La password rappresenta una tra le principali misure di sicurezza tecniche per la tutela dei dispositivi, dei software aziendali e dei dati in essi conservati. Analizziamo il contesto normativo e i suggerimenti forniti dall’Autorità Garante in materia di protezione dei dati personali.
Indice degli argomenti
Gestione delle password in azienda: cosa dice il GDPR
Quello della sicurezza è senza dubbio uno dei temi centrali della normativa europea in materia di protezione dei dati personali (Regolamento UE 2016/679, noto anche come GDPR), considerato anche come l’obiettivo del regolamento sia proprio quello di rafforzare la tutela per le informazioni di carattere personale.
In questa prospettiva si inseriscono i fondamentali principi di “integrità e riservatezza” e di “responsabilizzazione” di cui, rispettivamente, all’art. 5, comma 1, lettera f) e comma 2 GDPR. Secondo il primo, è fatta richiesta a ciascun titolare di trattare i dati “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale”. Inoltre, in base al principio di responsabilizzazione, il titolare non solo deve garantire ma anche essere in grado di dimostrare l’avvenuta implementazione di dette misure e la conformità del trattamento agli altri principi di cui all’art. 5 nonché, più in generale, a tutto quanto richiesto dalla normativa privacy (c.d. principio di accountability; cfr. art. 24 GDPR).
Alla luce di queste premesse e facendo un ulteriore preliminare passaggio, è più facile comprendere il significato del carattere di “adeguatezza” riferito alle misure di sicurezza tecniche e organizzative che troviamo all’art. 32 GDPR (a norma del quale titolari e responsabili devono mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”): in ottica di accountability, il titolare può discrezionalmente far ricadere le proprie scelte (da giustificare ex post, in caso di eventuale controllo da parte dell’autorità) sulle misure che reputa più “adeguate” rispetto ai potenziali rischi presenti nel proprio contesto operativo.
È da questo quadro normativo che deve muovere qualsiasi considerazione in ordine alla gestione delle password aziendali che, nella misura in cui sono previste per accedere a dispositivi, archivi o applicativi all’interno dei quali sono conservati (e, dunque, “trattati”, alla luce dell’ampia definizione offerta ex art. 4, comma 1, punto 2, GDPR) dati personali, vede applicata la disciplina in materia di privacy.
Nell’attuale normativa europea, le scelte inerenti alle password da parte dell’azienda (titolare del trattamento) non sono necessariamente preordinate al rispetto di rigide regole definite a priori, ma al contrario devono essere valutate in base alle circostanze, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32, comma 1, GDPR): una regola che vale in generale per tutte le misure di sicurezza – siano esse organizzative o tecniche, tanto sotto il profilo fisico che informatico – includendo, pertanto, anche il tema della gestione delle password, che rappresenta uno tra i principali mezzi posti a tutela dell’infrastruttura informatica e della rete aziendale.
Importanza della sicurezza delle password
Il carattere “elastico” del concetto di adeguatezza riferito alle misure di sicurezza (le cui scelte, come visto, sono demandate al titolare) non deve tradursi in una valutazione superficiale, improntata alla mera individuazione di soluzioni a basso costo o che non tengano in reale considerazione le esigenze di sicurezza dettate dal contesto1. La responsabilizzazione offerta – e richiesta – al titolare dalla normativa europea, così come la facoltà di determinare autonomamente le misure di sicurezza da implementare, rappresentano un’opportunità che deve condurre quest’ultimo a scelte consapevoli e avvedute.
Venendo al tema delle password non vi è dubbio come costituiscano una misura di sicurezza, dal punto di vista informatico, da ricomprendere nell’alveo dell’art. 32 GDPR2. È importante, tuttavia, che tale misura possa essere considerata anche “adeguata”. L’adozione, ad esempio, di una password per l’accesso al computer trascritta su un biglietto lasciato incautamente sulla scrivania proprio accanto al dispositivo, è qualificabile astrattamente come misura di sicurezza, ma non potrebbe dirsi adeguata: il dispositivo (e i dati in esso contenuti) sarebbero in tal caso tutelati più nella forma che nella sostanza, similmente a quanto avverrebbe nell’ipotesi di colui che lascia la chiave inserita nella serratura esterna della porta di accesso all’abitazione.
