Italiano
English 
Con il provvedimento del 7 dicembre 2023 il Garante per la protezione dei dati personali ha adottato le seguenti linee guida di indirizzo:
- le Linee Guida Funzioni Crittografiche – conservazione delle password, recanti misure di attuazione del principio di integrità e riservatezza e degli obblighi in materia di sicurezza del trattamento;
- le indicazioni sui criteri da utilizzare per determinare il periodo di conservazione delle password, coerentemente al principio di limitazione della conservazione.
Il Garante Privacy ha, infatti, precisato che:
- la password è un dato personale (in quanto riferito all’utente che l’ha impostata e la utilizza per accedere a un sistema informatico o ad un servizio online) che, nello stesso tempo, rappresenta una misura di sicurezza (essendo uno degli elementi su cui si basano le procedure di autenticazione informatica);
- la conservazione delle password può comportare rischi per i diritti e le libertà delle persone fisiche nel caso di acquisizione / divulgazione non autorizzata (si pensi al caso di furto di identità);
- la probabilità e l’impatto dei rischi varia in base alle tipologie di utenti ed alla frequenza di utilizzo della medesima password per accedere a diversi sistemi o servizi online;
- l’adozione di adeguate misure tecniche di protezione delle password può ridurre notevolmente i predetti rischi.
Le Linee Guida, redatte grazie alla cooperazione con l’Agenzia per la cybersicurezza nazionale, si pongono l’obiettivo di fornire indicazioni e raccomandazioni sulle funzioni ritenute attualmente più sicure per evitare l’esfiltrazione di credenziali di autenticazione informatica nonché l’accesso abusivo a sistemi informatici o servizi online mediante credenziali di autenticazione acquisiti illecitamente nell’ambito di attacchi informatici ad altri sistemi o servizi.
Fermo restando il generale principio di accountability previsto dal GDPR, le Linee Guida raccomandano, dunque, l’utilizzo di alcuni algoritmi di password hashing (sono indicati altresì i parametri minimi consigliati per i diversi algoritmi).
Inoltre, in data 1^ marzo, il Garante Privacy ha pubblicato le FAQ – Linee guida in materia di conservazione delle password che chiarisce alcuni aspetti.
Sono soggetti destinatari del provvedimento ed i soggetti tenuti ad adottare le misure tecniche di protezione delle password i titolari e responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici qualora sia soddisfatta una o più delle seguenti condizioni:
- il trattamento riguarda le password di un numero significativo di utenti (es. un numero elevato di soggetti in termini assoluti oppure espressi in percentuale della popolazione di riferimento a livello locale, regionale e nazionale);
- il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni o grandi imprese od organizzazioni);
- il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679 (es. professionisti sanitari, avvocati, magistrati).
Tra i soggetti tenuti all’adozione di adeguate misure di sicurezza per le password vengono menzionati, a titolo esemplificativo, i seguenti:
- gestori delle identità digitali SPID e CieID; gestori di posta elettronica certificata e gestori di servizi di posta elettronica;
- prestatori di servizi fiduciari a norma del regolamento (UE) n. 910/2014 e società finanziarie;
- imprese assicurative;
- società che svolgono attività di commercio elettronico (e-commerce);
- istituti di credito;
- società e aziende che forniscono servizi ICT;
- imprese di somministrazione di lavoro e ricerca del personale;
- società che offrono servizi di prenotazione di strutture ricettive;
- società operanti nel settore della distribuzione di energia elettrica o del gas;
- società che offrono servizi di biglietteria per trasporti (es. aerei, ferroviari e marittimi) e società che offrono servizi di biglietteria per eventi teatrali, sportivi ed altri eventi ricreativi e d’intrattenimento;
oltre ad enti pubblici (Regioni, Comuni e Province, etc.) e concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici, accertamento e riscossione dei tributi locali, ecc.).
Inoltre, le FAQ precisano che non è sufficiente l’utilizzo di una procedura di autenticazione informatica a due fattori (c.d. strong authentication) in quanto gli utenti potrebbero comunque utilizzare la stessa (o simile) password per accedere ad altri sistemi informatici o servizi online che non necessariamente prevedono la procedura di doppia autenticazione.
Anche con riferimento alla c.d. password history devono essere previste adeguate misure di sicurezza.
Quanto ai tempi di conservazione delle password si rammenta il principio di minimizzazione e della coerenza dei termini del trattamento rispetto alle finalità. In particolare, nelle FAQ viene esplicitata la regola della cancellazione tempestiva delle password degli utenti nei casi di:
- cessazione o dismissione dei sistemi informatici o servizi online a cui le credenziali di autenticazione consentivano l’accesso;
- disattivazione o revoca delle credenziali di autenticazione di un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.
Al seguente link è possibile consultare le Linee Guida e le FAQ: https://www.garanteprivacy.it/temi/cybersecurity/password/conservazione-delle-password
A cura di:
- ing. Giovanni d’Adamo
- avv. Caterina Vecchio
Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.