Il Garante privacy ha recentemente sanzionato con un importo di € 15.000,00 un'azienda fornitrice di servizi idrici, a causa del mancato rispetto dei requisiti di sicurezza del proprio sito web. Nello specifico, l'accesso ai servizi online del sito dell'azienda avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro, con la conseguenza che i dati personali dei soggetti registrati sul sito, inclusi i dati relativi ai pagamenti, erano vulnerabili per la mancanza di idonee misure di sicurezza. Tra queste, i sistemi crittografici SSL ed il protocollo di rete sicura “https”.
Cosa si intende per mancanza di idonee misure di sicurezza?
Come indica Manuela Borgese, vicepresidente AICEL e consulente privacy, la condotta contestata all'azienda ha integrato la violazione dei principi sanciti dal GDPR quali l'integrità e la riservatezza dei dati trattati. Il titolare del trattamento, infatti, deve mettere in atto misure tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio. In tale quadro, rientra l'obbligo di garantire l'applicazione dei principi fin dalla progettazione e per impostazione predefinita, anche effettuando revisioni periodiche sulle misure adottate. Nel caso specifico, invece, all'azienda è stato contestato di non aver messo in atto tali cautele e di aver quindi esposto i propri utenti a seri rischi, quali il furto d'identità.
Cos'è il protocollo SSL e perché è così importante per un sito web?
Come spiega Christian Cantinelli, Chief Customer Officer della società Server Plan S.r.l., il protocollo SSL (Secure Socket Layer) è una metodologia per scambiare dati in modo sicuro. Oggi è stato sostituito dal nuovo protocollo TLS (Transport Layer Security), più aggiornato e sicuro, ma la sostanza non è cambiata: il protocollo permette di trasmettere dati tra un mittente e un destinatario in modo cifrato. Attraverso l'applicazione del sistema crittografico, il sito web viene protetto su una connessione sicura tramite il protocollo definito HTTPS (HTTP+SSL/TLS) e viene dotato di un Certificato SSL, emesso da un ente di certificazione riconosciuto (Certification Authority, CA). Di conseguenza, il sito web su cui vengono applicati questi sistemi di sicurezza presenta i requisiti necessari per la trasmissione sicura delle informazioni. In particolare, è da evidenziare il ruolo della cifratura, misura fondamentale per evitare che i dati possano essere manipolati e modificati in caso di intromissione tra le due connessioni. Si comprende, quindi, quanto tale misura sia più rilevante nel contesto di un negozio online, dove vengono per definizione raccolti moltissimi dati e dove la mancanza di questi requisiti potrebbe condurre all'esfiltrazione dei dati in transito, anche attraverso un semplice form.
Cosa fare per mettere a norma il proprio sito?
L'adeguamento non è affatto complesso: a seguito dell'acquisto del servizio dedicato SSL, il titolare del sito deve semplicemente convertire tutti i collegamenti interni (pagine, immagini, css, javascript, ecc.) dal formato “http” al formato “https”. Molti CMS, come WordPress e Prestashop, consentono di eseguire questa operazione con estrema facilità dalla sezione dedicata alla configurazione del pannello amministrativo del sito. Serverplan, ad esempio, mette a disposizione del cliente un certificato SSL gratuito con crittografia fino a 2048 bit, sufficiente per coprire sito web e servizi aggiuntivi, come la posta elettronica. Se si necessita di una protezione più avanzata, ad esempio nel caso di un e-commerce, è possibile acquistare un certificato dedicato con un livello di crittografia più elevato.
Conclusioni
Il sito web, rappresenta uno strumento chiave per la tutela del proprio brand e per la creazione di una solida relazione con il proprio pubblico, sia come e-commerce, sia in veste di vetrina informativa o corporate. La mancanza di garanzie in termini di sicurezza e l'affidabilità dei propri sistemi non integra soltanto una violazione normativa ma può comportare danni ben più gravi ed irreparabili: l'irrimediabile danno alla reputazione e la perdita di fiducia dei propri utenti.
Per info e approfondimenti: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9817058