Conservazione password: il Garante risponde alle FAQ

Le violazioni dei dati personali spesso sono il risultato dell'utilizzo delle stesse password da parte degli utenti per accedere a vari servizi online. Questo può portare alla compromissione delle credenziali di accesso a un servizio singolo, consentendo successivamente un accesso non autorizzato a una serie di altri sistemi. I cybercriminali, rubando username e password, possono perpetrare frodi dannose nei confronti delle vittime. Alcuni dati indicano che il 35,6% dei dati rubati viene utilizzato per accedere a siti di intrattenimento, il 21,9% per violare social media e il 21,2% per accedere ai portali di e-commerce. Inoltre, l'accesso a forum a pagamento rappresenta l'18,8% dei casi, mentre l'1,3% coinvolge l'accesso ai sistemi finanziari.

Le linee guida proposte dall'ACN e dal Garante sono rivolte sia alle imprese che alle amministrazioni in qualità di titolari o responsabili del trattamento dei dati che conservano le password degli utenti sui propri sistemi. Con queste linee guida, l'intento del Garante e dell'ACN è di fornire raccomandazioni sulle pratiche crittografiche ritenute più sicure al fine di evitare violazioni, accessi non autorizzati, furti di identità, richieste di riscatto e altri tipi di attacchi.

Ecco di seguito le FAQ più significative:

• Quali sono i soggetti destinatari del provvedimento del Garante in materia di conservazione delle password?

Il provvedimento è indirizzato a tutti i titolari e responsabili del trattamento che conservano le credenziali di autenticazione degli utenti all'interno dei propri sistemi informatici. Vengono fornite indicazioni sulle modalità e tempi di conservazione delle password, invitando i titolari e i produttori di servizi e applicazioni a progettare i propri sistemi in conformità ai principi di sicurezza e limitazione di conservazione.

• Quali sono i soggetti tenuti a adottare adeguate misure tecniche di protezione delle password?

L’adozione delle misure tecniche di conservazione delle password risulta necessaria nel caso in cui vengano soddisfatte una o più di queste condizioni:

• il trattamento riguarda le password di un numero significativo di utenti;
• l trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
• il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.

• In caso di utilizzo di una procedura di autenticazione informatica a più fattori, è comunque necessario adottare misure di protezione delle password?

Sì, le linee guida dell'Autorità e dell'ACN devono comunque essere seguite anche con l'autenticazione a più fattori per garantire una protezione corretta delle password.

• In cado di conservazione della cronologia delle password, è necessario applicare misure di protezione anche alle password impostate in precedenza dagli utenti?

Sì, le indicazioni devono essere applicate anche alle password storiche per garantire una protezione adeguata considerando che gli utenti potrebbero riutilizzare le stesse password su diversi servizi.

• Come comportarsi in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione?

Seguendo le cautele indicate nelle linee guida, si limita il rischio e si mitigano le conseguenze per gli utenti in caso di violazioni dei dati personali.

• In quali casi occorre cancellare le password degli utenti seppur conservate in modo sicuro?

Le password devono essere cancellate tempestivamente in caso di:

• cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
• disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.