Con comunicato stampa del 12 dicembre 2023 l’Autorità ha reso noto l’adozione di linee guida sulle funzioni crittografiche realizzate insieme all’Agenzia per la cybersicurezza nazionale (ACN), in particolare, in materia di conservazione delle password.
Le linee guida sono state adottate con provvedimento del Garante del 7 dicembre 2023 (doc. web n. 9962283).
L’iniziativa mira a fornire indicazioni a titolari e responsabili del trattamento per l’adozione di adeguate misure – identificate nelle funzioni crittografiche – per il superamento della modalità di conservazione delle password in chiaro, suscettibile di esporre al rischio di acquisizione abusiva delle stesse da parte di soggetti non autorizzati.
Password come “dato personale” e come “misura”
L’autorità sottolinea la doppia valenza della password, considerata la sua natura di “dato personale” da un lato, e la sua funzione di misura di sicurezza, dall’altro.
Essa, infatti, «costituisce un dato personale riferibile all’utente che l’ha impostata e la utilizza per l’accesso a un sistema informatico o un servizio online». Allo stesso tempo, «la password rappresenta una misura di sicurezza, essendo un elemento, appartenente alla categoria della conoscenza (qualcosa che solo l’utente conosce), su cui si basano le procedure di autenticazione informatica per l’accesso alla maggior parte dei sistemi informatici e dei servizi online e, quindi, ai dati personali ivi trattati, riferibili allo stesso utente o ad altri interessati».
Per questa sua duplice connotazione, «la conservazione delle password nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, può comportare rischi significativi per i diritti e le libertà delle persone fisiche in caso di acquisizione» abusiva, spesso dando luogo a furto d’identità.
Queste considerazioni, parallelamente alla constatazione di «una limitata applicazione di misure tecniche per proteggere in modo efficace le password» hanno indotto il Garante a indirizzare titolari e responsabili verso l’adozione di misure che riducano il rischio di acquisizione illecita delle password in chiaro.
Obblighi di titolare e responsabile
Il titolare del trattamento e gli eventuali responsabili/sub-responsabili del trattamento (come specificato nell’articolo 32(1) del GDPR) hanno il compito di assicurarsi che le misure di sicurezza implementate per la gestione dei rischi relativi ai diritti e alle libertà delle persone interessate siano efficaci. La sicurezza dei dati, infatti, è prescrizione obbligatoria per tutti i ruoli soggettivi del GDPR.
Anche i produttori devono «progettare e realizzare i propri sistemi informatici e servizi online, in conformità al principio di integrità e riservatezza e agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento)» (provv. cit., premesse). In tale evenienza, il produttore di sistemi sarà tenuto alla conformità sotto questo profilo sia in fase di progettazione, in qualità di titolare del trattamento, sia nell’eventuale fase di erogazione del servizio a propri clienti, plausibilmente nel ruolo di responsabile del trattamento.
In relazione alla gestione del sistema di conservazione delle password, il titolare del trattamento deve definire la ripartizione dei compiti con i responsabili del trattamento, visto che parte della gestione normalmente è affidata a fornitori terzi.
Le misure crittografiche devono essere sottoposte a regolari verifiche, valutazioni e accertamenti per garantirne l’effettiva adeguatezza [art. 32(1)(d), GDPR]. Un mezzo a tal fine è l’audit, attraverso il quale viene verificata l’efficacia delle politiche, procedure e misure tecniche e organizzative per l’attività di trattamento in corso.
Le misure tecniche individuate dal provvedimento e dalle Linee guida per la conservazione delle password sono dallo stesso ritenute necessarie quando il trattamento riguarda le password di:
- un elevato numero di utenti
- utenti che hanno accesso a banche dati di notevole importanza o dimensioni
- utenti che, in maniera sistematica e automatizzata, gestiscono dati appartenenti a categorie particolari o relativi a condanne penali e reati.
Negli altri casi, se si adottano misure differenti da quelle individuate nel documento, spetterà comprovare che le stesse garantiscano un livello di sicurezza adeguato al rischio.
Continua…