Con provvedimento del 7 dicembre 2023, il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale hanno pubblicato le nuove Linee guida in materia di conservazione delle password.
Un documento in cui sono contenute indicazioni rilevanti sulle misure tecniche da adottare per innalzare il livello di sicurezza delle password, sia da parte dei fornitori di servizi digitali che degli sviluppatori di software, ma anche dal lato degli utenti. L’obiettivo è quello di ridurre il numero delle violazioni dei dati personali, che spesso sono causate da una cattiva gestione delle password.
Il provvedimento contiene raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password. In particolare, viene consigliato l’utilizzo di funzioni crittografiche a chiave simmetrica o asimmetrica, che siano in grado di garantire un livello di sicurezza adeguato. Inoltre, viene raccomandato di adottare misure di sicurezza aggiuntive, come l’utilizzo di algoritmi di hashing e salting.
Sul fronte degli utenti, invece, l’utilizzo di una sola password per l’accesso a diversi servizi on-line è fortemente sconsigliato, poiché in tal caso la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi.
Secondo alcuni studi di settore, il furto di username e password è utilizzato principalmente per accedere illecitamente ai siti di intrattenimento (35,6%), ai social media (21,9%), ai portali di e-commerce (21,2%), ai forum e siti web di servizi a pagamento (18,8%) e ai siti finanziari (1,3%).
Le linee guida sono applicabili a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti.
In particolare, le misure tecniche individuate nelle Linee guida sono ritenute necessarie nei seguenti casi, e cioè quando le password:
- riguardano un numero significativo di utenti (ad esempio, gestori di identità digitale, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, ecc.);
- riguardano utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni (ad esempio, dipendenti di pubbliche amministrazioni);
- riguardano specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati personali appartenenti a categorie particolari di interessati, o relativi a condanne penali e reati di cui agli artt. 9 e 10 del GDPR (ad esempio, professionisti sanitari, avvocati, magistrati).
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- La Commissione europea pubblica la seconda relazione sull’applicazione del GDPR - Luglio 26, 2024
- Il punto sul Piano Triennale per l’informatica nella P.A. - Luglio 24, 2024
- AGID pubblica un decalogo per l’uso dell’ intelligenza artificiale nella P.A. italiana - Luglio 23, 2024
- Pubblicata la strategia Italiana per l’uso dell’intelligenza artificiale 2024-2026 - Luglio 23, 2024
- Il messaggio di posta elettronica sottoscritto con firma “semplice” fa piena prova del patto aggiunto al contratto - Luglio 17, 2024