Quanto più sicura sarà la costruzione e la gestione delle password, tanto più il giudizio circa l’adeguatezza di tale misura potrà portare a un esito positivo. Ciò, deve condurre l’azienda a scelte ponderate e responsabili, tanto nel suo interesse di salvaguardare tutte le informazioni conservate digitalmente (incluse quelle non qualificabili come dato personale), quanto ai fini del rispetto del citato regolamento europeo.
Come creare password robuste e complesse
Ai fini dell’individuazione di corrette pratiche di creazione e gestione delle password, l’Autorità Garante per la protezione dei dati personali ha pubblicato sul proprio sito dei “Suggerimenti per creare e gestire password a prova di privacy” che, oltre ad accrescere il livello di consapevolezza sull’argomento3, costituiscono un utile vademecum per l’individuazione di pratiche di gestione corrette.
Il documento fornisce innanzitutto le indicazioni per la corretta impostazione delle password, suggerendo di:
- Creare password abbastanza lunghe, di almeno otto caratteri, sottolineando altresì come il livello di sicurezza della chiave di accesso cresce all’aumentare dei caratteri (per una password “robusta” viene indicata una lunghezza di circa quindici caratteri);
- Prevedere caratteri di almeno quattro diverse tipologie all’interno della password, tra cui lettere maiuscole e minuscole, numeri e caratteri speciali (es. punti, trattino, underscore, etc.);
- Evitare l’inserimento di riferimenti personali facili da indovinare (es. nome, cognome, data di nascita, etc.), né collegati al nome utente (anche detto user name o user ID);
- Evitare l’utilizzo di parole intere di uso comune, prediligendo al loro posto parole di fantasia o parole “camuffate” con caratteri alfanumerici o speciali (es. “caf-f3” al posto di “caffè”).
- Non prevedere password già utilizzate in passato.
Utilizzo di strumenti di gestione delle password
Per la gestione delle password, anche il Garante avalla il ricorso a software specializzati per la generazione di parole chiave e che consentano la loro conservazione in un database cifrato sicuro. L’eventuale utilizzo di tali applicativi dovrà essere preceduto da un’attenta valutazione circa le caratteristiche tecniche e le misure di sicurezza in essi implementate, in modo che risulti rispettato il principio di privacy by design di cui all’art. 25 GDPR.
Politiche di scadenza e cambio periodico delle password
Il vademecum dell’Autorità Garante chiarisce altresì la necessità di provvedere a un cambio periodico delle password, soprattutto per i profili più importanti (es. e-banking) o utilizzati più spesso. L’abrogazione del “Disciplinare tecnico in materia di misure minime di sicurezza” (abrogato dall’art. 27, comma 1, lett. d), D. Lgs. 101/2018) in favore del criterio di “adeguatezza” contenuto nell’art. 32 GDPR, vede cancellata la necessità di cadenzare il cambio delle password almeno ogni sei mesi o, in caso di trattamento di dati particolari, ogni tre mesi. In ragione dell’approccio basato sul rischio e sulla responsabilizzazione del titolare descritto in premessa, quest’ultimo ha ampi margini per stabilire le tempistiche e le modalità che reputa più adatte in base al proprio contesto.
Pertanto, per quanto i limiti temporali di cui ai precedenti obblighi possano essere mantenute come riferimento, niente vieta di effettuare scelte diverse da parte del titolare del trattamento, pur nell’ottica della rendicontazione a lui richiesta dall’art. 24 GDPR. Nel caso in cui la password venga dimenticata e, per il suo recupero, vengano utilizzate nuove password temporanee generate da un sistema o da un servizio informatico, il Garante ricorda come una volta utilizzate occorre provvedere immediatamente alla loro sostituzione, scegliendone una personale. Analogamente, appare opportuno procedere al cambio della password in ipotesi di accesso ai sistemi, riuscito o tentato, da parte di soggetti non autorizzati.
Autenticazione a due fattori per una maggiore sicurezza
Al fine di accrescere il livello di sicurezza e rafforzare la protezione offerta dalla password, il Garante suggerisce, laddove disponibili, l’utilizzo di meccanismi di autenticazione a più fattori, come ad esempio codici OTP (one-time-password).
Come suggerisce il suo nome, il codice OTP consiste in una password utilizzabile una sola volta, “usa e getta”, valida per una singola sessione di accesso o la conclusione di una transazione, che consente di superare la vulnerabilità legata al carattere statico della semplice password. Anche nel caso in cui, ad esempio, un intruso riuscisse a entrare in possesso della parola chiave, ciò non sarebbe sufficiente in quanto sarebbe richiesto l’inserimento di una seconda password – temporanea e spendibile una sola volta – generata in automatico da appositi dispositivi (c.d. token) o inviata via SMS, email o mediante applicazioni per dispositivi mobili.
