Conservazione delle password: nuove linee guida e FAQ

Le nuove Linee Guida del Garante per la Privacy stabiliscono misure per la conservazione sicura delle password, tutelando i dati personali. Il documento include FAQ per facilitarne la comprensione e l'attuazione, garantendo un livello di sicurezza adeguato ai rischi.

Sommario: Introduzione Analisi del documento “Linee Guida Funzioni Crittografiche” Pubblicazione delle FAQ sulle linee guida in materia di conservazione e considerazioni finali

1. Introduzione

Le Linee Guida (testo in calce), solennemente ratificate attraverso il Provvedimento (rif. Registro dei Provvedimenti n. 594) emanato il 7 dicembre 2023 dal Garante Privacy (rif. doc. web n. 9962283) e successivamente ufficializzate mediante comunicato pubblicato nella Gazzetta Ufficiale (rif. avviso n. 15 del 19 gennaio 2024), incarnano un decisivo passo avanti nel contesto della protezione dei dati personali e della sicurezza digitale.

L'intento primario di tali direttive è elevare il grado di sicurezza sia per i fornitori di servizi digitali che per gli sviluppatori di software.

L'obiettivo è quello di preservare gli utenti da potenziali rischi derivanti da violazioni dei dati personali e da furti di identità, fenomeni spesso innescati dall'utilizzo di credenziali di autenticazione informatica archiviate in database privi di adeguata protezione mediante l'applicazione di robuste funzioni crittografiche.

Questa iniziativa si pone come una risposta concreta e mirata agli imperativi emergenti nel panorama digitale contemporaneo, dove la protezione dei dati personali assume un ruolo centrale e cruciale.

La sua attuazione riflette l'imperativo morale e giuridico di salvaguardare l'integrità e la riservatezza delle informazioni personali degli individui, garantendo nel contempo la continuità e l'affidabilità delle operazioni online.

In tal senso, le Linee Guida rappresentano un catalizzatore per l'adozione di pratiche di sicurezza informatica più rigorose e sofisticate, stimolando la collaborazione tra gli attori del settore e promuovendo l'implementazione di misure preventive efficaci contro potenziali minacce informatiche.

Esse sono indirizzate a tutte le imprese ed amministrazioni che, in qualità di titolari o responsabili del trattamento, custodiscono sui propri sistemi le credenziali di accesso dei propri utenti.

Queste entità ricomprendono un ampio spettro di soggetti, quali i gestori dell'identità digitale SPID o CieID, gli amministratori di posta elettronica certificata (PEC), le istituzioni bancarie e assicurative, gli operatori telefonici, le strutture sanitarie e molte altre ancora.

Particolare attenzione viene rivolta anche a coloro che accedono a banche dati di particolare rilevanza o dimensioni, come ad esempio i dipendenti delle pubbliche amministrazioni.

Altresì, vengono inclusi nella sfera di applicazione delle Linee Guida coloro che, per via della propria attività, trattano abitualmente dati sensibili o giudiziari, quali professionisti sanitari, avvocati, magistrati ed altri professionisti del settore.

Tale chiara definizione degli ambiti di applicazione mira a garantire che le disposizioni contenute nelle Linee Guida siano seguite ed implementate in maniera rigorosa e capillare da parte di tutte le entità coinvolte.

Inoltre, esse si configurano come un importante strumento volto all'attuazione del principio di integrità e riservatezza, nonché degli obblighi concernenti la sicurezza del trattamento dei dati personali, come sanciti negli articoli 5, paragrafo 1, lettera f), e 32 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, datato 27 aprile 2016.

Nell'ecosistema digitale contemporaneo, le password rivestono un ruolo fondamentale nel garantire la protezione e la sicurezza delle informazioni personali degli individui.

Le “Linee Guida sulla Conservazione delle Password”, in particolare, esplorano diversi aspetti in materia di sicurezza delle password, dalla loro creazione e gestione alla scelta degli algoritmi di hashing più idonei per garantire una protezione ottimale.

È importante sottolineare che molte violazioni dei dati personali sono direttamente correlate alle pratiche di gestione delle password.

Spesso, furti d'identità derivano dall'utilizzo di credenziali di accesso memorizzate in database insufficientemente protetti mediante meccanismi crittografici.

Questi attacchi informatici sfruttano comunemente il ricorso degli utenti a password identiche per l'accesso a vari servizi online.

