Negli ultimi anni si sente sempre più spesso parlare di sicurezza sul web, di crittografie per la protezione dei dati, di siti sicuri e di privacy. A tal proposito è necessario sapere che la sicurezza sul web viene garantita da un protocollo specifico, ossia l’https. La lettera s, che differenzia questo protocollo dal più datato http, sta ad indicare che il vecchio HyperText Transfer Protocol è stato unito al Secure Socket Layer (SSL) ossia una configurazione che garantisce la massima protezione dei dati.
Oggi, considerando l’elevato traffico di dati personali che vengono raccolti sul web, il Garante della Privacy ha sottolineato l’importanza della sicurezza per gli utenti, soprattutto per i clienti di aziende che operano online. In questi casi, infatti, diventa obbligatorio per le aziende assicurare la massima protezione e, quindi, fare uso esclusivamente del protocollo https.
Protocolli e crittografie
Fino al 2014 il protocollo https era utilizzato esclusivamente dalle banche che ne facevano uso per garantire la massima sicurezza ai dati sensibili dei clienti. Successivamente, numerosi siti che effettuavano il trattamento dati dei clienti hanno iniziato a utilizzare questo protocollo per offrire una protezione in più. L’https, infatti, presenta delle crittografie avanzate, fondamentali per assicurare una barriera contro eventuali tentativi di furto informazioni da parte di terzi.
Oggi, il protocollo https viene utilizzato da un elevato numero di siti, anche quando non vengono scambiate informazioni relative a dati sensibili, semplicemente per garantire una maggiore sicurezza a quanti navigano in rete.
Tutti i siti e le aziende che, invece, operano effettuando il trattamento dei dati sensibili sono tenute a utilizzare il protocollo https, pena sanzioni non indifferenti. Risale ad esempio a poco tempo fa la sanzione che il Garante della Privacy ha inflitto a un’azienda che fornisce servizi idrici in quanto il suo sito non era realizzato secondo il protocollo https ma secondo l’http. Pertanto, l’azienda non era in grado di assicurare la massima protezione dei dati dei propri clienti in quanto faceva uso di un protocollo non crittografato e, quindi, non sicuro.
Ma che tipo di crittografie vengono utilizzate per garantire la massima sicurezza ai siti https? Come si può facilmente immaginare, i sistemi crittografici utilizzati dieci anni fa erano meno complessi di quelli attuali. La sigla SSL del Secure Socket Layer che ancora viene utilizzata per indicare i protocolli crittografati https è in realtà ampiamente superata e oggi le ultime proposte di crittografia sono i TLS 1.x (in particolare TSL 1.2 e 1.3).
La protezione dei dati
Ritorniamo al caso dell’azienda che non ha saputo tutelare i dati dei propri clienti perché faceva uso del protocollo http anziché di quello https. Il principale problema che si è verificato è stato che l’azienda faceva raccolta di dati sensibili, come nome e cognome, codice fiscale, indirizzo di residenza, numero di telefono nonché indirizzi di posta elettronica e credenziali di autenticazione all’area personale senza garantire la giusta sicurezza.
In situazioni come questa, vengono violati alcune delle principali norme definite nel regolamento della privacy tra cui quello relativo all’integrità e alla riservatezza dei dati. Per poter assicurare integrità e riservatezza, infatti, è fondamentale che i canali di comunicazione e di navigazione siano protetti adeguatamente, ossia con crittografie di ultima generazione.
La sanzione, pari a 15 mila euro, è stata definita tenendo conto di due aggravanti. La prima relativa all’elevato numero di clienti dell’azienda e la seconda derivante dal fatto che l’inadeguatezza delle crittografie utilizzate era già stata fatta notare da chi aveva sporto reclamo prima e denuncia successivamente.