, o di misure che garantiscono un analogo livello di sicurezza, risulta necessaria qualora sia soddisfatta una o più delle seguenti condizioni:

– il trattamento riguarda le password di un numero significativo di utenti (es. un numero elevato di soggetti in termini assoluti oppure espressi in percentuale della popolazione di riferimento a livello locale, regionale e nazionale);

– il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (sia di enti che di aziende);

– il trattamento riguarda sovente le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.

Volendo contestualizzare è facile comprendere come le condizioni sopra riportate finiscono per essere presenti in tutte le pubbliche amministrazioni ed in gran parte delle aziende.

Da notare come le linee guida in materia di funzioni crittografiche per la conservazione delle password si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication) basata, ad esempio, sul contestuale utilizzo di una password e di uno o più elementi appartenenti alle categorie del possesso (qualcosa che solo l’utente possiede, come una OTP – One Time Password – consegnata via SMS o generata su un dispositivo fisico o un’app, oppure una smart card con certificato digitale) o dell’inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).

Anche in questi casi è necessario proteggere adeguatamente le password dei dipendenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, per l’accesso ad altri sistemi informatici o servizi online che non necessariamente prevedono procedure di autenticazione informatica a più fattori.

In aggiunta a quanto sopra, le linee guida si applicano anche alla cronologia delle password (c.d. password history). Anche in questi casi è necessario proteggere adeguatamente le password degli utenti, in considerazione del fatto che questi ultimi potrebbero utilizzare la stessa password, o una simile, anche a distanza di tempo, per l’accesso al medesimo o ad altri sistemi informatici o servizi online.

La conservazione delle password per un arco di tempo superiore a quello necessario per consentire la verifica dell’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online presenta rischi per i diritti e le libertà delle persone fisiche. Infatti, il progresso tecnologico, con il passare del tempo, può rendere obsolete le misure adottate per proteggere le password o comprometterne l’efficacia.

Nel rispetto delle politiche di sicurezza adottate dal titolare del trattamento, le password possono essere conservate anche per garantire la sicurezza delle procedure di autenticazione informatica, ad esempio per impedire il riuso da parte dell’utente delle precedenti password (c.d. password history) o per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente (copie di backup).

Per tali ragioni, le password dei dipendenti devono essere tempestivamente cancellate, anche in modo automatico, nei seguenti casi:

cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

L’adozione delle misure tecniche raccomandate nelle linee guida, o di misure che garantiscono un analogo livello di sicurezza, consente di mitigare in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.

Come indicato anche nelle “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” (spec. caso n. 6), adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, tenuto conto di quanto previsto dall’art. 34, par. 3, lett. a), del Regolamento (UE) 2016/679, se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).

Una corretta gestione delle password richiede che il titolare debba prendere in considerazione e dare attuazione ai seguenti aspetti:

la definizione di regole per la gestione delle password
la conoscenza, da parte degli utenti di tali regole
un controllo preventivo della scelta delle password

Le credenziali di autenticazione consistono in un codice per l’identificazione del soggetto autorizzato al trattamento dei dati personali associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.

Il titolare del trattamento, per il tramite dei Sistemi Informativi e dell’Ufficio Privacy dovrà farsi carico di accertare quale è il sistema di autenticazione in uso presso la propria organizzazione.

Al fine di potere stabilire che i dati, il personale, i dispositivi, i sistemi e le strutture necessari sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell’ente/azienda, si suggerisce l’applicazione delle seguenti misure di sicurezza riportate nell’allegata griglia.

Ad avviso dello scrivente, il titolare deve tendere all’adozione di un sistema di autenticazione che richiede più fattori (PW e Token).

Come noto, l’autenticazione a più fattori è anche chiamata accesso a più fattori o in inglese MFA (Multi-Factor Autentication); Lo scopo di questa misura è quello di rafforzare il controllo su chi accede ad un sistema informatico, in modo che la probabilità di accesso non autorizzato è ridotta al minimo.

L'”autenticazione” riguarda una persona che verifica la propria identità. L’utente di un sistema informatico può, ad ad esempio, verificare la propria identità fornendo una password che solo l’utente dovrebbe conoscere. La password è quindi il fattore di autenticazione nel processo di accesso.

L’AMF richiede all’utente di inviare due o più fattori indipendenti di diverse categorie per ottenere un accesso. Due fattori sono considerati indipendenti se non è possibile derivarne uno dalla conoscenza dell’altro fattore.

Può anche essere considerato una misura di rilevamento riguardo a tentativi di accesso non autorizzato tramite l’accesso di un utente autorizzato che richiederà più passaggi (a causa di molteplici fattori nel login processo) e può fornire una maggiore opportunità di rilevare tentativi di abuso in corso (sul primo fattore) e prima che si concluda con un accesso non autorizzato riuscito.