Ciò implica che una compromissione delle credenziali di autenticazione su un servizio può provocare un accesso non autorizzato a numerosi altri sistemi.

Studi del settore evidenziano che il furto di username e password consente ai cybercriminali di perpetrare diverse frodi ai danni delle vittime.

Le informazioni rubate vengono spesso impiegate per accedere illegalmente a siti di intrattenimento (35,6%), piattaforme di social media (21,9%) e portali di e-commerce (21,2%). In altri casi, consentono l'accesso a forum e siti web a pagamento (18,8%) e servizi finanziari (1,3%).

GDPR e Normativa Privacy Commentario, di Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018). Scarica gratuitamente l'estratto

2. Analisi del documento “Linee Guida Funzioni Crittografiche”

Tra le raccomandazioni principali presenti nel documento figura l'impiego di robusti algoritmi di hashing. Tale metodologia comporta la trasformazione delle password in stringhe di testo cifrate, rendendo estremamente complesso per eventuali malintenzionati accedere alle informazioni originali.

Ulteriormente, si sottolinea l'importanza dell'aggiunta di un "salt" e, opzionalmente, di un "pepper" a ciascuna password prima del processo di hashing.

Il salt è una sequenza casuale di bit che viene aggiunta alla password dell'utente prima di calcolarne il digest crittografico.

Quando un utente inserisce la propria password per autenticarsi, il salt viene recuperato dal sistema e concatenato alla password inserita dall'utente.

Successivamente, il sistema applica l'algoritmo di hashing alla combinazione di password e salt. Questo processo garantisce che anche due password identiche avranno digest diversi a causa della presenza di salt differenti.

È importante notare che il salt è memorizzato in chiaro nel sistema, insieme al digest della password. Questo non compromette la sicurezza, poiché il salt non è segreto e il suo scopo non è quello di essere nascosto.

La sua presenza aggiunge una variabile casuale che rende ogni password unica, anche se le password stesse sono simili.

Per aumentare ulteriormente la sicurezza, il salt può essere memorizzato in un archivio separato dalle password.

Questo garantisce un ulteriore livello di protezione nel caso in cui il database delle password venga compromesso. In generale, il salt non aumenta direttamente il livello di sicurezza per la conservazione di una singola password di un utente specifico.

Piuttosto, la sua funzione principale è quella di rallentare gli sforzi di un attaccante che mira a violare l'intero archivio delle password. La sua efficacia è direttamente proporzionale alla dimensione dell'archivio delle password.

Il pepper è, invece, un'altra componente critica per la sicurezza delle password, che si differenzia dal salt per il suo utilizzo e la sua natura.

A differenza del salt, che è un valore casuale unico per ogni password, il pepper può essere lo stesso per tutte le password nell'archivio.

Esso viene utilizzato come chiave per un HMAC (Hash-based Message Authentication Code) o per un meccanismo di cifratura simmetrico applicato al digest della password.

Questo significa che, prima di applicare l'algoritmo di hashing alla password, essa viene prima elaborata, tramite HMAC o cifrata, utilizzando il pepper come chiave segreta.

Quando un utente inserisce la propria password per autenticarsi, il sistema recupera il valore cifrato o l'HMAC memorizzato per quella password e lo confronta con quello ottenuto applicando lo stesso processo alla password inserita dall'utente.

Se i due valori corrispondono, l'utente viene autenticato con successo.

Il suo uso aggiunge un ulteriore livello di sicurezza al sistema, poiché rende più difficile per un attaccante violare le password anche se riesce a ottenere accesso all'archivio delle password.

Questi elementi aggiuntivi incrementano ulteriormente la sicurezza, rendendo ciascun hash unico e quindi più resistente agli attacchi di forza bruta ed a quelli basati su tabelle di precalcolo.

Il suddetto documento fornisce anche un'analisi dettagliata di vari algoritmi di hashing, tra cui:

• PBKDF2. La Password Based Key Derivation Function 2 (PBKDF2) è un algoritmo crittografico progettato per derivare una chiave crittografica da una password fornita dall'utente. È stato sviluppato nel 1999 e pubblicato nel 2000 come parte della serie di standard crittografici conosciuta come “Public Key Cryptography Standards (PKCS)”. PBKDF2 è ampiamente utilizzato per la generazione di chiavi da password in diversi contesti, come la crittografia dei dati sensibili e l'autenticazione degli utenti. Il suo utilizzo implica l'iterazione di una funzione hash crittografica (un algoritmo matematico che trasforma dati di dimensioni variabili in una stringa di lunghezza fissa, chiamata, appunto, "hash"), come SHA-1 o SHA-256, multiple volte, rendendo il processo di derivazione più complesso e, quindi, più sicuro. Inoltre, PBKDF2 supporta l'uso di un "salt" per ogni password, aumentando ulteriormente la sicurezza del processo di derivazione della chiave.

