Il punto di vista di:
Avv. Antonio Zama
Ecommerce, franchising, privacy.
Non è che voglio essere sempre critico, per carità, ma anche di fronte a provvedimenti del Garante Privacy che adottano linee guida e che pertanto risultano senz’altro di aiuto per imprenditori e consulenti, occorre mantenere un certo “scetticismo”, almeno sul piano delle ricadute dirette sulle imprese (e non solo). Ammonisce infatti il Garante: “laddove vengano invece adottate misure tecniche diverse da quelle individuate nelle citate linee guida, i titolari del trattamento, in ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche”. In sostanza, una volta fissate le linee guida, diventano subito benchmark sul quale misurarsi e, come dice il Garante, ciò produce la necessità di giustificarsi. E ciò produce e conduce a quello che è ormai in filigrana il mantra di tutti i sistemi di compliance: tracciabilità delle decisioni.
Password: il parere del Garante privacy italiano: chi tutela la sicurezza delle nostre password e credenziali di accesso?
È il tema di fondo di un recente intervento del Garante per la tutela dei dati personali, che, con provvedimento n. 594 del 7/12/2023, ha espressamente stabilito che le imprese e la Pubblica Amministrazioni, in quanto titolari del trattamento, sono i veri custodi delle password e dei dati di accesso dei loro clienti e utenti, e devono mettere in pratica con costanza e oculatezza tutte le attività prescritte e richieste per tutelarli, al fine di evitare un accesso abusivo o il furto delle credenziali di autenticazione.
Il Garante sottolinea poi che le credenziali devono essere cancellate qualora non più in uso e stabilisce anche che quelle che vengono utilizzate quotidianamente da clienti e utenti devono essere mascherate con super-algoritmi per evitare furti o altre attività illecite, individuando, altresì, insieme all’Agenzia per la cybersicurezza nazionale (Acn) gli algoritmi più importanti da utilizzare, fornendo apposite linee guida delle funzioni crittografiche per la salvaguardia e conservazione delle password che sono puntualmente richiamate dal provvedimento in commento.
In caso contrario, ne rispondono, con sanzioni amministrative per aver violato la privacy di clienti e utenti, ovvero con la condanna al risarcimento dei danni cagionati ai titolari delle credenziali di riferimento.
Password facilmente sottratte: perché succede tutto ciò?
Molto, anzi, troppo spesso i furti di identità digitali sono la conseguenza dell’uso di password archiviate in database che non vengono adeguatamente protetti con sistemi crittografici evoluti, complice anche la deleteria abitudine di clienti e utenti di utilizzare sempre le medesime password, senza un cambio periodico delle stesse.
Le conseguenze di tutto ciò sono particolarmente pesanti.
Il Garante, infatti, ci dà un quadro statistico non confortante: le password sottratte online a clienti e utenti riguardano principalmente i siti di intrattenimento (35,6%), i social media più diffusi (21,9%) e i portali di e-commerce (21,2%). A seguire, abbiamo l’accesso fraudolento a forum e siti web di servizi a pagamento (18,8%) e a portali finanziari (1,3%).
Password rubate: quali rimedi per una tutela efficace?
Nel suo provvedimento il Garante privacy italiano affronta il tema dei rimedi su tre livelli differenti:
– Primo livello: si tratta del metodo di conservazione più sicuro delle password, e si ottiene attraverso l’uso di una sequenza di segni, lettere e numeri che compongono la password e che non deve essere conservata come è ma va modificata con un sistema informatico basato su algoritmi che produce una password rafforzata (c.d. hash), affinché il possibile “ladro” abbia accesso solo alla versione cambiata e manipolata della password, mentre quella reale ed effettiva rimane al sicuro.
– Secondo livello: concerne la conservazione della password, che, oltre ad essere sicura, deve essere limitata nel tempo. A tal file, il Garante, nel provvedimento in commento, stabilisce l’obbligo dei fornitori di servizi informatici di cancellare tempestivamente le password, anche in modo automatico, quando non siano più utilizzate o non vengano più considerate necessarie per stabilire la corretta e sicura identità degli utenti.
Tra i comportanti indicati:
– memorizzazione delle ultime password per impedirne il riuso;
– previsione di password history;
– uso di copie di sicurezza per assicurare il ripristino del sistema di autenticazione informatica in caso di incidente.
– Terzo livello: è riferito agli imprenditori che vendono prodotti e servizi per gestire le password, con riferimento particolare alle modalità di conservazione delle password e ai tempi e modi di conservazione delle stesse. L’invito del Garante è quello di commercializzare applicazioni e servizi che siano già in linea con gli standard di sicurezza enunciati, con il fine di automatizzare subito il sistema di conservazione delle password in ambiente protetto.
Password non tutelate: che conseguenze per imprese e P.A.?
In caso di mancata osservanza di quanto indicato dal Garante privacy e dall’Acn, sono previste in prima battuta sanzioni amministrative.
Le linee guida indicate dal Garante e da Acn sono chiare, e in caso di violazione delle stesse si configura la violazione di misure di attuazione del principio di integrità e riservatezza e della violazione degli obblighi in materia di sicurezza del trattamento stabiliti dal GDPR agli articoli 5, paragrafo 1, lett. f), e all’articolo 32.
Questi articoli prevendono una sanzione pesante, che può arrivare fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo qualora l’importo percentuale superi i 10 milioni di euro. Se si viola l’articolo 5 del già citato GDPR, la sanzione sale fino a 20 milioni di euro o, per le imprese, raggiunge il 4% del fatturato annuo qualora l’importo percentuale superi i 20 milioni di euro.
Ma c’è di più: chi non osserva le indicazioni relative ai criteri da usare per stabilire il periodo di conservazione delle password viola l’articolo 5, par. 1, lett. e) del GDPR, che punisce la trasgressione delle misure di attuazione del principio di limitazione della conservazione. Anche qui la sanzione rischia di arrivare a 20 milioni di euro o, per le imprese, al 4% del fatturato annuo qualora l’importo percentuale superi i 20 milioni di euro.
Inoltre, lo stesso GDPR stabilisce, all’articolo 82, che il titolare del trattamento è obbligato a risarcire i danni materiali e immateriali causati da un comportamento illecito, in quest’ultimo caso anche se vi sia il solo timore di un potenziale uso delle password rubate, anche in assenza di un effettivo utilizzo (in tal senso si veda Corte di Giustizia europea – Sezione III – Sentenza 14 dicembre 2023, causa C-340/21)
