Garante Privacy e ACN, approvate le Linee Guida per la conservazione delle password

Con l'obiettivo di elevare il livello di sicurezza dei fornitori di servizi digitali e degli sviluppatori di software, l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno predisposto linee guida specifiche in tema di  conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

La modalità di protezione delle password è infatti fondamentale per tutelarsi da violazioni dei dati personali: molto di frequente i furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non protetti in modo adeguato con funzioni crittografiche.

Intento delle Linee Guida è quindi offrire raccomandazioni su queste funzioni, considerate allo stato attuale le più sicure per la conservazione delle password, così da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere quindi messe online o utilizzate per furti di identità, richieste di riscatto o altre tipologie di attacchi.

Utilizzare una sola password

La cattiva abitudine di utilizzare la stessa password per l’accesso a diversi servizi online che molti utenti hanno è la maggiore responsabile della compromissione delle credenziali di autenticazione di un singolo servizio, che potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Le Linee Guida sono destinate a imprese e amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti. Si riferiscono a un elevato numero di interessati (gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (professionisti sanitari, avvocati, magistrati).

Le Linee Guida, in corso di pubblicazione nella Gazzetta Ufficiale, sono consultabili sui siti web www.gpdp.it e www.acn.gov.it.