• Scrypt. Scrypt è una funzione di derivazione della chiave basata su password, ideata nel 2009 da Colin Percival. La sua funzione è quella di rendere meno efficace gli attacchi basati su implementazioni hardware specializzate, fornendo un livello aggiuntivo di sicurezza rispetto ai suoi predecessori. Una sua caratteristica distintiva, rispetto ad altri algoritmi di derivazione della chiave, è l'introduzione di un nuovo parametro, ossia la memoria richiesta per l'intera computazione dell'algoritmo, che consente agli utenti di configurare l'algoritmo stesso, in modo da richiedere una quantità specifica di memoria durante l'esecuzione.

• Bcrypt. Bcrypt è un algoritmo di hashing concepito appositamente per questo scopo e non come una funzione di derivazione della chiave. È stato introdotto nel 1999 da Niels Provos e David Mazières. Esso si basa su un cifrario a blocchi, noto come Blowfish, implementato nella modalità Electronic Codebook (ECB). È in grado di creare un algoritmo di "key schedule" per il cifrario a blocchi, che richieda un notevole sforzo computazionale. Questo viene ottenuto mediante la ripetizione del processo di cifratura per un numero specifico di iterazioni. La sua implementazione fornisce una solida difesa contro gli attacchi informatici mirati alla violazione delle password.

• Argon2. Argon2 è un algoritmo di derivazione della chiave progettato da Alex Biryukov, Daniel Dinu e Dmitry Khovratovich. È stato sviluppato in risposta alla Password Hashing Competition (PHC) del 2013, una competizione organizzata da un gruppo di crittografi per selezionare nuovi standard crittografici per la conservazione delle password. Durante la PHC, sono stati presentati 24 candidati, ma solo Argon2 è stato selezionato come vincitore, alla fine della competizione, nel luglio 2015. Questo algoritmo è stato ampiamente riconosciuto come la migliore scelta per l'hashing delle password, in particolare per la sua resistenza agli attacchi basati su macchine ASIC (Application-Specific Integrated Circuits, ossia dispositivi hardware progettati per eseguire una specifica applicazione o compito in modo altamente efficiente), che possono ottenere numerosi digest contemporaneamente. Argon2 è stato progettato per massimizzare il costo degli attacchi alle password attraverso l'utilizzo di una quantità personalizzabile di memoria durante la sua esecuzione. Gli autori hanno proposto diverse versioni dell'algoritmo, ovvero: i) Argon2d: questa versione utilizza un accesso alla memoria dipendente dai dati che sta trattando, rendendo l'algoritmo più resistente agli attacchi perpetrati con strumenti dedicati come GPU e ASIC. Tuttavia, è più sensibile agli attacchi side-channel, cioè un tipo di attacco informatico mirato a raccogliere informazioni non direttamente legate alla vulnerabilità matematica del sistema crittografico, bensì ai dettagli operativi o fisici del dispositivo stesso. Queste informazioni possono essere sfruttate per compromettere la sicurezza del sistema o per ottenere accesso non autorizzato. Questa versione è adatta per applicazioni legate alla blockchain ed alla proof-of-work (un protocollo utilizzato nei sistemi di blockchain e crittografia per dimostrare che un certo ammontare di lavoro computazionale è stato svolto al fine di verificare e validare transazioni o creare nuovi blocchi all'interno di una blockchain); ii) Argon2i: questa versione non prevede un accesso alla memoria dipendente dai dati ed è, quindi, più resistente agli attacchi side-channel. Viene utilizzata principalmente come funzione di derivazione della chiave e per l'hashing delle password; iii) Argon2id: questa è una versione “mista” delle precedenti.

Mediante l’implementazione di tali algoritmi, si evidenziano le caratteristiche, i vantaggi e le configurazioni consigliate.

Nel documento si discute, in particolare, dei parametri critici come il numero d’ iterazioni, la dimensione del salt ed il grado di parallelizzazione, che sono fondamentali per bilanciare efficacemente sicurezza e prestazioni.

