Conservazione password: linee guida dal Garante e ACN

05/06/2024
di Emanuela Pasino

E’ dello scorso dicembre il documento congiunto dell’Agenzia per la cybersicurezza nazionale (ACN) e del Garante per la protezione dei dati personali relativo alle linee guida in materia di conservazione delle password. Dalla collaborazione tra le due autorità nascono importanti indicazioni rispetto alle misure tecniche da adottare per accrescere il livello di sicurezza sia dei providers di servizi digitali che delle software house.

In risposta all’esponenziale moltiplicazione delle minacce e dei data breach ai danni di imprese ed enti pubblici sempre più spesso connesse alle inefficaci, scarse o inesistenti modalità di protezione delle password di accesso, le Autorità citate hanno messo a fattor comune le reciproche competenze sul tema fornendo informazioni concrete per innalzare e migliorare le misure di sicurezza digitale.

Obiettivo principale delle Linee Guida è quello di prevenire e scongiurare il rischio di violazione delle credenziali di autenticazione che – come insegnano i recenti fatti di cronaca – possano essere utilizzate dai cybercriminali per azioni criminose di varia natura come furti di identità, richieste di riscatto o altre tipologie di attacchi.

Il documento si rivolge a quelle categorie di destinatari più soggette a subire attacchi o per le quali l’impatto di un breach avrebbe conseguenze molto significative. Basti pensare ai fornitori di servizi digitali, agli specialisti di sistemi IT, alle software house, ai gestori dei servizi di posta elettronica, o a quei soggetti che hanno accesso a banche dati molto estese o di particolare rilevanza come, a titolo esemplificativo, le risorse di enti pubblici. Tra i destinatari delle Linee Guida anche le strutture sanitarie, banche e assicurazioni e i soggetti che trattano dati particolari, giusto per citare alcuni esempi.

Si tratta di un testo molto tecnico e di raccomandazioni dettagliate rispetto alle funzioni crittografiche da adottare, finalizzate a prevenire eventuali violazioni, che impone non solo azioni puntuali e concrete, ma suggerisce una riflessione – rivolgendosi in particolare ai DPO e alle risorse impegnate sul fronte privacy – rispetto al tema della valutazione dei rischi e dell’accountability. Se da un lato è vero che si parla di “raccomandazioni”, come si può facilmente intuire, in sede di controllo – a seguito di un eventuale data breach – il fatto di aver trascurato le indicazioni da parte dei sistemi informativi sarebbe un aspetto non trascurabile ed esporrebbe il fianco ad un possibile inasprimento delle conseguenze sanzionatorie. Al contrario, l’aver messo in atto tali misure rappresenta un importante elemento per dimostrare la sensibilità e l’attenzione posta dal Titolare sul tema della sicurezza, dimostrandone -sul piano pratico – la proattività.

I concetti espressi non sono certamente di nuova ideazione, ma riflettono e danno continuità ad un orientamento ben noto all’Autorità e tracciato anche da altri impianti normativi, GDPR in primis, che nel principio di accountability fa confluire e ritraduce in maglie più larghe i famigerati (e decaduti) art. 34 del D. Lgs. 196/2003 (“Codice Privacy”) e Allegato B al Codice Privacy (abrogati entrambi da anni), nei quali si faceva menzione di misure minime di sicurezza e venivano fornite indicazioni rispetto ad una gestione adeguata delle procedure di autenticazione.

Le Linee Guida mettono in luce sia il fronte comune adottato dai due organi istituzionali che – in ottica di cooperazione nella lotta alle minacce informatiche – scendono in campo, redigendo un documento tecnico a beneficio di imprese e PA, sia la direzione assunta verso la diffusione di istruzioni nel tempo molto pratiche, specifiche e tecniche sulla base delle tipologie di attacchi.

Il documento trova una ulteriore ragion d’essere anche rispetto al tema della NIS2 sempre in riferimento ai concetti di prevenzione e accountability. La Direttiva NIS2 – che ricordiamo diverrà pienamente applicabile dal prossimo ottobre – si inserisce in questo percorso di rafforzamento del fronte cyber dando ulteriore impulso alla gestione delle misure di sicurezza informatica in ambito aziendale e pubblico. Attività questa che non può ormai più essere considerata compito di esclusiva competenza dell’IT Department, ma che coinvolge trasversalmente anche le altre direzioni, dall’ufficio legale alla compliance, dall’ufficio acquisti rispetto alla selezione di soluzioni e fornitori alle risorse umane che devono assicurare piani formativi per la popolazione aziendale sui temi della sicurezza.

Articolo pubblicato su The Innovation Group

Riproduzione riservata ©

ALTRE NEWS

Archiviazione della Posta elettronica: tra normativa e vantaggi di business

Posta Elettronica in azienda. E’ obbligatoria la conservazione? In quali modi e termini deve avvenire? I dati registrano la crescita del numero di messaggi scambiati…. Leggi Tutto

Da Cor.Com – Così il Privacy Shield protegge le imprese

Il commento dell’Avv. Valentina Frediani pubblicato sul numero 15 Anno XII (dicembre 2016) di Cor.com. Lo Scudo USA-UE è ufficialmente operativo in Italia: le imprese… Leggi Tutto

Cyber Security Act per un digitale europeo garantito

La sicurezza Cibernetica o Cyber Security è, a buon motivo, al centro delle attenzioni delle Istituzioni Europee. Successivamente all’entrata in vigore della Direttiva NIS e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form