Conservazione password: linee guida e Faq del Garante

Pubblicato il 04 marzo 2024

Il 1° marzo 2024, il Garante per la protezione dei dati personali ha reso disponibili, sul proprio sito istituzionale, le risposte ad alcune FAQ concernenti le Linee guida realizzate a dicembre 2023, d'intesa con l’Agenzia per la cybersicurezza nazionale (ACN), per quanto riguarda la conservazione delle password.

Il Garante Privacy, in primo luogo, ha spiegato che il provvedimento è finalizzato a fornire indicazioni su modalità e tempi di conservazione delle password nonché sulle specifiche misure tecniche da adottare.

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

Linee guida: i soggetti destinatari

Nelle risposte alle Faq, innanzitutto, viene precisato che il provvedimento si rivolge, in primo luogo, a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici.

Sulla base delle linee guida, titolari e responsabili, in conformità ai principi di limitazione della conservazione e di integrità e riservatezza, nonché agli obblighi in materia di sicurezza del trattamento, possono:

• orientare le proprie scelte tecnologiche;

oppure

• progettare e realizzare i propri sistemi informatici e servizi online.

Lo stesso provvedimento, inoltre, invita i produttori di beni, servizi e applicazioni a tener conto delle indicazioni fornite dal Garante nelle fasi di progettazione e sviluppo.

Il fine è quello di consentire a titolari e responsabili del trattamento di utilizzare sistemi e tecnologie che integrino i principi di protezione dei dati.

Password, soggetti tenuti ad adottare adeguate misure di protezione

Per l'Autority, l’adozione delle misure tecniche raccomandate nelle linee guida in materia di funzioni crittografiche per la conservazione delle password, o di misure che garantiscono un analogo livello di sicurezza, risulta necessaria in presenza di una o più delle seguenti condizioni:

• il trattamento riguarda le password di un numero significativo di utenti (ad esempio, un numero elevato di soggetti in termini assoluti oppure espressi in percentuale della popolazione di riferimento a livello locale, regionale e nazionale);
• il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (ad esempio, dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni);
• il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati (ad esempio, professionisti sanitari, avvocati, magistrati).

In presenza delle predette condizioni, sono tenuti all’adozione di adeguate misure tecniche di protezione delle password, a titolo esemplificativo e non esaustivo, soggetti come:

• gestori delle identità digitali SPID e CieID;
• gestori di posta elettronica certificata;
• prestatori di servizi fiduciari;
• soggetti, pubblici e privati, che erogano servizi di conservazione dei documenti informatici a favore di terzi;
• società che offrono servizi di fatturazione elettronica.

E ancora, istituzioni come Presidenza del consiglio dei ministri e Ministeri, Agenzie fiscali, Enti e istituti di ricerca pubblici di rilievo nazionale, Enti pubblici non economici di rilievo nazionale, Autorità amministrative indipendenti, Forze di Polizia, Regioni e Province autonome, Province e Città metropolitane, Comuni con popolazione maggiore o uguale a diecimila abitanti, Federazioni nazionali.

Sono inoltre interessati gli Ordini, i Collegi e i Consigli professionali, le Camere di commercio, le Università e Istituti di istruzione universitaria, le strutture sanitarie pubbliche e private, le società e aziende che forniscono servizi ICT, i concessionari di servizi pubblici, i fornitori di servizi di comunicazione elettronica accessibili al pubblico, i gestori di servizi di posta elettronica, le società operanti nel settore della distribuzione di energia elettrica o del gas, gli istituti di credito, le società finanziarie, le imprese assicurative, le società di informazioni creditizie, le società di informazioni commerciali, le società che svolgono attività di commercio elettronico, i partiti e movimenti politici, i sindacati, i CAF e patronati, le imprese di somministrazione di lavoro e ricerca del personale, le società che offrono servizi di prenotazione di strutture ricettive, le società che offrono servizi di biglietteria per trasporti, eventi teatrali, sportivi ed altri eventi ricreativi e d'intrattenimento, le società che erogano servizi di streaming.

Applicazione misure di protezione, cancellazione password

Tra le altre puntualizzazioni, di seguito, viene specificato che le linee guida:

• si applicano anche in caso di utilizzo di una procedura di autenticazione informatica a più fattori (c.d. strong authentication);
• si applicano anche alla cronologia delle password (c.d. password history).

Inoltre, le password degli utenti devono essere tempestivamente cancellate, anche in modo automatico in caso:

• di cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
• di disattivazione o revoca delle credenziali di autenticazione di un utente.

Per finire, una precisazione per quanto riguarda il comportamento da adottare in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione: se sono state adottate tecniche crittografiche allo stato dell’arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, l'eventuale violazione dei dati personali può non presentare rischi per i diritti e le libertà degli interessati e quindi può non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti, fermo restando che la violazione deve essere comunque adeguatamente documentata.