Oltre agli aspetti tecnici, le Linee Guida sottolineano l'importanza di un approccio sistemico alla sicurezza delle password.

Ciò include non solo l'adozione di meccanismi di hashing avanzati, ma anche l'implementazione di politiche aziendali adeguate, la formazione degli utenti ed una gestione attenta delle chiavi di cifratura.

Si enfatizza che tali Linee Guida si applicano anche in contesti di autenticazione a più fattori, dove l'utente fornisce più di un elemento per l'autenticazione.

Anche in questi casi, è fondamentale proteggere adeguatamente le password degli utenti, considerando il rischio che essi possano utilizzare le stesse o simili password per accedere ad altri servizi online o sistemi informatici che potrebbero non supportare l'autenticazione a più fattori.

De facto, il documento promuove un approccio completo ed olistico alla sicurezza delle password, che tenga conto non solo degli aspetti tecnici ma anche delle politiche aziendali e delle pratiche degli utenti, al fine di garantire un livello di sicurezza ottimale nei sistemi informatici e nei servizi online.

L'adozione delle misure tecniche raccomandate nelle Linee Guida, o di misure equivalenti che garantiscono un livello di sicurezza analogo, rappresenta un passo significativo nel mitigare i rischi associati alla violazione dei dati personali, in particolare quelli relativi alle password degli utenti.

Secondo le "Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali", adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, e considerando quanto previsto dall'articolo 34, paragrafo 3, lettera a) del Regolamento (UE) 2016/679, se vengono implementate tecniche crittografiche all'avanguardia per proteggere le password degli utenti e se la violazione coinvolge esclusivamente tali password senza includere altre tipologie di dati personali, allora la violazione potrebbe non comportare rischi significativi per i diritti e le libertà degli interessati.

Di conseguenza, potrebbe non essere obbligatorio notificare la violazione al Garante per la protezione dei dati e comunicarla agli interessati coinvolti, in conformità agli articoli 33 e 34 del Regolamento (UE) 2016/679. Tuttavia, è importante sottolineare che la violazione deve comunque essere adeguatamente documentata, come richiesto dall'articolo 33, paragrafo 5, del medesimo regolamento.

È con la consapevolezza dell'importanza vitale di questo strumento che, nel dicembre 2023, l'Agenzia per la cybersicurezza nazionale (ACN) ed il Garante per la protezione dei dati personali hanno collaborato per la loro formulazione, poiché è noto che numerose violazioni dei dati personali trovano origine proprio nelle modalità di gestione e protezione delle password.

Troppo spesso, infatti, furti di identità e violazioni della privacy sono il risultato diretto dell'accesso illecito a credenziali di autenticazione informatica conservate in database privi di adeguate protezioni crittografiche.

Privacy e Data protection 2022, A cura di: Coraggio Giulio, Ed. IPSOA, 2022. Trattamento dei dati personali, Data Protection Officer, cibersecurity e relative sanzioni. Scarica gratuitamente l'estratto

3. Pubblicazione delle FAQ sulle linee guida in materia di conservazione e considerazioni finali

Il Provvedimento emanato dall'Autorità per la protezione dei dati personali ha avuto origine dalle numerose segnalazioni pervenute all'Autorità stessa, ai sensi dell'articolo 33 del Regolamento (UE) 2016/679, noto come GDPR, a partire dall'entrata in vigore di tale normativa.

Tali segnalazioni riguardavano principalmente due tipologie di violazioni dei dati personali:

1. la compromissione delle credenziali di autenticazione informatica, costituite da un codice identificativo dell'utente (username) e da una parola chiave (password), con alcune di queste password disattivate o relative a sistemi informatici o servizi online cessati;

2. l'accesso abusivo a sistemi informatici o servizi online mediante l'utilizzo di credenziali di autenticazione illecitamente acquisite nell'ambito di attacchi informatici ad altri sistemi o servizi.

In risposta a queste segnalazioni, il Garante ha avviato numerose indagini, alcune delle quali sono ancora in corso, anche attraverso accertamenti ispettivi, nei confronti dei titolari e responsabili del trattamento dei dati.

Esse hanno mirato a verificare l'adeguatezza delle misure tecniche e organizzative adottate per proteggere i sistemi di autenticazione informatica.