Ruoli e privilegi di accesso alle password
È possibile, in base al contesto e alla struttura aziendale, riservare la disponibilità delle password di accesso a specifici dispositivi o aree dell’archivio informatico soltanto per alcuni soggetti, in relazione allo svolgimento delle loro attività. In questo modo si evita che una parte del personale non autorizzata possa avere accesso a determinate informazioni e altresì si riducono le possibilità che le password vengano indebitamente comunicate all’esterno, in ragione di una disponibilità concentrata in un numero minore di soggetti.
Monitoraggio e audit delle password
È possibile far ricorso a tools di “password audit” che svolgono un’azione di monitoraggio delle parole chiave, segnalando gli account utente che facciano uso di password compromesse o non conformi alle procedure interne. Tale controllo risulta anche utile – soprattutto in contesti molto strutturati, con migliaia di utenze – al fine di eliminare credenziali ormai scadute e rimaste all’interno dei sistemi.
Formazione e consapevolezza dei dipendenti sulla gestione delle password
Quando si parla di sicurezza, quello della formazione è un elemento fondamentale. Il regolamento europeo la prevede come adempimento obbligatorio in capo al titolare del trattamento nei confronti di chiunque agisca sotto la sua autorità e abbia accesso ai dati personali (cfr. art. 32, comma 4, GDPR).
Come sottolineato in un precedente intervento4, l’attività formativa non solo costituisce un obbligo, ma è altresì essenziale precondizione per consentire l’accesso ai dati personali a tutti coloro che possono effettuarvi le relative attività di trattamento. Sotto questo profilo, appare utile anche la previsione di una apposita policy interna per regolamentare le modalità di utilizzo delle password da parte del personale.
I consigli del Garante privacy
Anche il Garante nei suoi suggerimenti fornisce preziose indicazioni dal punto di vista organizzativo:
- Come più sopra osservato, occorre evitare di trascrivere le password su biglietti conservati in prossimità dei dispositivi (pc, smartphone, tablet, supporti di memoria), nel portafoglio, o che possono essere lasciati in giro. Parimenti, da evitare il salvataggio delle password in file non protetti all’interno dei dispositivi stessi.
- È sempre da evitare la condivisione di password via e-mail, sms, social network, servizi di instant messaging, etc., soprattutto laddove venga comunicata unitamente al nome utente. Anche nel caso in cui l’invio avvenga nei confronti di contatti conosciuti, le informazioni potrebbero essere intercettate da malintenzionati (ad es. tramite la tecnica dello sniffing, che consente di catturare tutti i dati che vengono veicolati in rete).
- Nel caso di utilizzo di un dispositivo di terzi, è opportuno prestare attenzione per evitare di conservare in memoria le password di accesso a determinati servizi o applicativi (es. e-mail).
Gestione delle password per i dipendenti in remoto
Le regole fin qui osservate sono da applicare anche e soprattutto al caso di accesso da remoto. Pensiamo al dipendente che presta l’attività lavorativa in modalità agile (smart working): in questo caso i rischi analizzati saranno addirittura maggiori dato che l’attività – almeno in astratto – potrebbe essere svolta in un luogo pubblico, aumentando il pericolo di accesso alle credenziali da parte di terzi non autorizzati.
Inoltre, come già approfondito in altra sede5, ulteriori criticità in ambito di sicurezza emergono nell’ipotesi di un utilizzo promiscuo – per fini sia lavorativi che personali – del dispositivo personale del dipendente (c.d. BYOD – Bring Your Own Device), più esposto a eventuali furti o smarrimenti rispetto agli apparati presenti in modo stabile nell’ambiente di lavoro. In questa ipotesi appare più che mai fondamentale non consentire la memorizzazione delle password aziendali all’interno del dispositivo.
Best practice per la gestione delle password in azienda
Infine, data la sua stretta relazione con la materia della sicurezza, alla quale concorre attivamente, quello delle password aziendali è un tema che pare doversi anche associare, in un’ottica d’insieme, ai concetti di business continuity e disaster ricovery, al fine di definire ex ante le strategie operative da adottare per fronteggiare incidenti o condizione avverse.
