PROTOCOLLO INTERNET HTTP A RISCHIO DI CYBERATTACCHI

In merito al protocollo Internet dei siti web e accessi ai servizi on line, ricordiamo che il Garante della privacy ha sanzionato, con provvedimento del 6 ottobre 2022 , un’Azienda fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.

Nel caso di specie, a seguito di un reclamo l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.

Il Garante ha evidenziato che l’utilizzo di un protocollo non protetto (http) rispetto al protocollo httpS (dove S sta per secure), non garantisce una adeguata tutela dei dati personali con il rischio concreto, ad esempio, di furti d’identità, con acquisizione di dati per utilizzi illeciti.

Il provvedimento del Garante è andato anche più nello specifico, osservando che nonostante non vi fossero state violazioni accertate, gli obblighi di adeguate misure di sicurezza andavano applicati anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).

Trattandosi di un alto numero di potenziali utenti coinvolti e di un’ampia categoria di dati personali raccolti (dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione), il Garante ha sottolineato che la non garanzia del protocollo «http» alla riservatezza e all’integrità di tali dati scambiati in rete, oltre che la non possibilità da parte degli utenti di verificare l’autenticità del sito web visualizzato, ha posto in situazione di pericolo il loro trattamento dei loro dati personali.

Dal punto di vista dell’interpretazione della entità sanzione va segnalato che il Garante ha calcolato comunque che l’Azienda non aveva commesso precedenti violazioni analoghe, e ha tenuto un atteggiamento collaborativo nel corso dell’istruttoria.

OPERATIVAMENTE consigliamo di controllare l’indirizzo del sito web istituzionale, e ove non fosse della forma “https://www…” chiedere delucidazioni alla software house di riferimento. Un medesimo controllo andrebbe fatto per gli applicativi che consentono ai cittadini di accedere ai servizi on line dell’Ente.

INFINE, può essere buona azione inserire tale controllo tra le misure di sicurezza segnalate nel Registro delle Attività di Trattamento (art. 30 GDPR)