Durante queste indagini è emerso che in molti casi le misure tecniche adottate per proteggere le password degli utenti erano limitate nell'efficacia, principalmente a causa di una valutazione dei rischi non adeguata da parte dei titolari e responsabili del trattamento.

Il Garante ha sottolineato che la conservazione delle password nei sistemi di autenticazione informatica può comportare rischi significativi per i diritti e le libertà delle persone fisiche, in particolare in caso di accesso non autorizzato o divulgazione illecita delle stesse, che potrebbero portare a furti d'identità o altri tipi di frodi.

Di conseguenza, l'adozione di adeguate misure tecniche per proteggere le password degli utenti è stata identificata come una misura necessaria per mitigare tali rischi e prevenire gli effetti negativi sulle persone coinvolte in caso di violazioni dei dati personali relative alle credenziali di autenticazione informatica.

Come evidenziato dal Garante stesso, studi settoriali dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi dannose per le vittime.

Le statistiche fornite dall'Autorità dimostrano l'ampia portata dell'utilizzo illecito dei dati rubati, offrendo uno sguardo illuminante sulle diverse modalità con cui i cybercriminali sfruttano le credenziali di autenticazione rubate. In particolare, si evidenzia che:

• il 35,6% dei dati rubati viene utilizzato per accedere illecitamente ai siti di intrattenimento, suggerendo che tali piattaforme rappresentino un bersaglio significativo per gli aggressori. Questo potrebbe indicare che i dati personali degli utenti, una volta compromessi, vengono sfruttati per ottenere accesso a contenuti o servizi a pagamento all'interno di questi siti;

• il 21,9% dei dati rubati viene impiegato per accedere ai social media, rivelando che i profili e le informazioni personali degli utenti su piattaforme di social networking sono obiettivi appetibili per i criminali informatici. Questo tipo di accesso non autorizzato potrebbe consentire agli aggressori di assumere l'identità dell'utente e compiere attività dannose o fraudolente in suo nome;

• il 21,2% dei dati compromessi viene utilizzato per accedere ai portali di e-commerce, suggerendo che i cybercriminali mirano ad effettuare acquisti fraudolenti utilizzando le credenziali di accesso rubate. Questo genere di attività criminale può causare danni finanziari significativi agli utenti colpiti ed alle aziende coinvolte;

• il 18,8% dei dati rubati viene impiegato per accedere a forum ed a siti web di servizi a pagamento, indicando che le credenziali rubate vengono utilizzate per accedere a contenuti o servizi che richiedono un abbonamento o un pagamento;

• il 1,3% dei dati rubati viene, invece, utilizzato per accedere a servizi finanziari, evidenziando che le credenziali di autenticazione compromesse vengono sfruttate per ottenere accesso a informazioni (finanziarie) sensibili o per compiere transazioni fraudolente.

Queste statistiche sottolineano l'importanza di adottare misure di sicurezza robuste per proteggere le credenziali di autenticazione degli utenti e di educare gli utenti stessi sull'importanza di pratiche di sicurezza informatica per mitigare il rischio di violazioni dei dati personali e frodi online.

Le statistiche fornite dall'Autorità mostrano l'ampia gamma di servizi online che possono essere compromessi in seguito al furto di credenziali di autenticazione, includendo siti di intrattenimento, social media, portali di e-commerce, forum, servizi a pagamento e servizi finanziari.

Secondo il Garante, inoltre, la password rappresenta sia un dato personale, poiché è «riferibile all’utente che l’ha impostata e la utilizza per l’accesso a un sistema informatico o un servizio online», sia una misura di sicurezza, «essendo un elemento, appartenente alla categoria della conoscenza (qualcosa che solo l’utente conosce), su cui si basano le procedure di autenticazione informatica per l’accesso alla maggior parte dei sistemi informatici e dei servizi online e, quindi, ai dati personali ivi trattati, riferibili allo stesso utente o ad altri interessati».

La conservazione delle password può comportare rischi per i diritti e le libertà delle persone fisiche, soprattutto in caso di acquisizione o divulgazione non autorizzata, come nel caso di furto di identità.

La probabilità e l'entità di tali rischi variano in base alle tipologie di utenti ed alla pratica di utilizzare la stessa password per accedere a diversi sistemi o servizi online.

