Le password giocano un ruolo
determinante nel proteggere la vita delle persone nel mondo
digitale. Ed è proprio con l'obiettivo di innalzare il livello
di sicurezza, sia dei fornitori di servizi digitali sia degli
sviluppatori di software, che l'Agenzia per la cybersicurezza
nazionale (ACN) e il Garante per la protezione dei dati
personali hanno messo a punto specifiche linee guida in materia
di conservazione delle password, fornendo importanti indicazioni
sulle misure tecniche da adottare. Molte violazioni dei dati
personali sono infatti strettamente collegate alle modalità di
protezione delle password. Troppo spesso furti di identità sono
causati dall'utilizzo di credenziali di autenticazione
informatica archiviate in database non adeguatamente protetti
con funzioni crittografiche. Tali attacchi informatici sfruttano
la cattiva abitudine degli utenti di utilizzare la stessa
password per l'accesso a diversi servizi online, con la
conseguenza che la compromissione delle credenziali di
autenticazione di un singolo servizio potrebbe causare l'accesso
non autorizzato a una pluralità di sistemi. Studi di settore
dimostrano che il furto di username e password consente ai
cybercriminali di commettere numerose frodi a danno delle
vittime. I dati rubati vengono utilizzati per entrare
illecitamente nei siti di intrattenimento (35,6%), nei social
media (21,9%) e nei portali di e-commerce (21,2%). In altri
casi, permettono di accedere a forum e siti web di servizi a
pagamento (18,8%) e finanziari (1,3%). Le Linee Guida sono
rivolte a tutte le imprese e le amministrazioni che, in qualità
di titolari o responsabili del trattamento, conservano sui
propri sistemi le password dei propri utenti, le quali si
riferiscono a un numero elevato di interessati (es. gestori
dell'identità digitale SPID o CieID, gestori PEC, gestori di
servizi di posta elettronica, banche, assicurazioni, operatori
telefonici, strutture sanitarie, etc.), a soggetti che accedono
a banche dati di particolare rilevanza o dimensioni (es.
dipendenti di pubbliche amministrazioni), oppure a tipologie di
utenti che abitualmente trattano dati sensibili o giudiziari
(es. professionisti sanitari, avvocati, magistrati). L'obiettivo
delle Linee Guida è quello di fornire raccomandazioni sulle
funzioni crittografiche ritenute attualmente più sicure per la
conservazione delle password, in modo da evitare che le
credenziali di autenticazione (username e password) possano
venire violate e finire nelle mani di cybercriminali, per essere
poi messe online o utilizzate per furti di identità, richieste
di riscatto o altri tipi di attacchi. Le Linee Guida, in corso
di pubblicazione nella Gazzetta Ufficiale, sono consultabili sui
siti web www.gpdp.it e www.acn.gov.it.
Riproduzione riservata © Copyright ANSA