Il punto di forza dell’autenticazione a più fattori è che può ridurre al minimo i rischi specifici. Innanzitutto, tutto vengono identificate le minacce a cui può essere esposto un accesso specifico e quindi i fattori selezionati sulla base di una valutazione se influenzano (riducono) sufficientemente lo specifico rischio. Esempio: 1. un dipendente deve utilizzare password inserite tramite PC/smartphone. Questo può essere effettuato dal dipendente nei luoghi pubblici. Una delle principali minacce è che la password possa essere intercettata da software dannosi o hacker che hanno compromesso il PC/smartphone usato. La password è inoltre soggetta ad intercettazione “guardando alle spalle” o tramite telecamere di sorveglianza in un luogo pubblico.

Se il secondo fattore è un codice monouso proveniente da un visualizzatore di codici elettronico, anche questo può essere intercettato allo stesso modo ed è quindi soggetto alle stesse minacce della password.

Tuttavia, se il codice visualizzato sul visualizzatore di codici può essere utilizzato una sola volta ed entro brevissimo periodo di tempo – ed è probabile che l’utente lo utilizzi immediatamente – allora questo fattore non è esposto al stesso grado di rischio.

Il visualizzatore di codice può essere rubato (minaccia di furto fisico), ma la password non viene esposta nel file allo stesso modo se è noto solo all’utente. Pertanto, l’utente non deve scrivere il codice su un pezzo di carta che può essere rubata insieme al visualizzatore di codici. Pertanto, una misura organizzativa è aggiungere sotto forma di linee guida per gli utenti su come gestire la password e denunciare rapidamente il furto in modo da bloccare il visualizzatore di codici ed eventualmente il login. Può anche essere considerato come due fattori se si deve prima forzare una barriera fisica all’interno di un edificio chiuso con chiave elettronica personalizzata card (“qualcosa che hai”), abbinata all’accesso al sistema informatico con password (“qualcosa lo sai”). In questo esempio, tuttavia, è un po’ difficile valutare i rischi perché i due fattori sono molto separati e possono essere gestiti in modo molto diverso.

Il singolo fattore è protetto contro gli abusi, rendendolo più difficile da aggirare. Per esempio, le funzioni di login che utilizzano il fattore “password” sono protette dagli attacchi di forza bruta e attacchi a dizionario che tentano di indovinare/testare il fattore. È possibile istituire una protezione aggiuntiva attraverso misure organizzative sotto forma di istruzioni ai dipendenti, ad es. requisiti per la scelta e la gestione delle password.

Protezione contro gli attacchi in cui l’utente viene indotto con l’inganno a consegnare i fattori di concessione dell’accesso

si chiama MFA resistente al phishing.

I fattori sono ulteriormente protetti astenendosi dalla trasmissione di fattori tramite e-mail e SMS, perché qui rischiano di essere intercettati. I fattori possono invece essere generati localmente su un dispositivo.

Infine, viene garantito che non vi siano deviazioni al login, che di fatto compromettano la soluzione di autenticazione multifattore. Potrebbe, ad esempio, essere una soluzione di aiuto per gli utenti che se ne sono dimenticati la propria password, che in pratica consente il login con un solo fattore.

Oggetto: CECK LIST – GPDP – Linee guida in materia di conservazione delle PW (cfr. nota prot. n. 102501/23 frl 4.12.23). Comunicazione n. 28/24, resa ai sensi dell’art. 39 del Regolamento UE 2016/679.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

GPDP – Linee guida in materia di conservazione delle PW.

Oggetto: CECK LIST – GPDP – Linee guida in materia di conservazione delle PW (cfr. nota prot. n. 102501/23 frl 4.12.23). Comunicazione n. 28/24, resa ai sensi dell’art. 39 del Regolamento UE 2016/679.

About Author / Davide De Luca

Il Modello Organizzativo Privacy quale strumento del titolare del trattamento per dimostrare il principio di accountability alla normativa Privacy.

Trasferimento dei dati personali oltre i confini europei. Indicazioni operative.

Lascia un commento Annulla risposta

Articoli

Categorie

GPDP – Linee guida in materia di conservazione delle PW.

Oggetto: CECK LIST – GPDP – Linee guida in materia di conservazione delle PW (cfr. nota prot. n. 102501/23 frl 4.12.23). Comunicazione n. 28/24, resa ai sensi dell’art. 39 del Regolamento UE 2016/679.

About Author / Davide De Luca

Il Modello Organizzativo Privacy quale strumento del titolare del trattamento per dimostrare il principio di accountability alla normativa Privacy.

Trasferimento dei dati personali oltre i confini europei. Indicazioni operative.

Lascia un commento Annulla risposta

Potrebbe piacerti