Per tali ragioni, il Garante ha ritenuto di dover adottare le Linee Guida, proprio «al fine di fornire indicazioni sulle misure tecniche in grado di garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, proteggendo in modo efficace le password, conservate nell’ambito di sistemi di autenticazione informatica, o di altri sistemi, affinché i titolari e i responsabili del trattamento possano orientare le proprie scelte tecnologiche, oppure progettare e realizzare i propri sistemi informatici e servizi online, in conformità al principio di integrità e riservatezza e agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento)».

Pur rimanendo in linea con il principio generale di accountability previsto dal GDPR, le Linee Guida consigliano l'utilizzo di specifici algoritmi di password hashing, fornendo anche i parametri minimi raccomandati per ciascun algoritmo, al fine di garantire un adeguato livello di sicurezza nella conservazione delle password. Inoltre, in data 1° marzo 2024, il Garante Privacy ha pubblicato le FAQ – Linee guida in materia di conservazione delle password che ne chiarisce alcuni aspetti.

Le FAQ pubblicate seguono la pubblicazione delle linee guida del Garante ed anch’esse forniscono indicazioni dettagliate, affrontando diverse questioni chiave, tra cui:

1. i destinatari del provvedimento del Garante, ossia le persone, le organizzazioni e le entità coinvolte nella gestione e nel trattamento dei dati personali, che sono tenute a seguire le disposizioni e le raccomandazioni fornite dal Garante;

2. i soggetti obbligati ad adottare misure tecniche di protezione delle password. Chiaramente specifica chi è tenuto ad adottare le misure tecniche raccomandate per proteggere le password degli utenti, inclusi i provider di servizi online, le aziende e le organizzazioni che gestiscono dati personali sensibili;

3. le circostanze in cui sono necessarie tali misure;

4. l’applicazione cronologica delle misure tecniche, discutendo se sia necessario applicare retroattivamente le misure tecniche anche alle password già adottate dagli utenti in precedenza. Questo aspetto è fondamentale per garantire una transizione senza problemi e mantenere un alto standard di sicurezza;

5. la cancellazione delle password degli utenti;

6. la gestione delle violazioni dei dati personali.

Le FAQ forniscono indicazioni su come gestire le violazioni dei dati personali, anche se sono state adottate misure tecniche adeguate. Questo può includere procedure di notifica delle violazioni, comunicazione agli interessati ed azioni correttive da intraprendere.

In generale, dunque, le FAQ offrono una guida dettagliata su come interpretare ed attuare le linee guida del Garante per la protezione dei dati personali riguardanti la conservazione delle password stesse, aiutando le organizzazioni a garantire un'adeguata protezione dei dati ed a rispettare gli obblighi normativi in materia di sicurezza dei dati personali.

Il Provvedimento, le Linee Guida ed i chiarimenti forniti dal Garante attraverso le FAQ sottolineano l'importanza di riconsiderare i presìdi di sicurezza implementati per la gestione e la conservazione delle password. Questo richiamo alla necessità di adottare misure efficaci non rappresenta, però, un principio nuovo, ma piuttosto conferma un orientamento già presente nelle normative precedenti.

È importante ricordare che, già nell'ambito del precedente Codice Privacy, nel Decreto Legislativo 196/2003 esisteva l'articolo 34 insieme all'Allegato B, che prescriveva l'adozione di misure minime di sicurezza per garantire una corretta e sicura gestione delle procedure di autenticazione informatica.

Con l'introduzione del Regolamento Generale sulla Protezione dei Dati queste disposizioni specifiche sulle misure minime sono venute meno, avendo posto l'accento sull'adozione di misure tecniche ed organizzative adeguate, richiedendo ai titolari del trattamento di valutare attentamente le misure di sicurezza da adottare in base al grado di rischio dei trattamenti effettuati.

In questo contesto, le Linee Guida del Garante rappresentano un importante strumento di supporto per i titolari e per i responsabili del trattamento, offrendo indicazioni e raccomandazioni pratiche per garantire la protezione e la conservazione sicura delle password.

Pertanto, mentre le normative precedenti stabilivano misure minime di sicurezza, il Regolamento ha introdotto un approccio più flessibile ed orientato al rischio, richiedendo valutazioni individuali e adattabili alle circostanze specifiche. Le Linee Guida del Garante costituiscono, quindi, un valido ausilio per conformarsi a queste nuove disposizioni e assicurare un adeguato livello di protezione dei dati personali, incluso il corretto trattamento delle password degli utenti.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!