Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”.

Successivamente, con un comunicato del 1° marzo 2024, il Garante ha altresì pubblicato alcune FAQ che rispondono ad alcuni grandi interrogativi inerenti al tema della sicurezza delle password:

• L’adozione di queste Linee Guida risulta necessaria in presenza di una delle tre seguenti condizioni:
  1. il trattamento riguarda le password di un numero significativo di utenti;
  2. il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
  3. il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679.

• I destinatari di queste Linee Guida, pertanto, sono “tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici”, rispetto ai quali il Garante fornisce un elenco a mero titolo esemplificativo:
  • Gestori delle identità digitali SPID e CieID;
  • gestori di posta elettronica certificata;
  • società che svolgono attività di commercio elettronico;
  • partiti e movimenti politici;
  • sindacati, ecc.

• Tali linee Guida si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori nonché alla cronologia delle password: la sicurezza non è mai troppa!

• Le Password degli utenti devono essere tempestivamente cancellate, anche in modo automatico, in queste due casi:
  1. Cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
  2. Disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

Qualora queste Linee Guida vengano adottate scrupolosamente, il rischio di subire violazioni di dati personali diminuisce notevolmente.

Tuttavia, qualora la violazione presentasse rischi per i diritti e le libertà degli interessati, rimane obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016/679).

E voi, alla luce di queste Linee Guida, potete dire di adottare le corrette misure di sicurezza in materia di conservazione delle Password?