Le password rappresentano un elemento cruciale nella difesa della vita digitale delle persone, e con l’obiettivo di innalzare il livello di sicurezza, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la Protezione dei Dati Personali hanno congiuntamente sviluppato Linee Guida specifiche per la conservazione delle password. Queste linee guida forniscono importanti indicazioni sulle misure tecniche da adottare.
Molte violazioni dei dati personali sono direttamente correlate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non sufficientemente protetti con funzioni crittografiche. Tali attacchi informatici sfruttano frequentemente la cattiva abitudine degli utenti di utilizzare le stesse password su diversi servizi online, il che può portare ad accessi non autorizzati a una pluralità di sistemi in caso di compromissione di una sola credenziale di autenticazione.
Studi di settore dimostrano che il furto di username e password può consentire ai cybercriminali di perpetrare numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).
Le Linee Guida sono indirizzate a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un elevato numero di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).
L’obiettivo delle Linee Guida è fornire raccomandazioni sulle funzioni crittografiche attualmente considerate più sicure per la conservazione delle password. Ciò mira a prevenire violazioni delle credenziali di autenticazione e a impedire che finiscano nelle mani di cybercriminali, che potrebbero essere messe online o utilizzate per furti d’identità, richieste di riscatto o altri attacchi dannosi.
Le Linee Guida, in corso di pubblicazione nella Gazzetta Ufficiale, sono consultabili sui siti web www.gpdp.it e www.acn.gov.it.
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9962240
