E’ dello scorso dicembre il documento congiunto dell’Agenzia per la cybersicurezza nazionale (ACN) e del Garante per la protezione dei dati personali relativo alle linee guida in materia di conservazione delle password. Dalla collaborazione tra le due autorità nascono importanti indicazioni rispetto alle misure tecniche da adottare per accrescere il livello di sicurezza sia dei providers di servizi digitali che delle software house.

In risposta all’esponenziale moltiplicazione delle minacce e dei data breach ai danni di imprese ed enti pubblici sempre più spesso connesse alle inefficaci, scarse o inesistenti modalità di protezione delle password di accesso, le Autorità citate hanno messo a fattor comune le reciproche competenze sul tema fornendo informazioni concrete per innalzare e migliorare le misure di sicurezza digitale.

Obiettivo principale delle Linee Guida è quello di prevenire e scongiurare il rischio di violazione delle credenziali di autenticazione che – come insegnano i recenti fatti di cronaca – possano essere utilizzate dai cybercriminali per azioni criminose di varia natura come furti di identità, richieste di riscatto o altre tipologie di attacchi.

Il documento si rivolge a quelle categorie di destinatari più soggette a subire attacchi o per le quali l’impatto di un breach avrebbe conseguenze molto significative. Basti pensare ai fornitori di servizi digitali, agli specialisti di sistemi IT, alle software house, ai gestori dei servizi di posta elettronica, o a quei soggetti che hanno accesso a banche dati molto estese o di particolare rilevanza come, a titolo esemplificativo, le risorse di enti pubblici. Tra i destinatari delle Linee Guida anche le strutture sanitarie, banche e assicurazioni e i soggetti che trattano dati particolari, giusto per citare alcuni esempi.

Si tratta di un testo molto tecnico e di raccomandazioni dettagliate rispetto alle funzioni crittografiche da adottare, finalizzate a prevenire eventuali violazioni, che impone non solo azioni puntuali e concrete, ma suggerisce una riflessione – rivolgendosi in particolare ai DPO e alle risorse impegnate sul fronte privacy – rispetto al tema della valutazione dei rischi e dell’accountability. Se da un lato è vero che si parla di “raccomandazioni”, come si può facilmente intuire, in sede di controllo – a seguito di un eventuale data breach – il fatto di aver trascurato le indicazioni da parte dei sistemi informativi sarebbe un aspetto non trascurabile ed esporrebbe il fianco ad un possibile inasprimento delle conseguenze sanzionatorie. Al contrario, l’aver messo in atto tali misure rappresenta un importante elemento per dimostrare la sensibilità e l’attenzione posta dal Titolare sul tema della sicurezza, dimostrandone -sul piano pratico – la proattività.

I concetti espressi non sono certamente di nuova ideazione, ma riflettono e danno continuità ad un orientamento ben noto all’Autorità e tracciato anche da altri impianti normativi, GDPR in primis, che nel principio di accountability fa confluire e ritraduce in maglie più larghe i famigerati (e decaduti) art. 34 del D. Lgs. 196/2003 (“Codice Privacy”) e Allegato B al Codice Privacy (abrogati entrambi da anni), nei quali si faceva menzione di misure minime di sicurezza e venivano fornite indicazioni rispetto ad una gestione adeguata delle procedure di autenticazione.

Le Linee Guida mettono in luce sia il fronte comune adottato dai due organi istituzionali che – in ottica di cooperazione nella lotta alle minacce informatiche – scendono in campo, redigendo un documento tecnico a beneficio di imprese e PA, sia la direzione assunta verso la diffusione di istruzioni nel tempo molto pratiche, specifiche e tecniche sulla base delle tipologie di attacchi.

Il documento trova una ulteriore ragion d’essere anche rispetto al tema della NIS2 sempre in riferimento ai concetti di prevenzione e accountability. La Direttiva NIS2 – che ricordiamo diverrà pienamente applicabile dal prossimo ottobre – si inserisce in questo percorso di rafforzamento del fronte cyber dando ulteriore impulso alla gestione delle misure di sicurezza informatica in ambito aziendale e pubblico. Attività questa che non può ormai più essere considerata compito di esclusiva competenza dell’IT Department, ma che coinvolge trasversalmente anche le altre direzioni, dall’ufficio legale alla compliance, dall’ufficio acquisti rispetto alla selezione di soluzioni e fornitori alle risorse umane che devono assicurare piani formativi per la popolazione aziendale sui temi della sicurezza.