L’accesso alla maggior parte dei sistemi e servizi informatici prevede il superamento di procedure di autenticazione informatica a uno o più fattori che, spesso, comprendono l’utilizzo di una password. La gestione delle password diventa dunque un aspetto fondamentale ai fini della sicurezza informatica e della protezione dei dati personali.
Nell'ambito della cooperazione istituzionale tra Garante Privacy e Agenzia per la cybersicurezza nazionale, l'ACN ha svolto approfondimenti in ordine alle migliori prassi per proteggere le password, predisponendo, in collaborazione con l'Ufficio del Garante, le “Linee Guida Funzioni Crittografiche – Conservazione delle Password” provvedimento Garante per la protezione dei dati personali, numero 594 del 7 dicembre 2023 e decreto del direttore generale dell'Agenzia per la cybersicurezza nazionale, prot. numero 31593 del 13 dicembre 2023 , che contengono indicazioni e raccomandazioni sulle funzioni allo stato dell'arte cc.dd. algoritmi di password hashing e sui relativi parametri di utilizzo. Le Linee Guida rispondono all'esigenza di individuare misure tecniche allo stato dell'arte per proteggere le password degli utenti conservate nell'ambito dei sistemi di autenticazione informatica o di altri sistemi e di favorirne la diffusione e l'adozione, in modo che i titolari e i responsabili del trattamento, anche in attuazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, assicurino la conformità al principio di integrità e riservatezza e l'adempimento degli obblighi di sicurezza e siano in grado di comprovarlo. Il Garante precisa che l'adozione delle misure tecniche individuate nelle Linee Guida in oggetto risulti necessaria, in particolare, laddove sia soddisfatta una o più delle seguenti condizioni il trattamento riguarda le password di un numero significativo di utenti il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l'ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli articolo 9 e 10 del Regolamento.
Linee guida Funzioni Crittografiche – Conservazione delle Password