Privacy Scuola – Linee guida per la conservazione e la sicurezza dei dati personali

In data 7 dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno approvato le Linee Guida per la conservazione delle password.

A chi sono rivolte le linee guida?

Le Linee Guida sono rivolte a tutte le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti.

A che cosa servono?

Le Linee guida Password forniscono importanti indicazioni sulle misure tecniche da adottare per la gestione delle password e per la loro protezione. 

L’obiettivo delle Linee Guida è quello di fornire istruzioni sulle funzioni crittografiche ritenute attualmente più affidabili per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (user-id e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi diffuse online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

Errori da evitare

Il Garante Privacy sottolinea che gli attacchi informatici utilizzano la cattiva abitudine degli utenti di utilizzare la stessa password per accedere ai diversi servizi digitali, con la conseguenza che la compromissione delle credenziali di accesso ad un singolo servizio potrebbe causare di conseguenza l’accesso non autorizzato a una pluralità di sistemi.

I dati che interessano maggiormente ai criminali informatici sono:

  • le informazioni anagrafiche, ovvero tutte quelle che permettono di impersonare un utente;
  • le credenziali di accesso, (nome utente e password) ai portali;
  • informazioni bancarie per l’accesso a conti correnti e carte di credito.

Come creare una password efficace?

Per poter creare delle password efficaci occorre considerare le seguenti regole per evitare di essere intercettati e violati:

  • Mescolare una sequenza di numeri e caratteri. Una buona pratica è ricordarsi di sostituire le lettere, all’interno della parola scelta, con i numeri che richiamano le forme delle vocali (di solito si usa il 3 al posto di “e” oppure l’1 al posto della “i”). 
  • Utilizzare maiuscole e minuscole  in maniera creativa, per aumentare il livello di sicurezza, evitando posizioni prevedibili, come l’iniziale di un nome o di una città.
  • Più la password è lunga, minore è la probabilità che questa venga individuata e rubata. Si consiglia di impostare password di almeno 10 caratteri o sfruttare tutta la lunghezza disponibile prevista dal portale.
  • Sfruttare i caratteri speciali: le password più sicure sono quelle che includono anche  @, &, %, $, # e ancora *.
  • Un’ulteriore strumento di  protezione è quello di adottare un duplice fattore di autenticazione oltre alla password.  

Adempimenti da parte dei fornitori servizi digitali

L’attribuzione di responsabilità è fondamentale per garantire la trasparenza, la sicurezza e il rispetto della privacy nell’ambito del trattamento dei dati personali.

Ai sensi dell’art 28 del GDPR, i nostri fornitori dei servizi digitali devono essere nominati Responsabili al trattamento, in quanto trattano i dati per conto e su delega del titolare. In particolare il responsabile al trattamento dovrà garantire di aver adottato le misure tecniche ed organizzative adeguate a garantire che i dati personali siano trattati in modo sicuro, come richiesto dall’art. 32 del GDPR, implementare una serie di attività riguardanti la sicurezza, rispettare le misure di attuazione dei principi di privacy by design e by default, dovrà inoltre garantire la riservatezza dei dati, dovrà informare il titolare delle violazioni avvenute, e dovrà occuparsi della cancellazione dei dati alla fine del trattamento.

Principio di accountability

Il “principio di accountability” potrebbe essere tradotto, con “principio di responsabilizzazione e di rendicontazione”. In particolare possiamo dedurre due aspetti fondamentali che ricomprendono gli adempimenti richiesti al Titolare del trattamento: 

  1. l’adempimento al dettato normativo
  2. la capacità di dimostrare e comprovare la conformità al Regolamento UE 679/2016

Implementare il principio di accountability è fondamentale per garantire una gestione efficace della sicurezza delle informazioni, riducendo il rischio di violazioni e migliorando la fiducia degli utenti e delle parti interessate all’Istituto scolastico. 

In queste specifiche linee guida si pone l’accento sulla gestione delle credenziali, un aspetto fondamentale nell’ambito della sicurezza informatica e della protezione dei dati personali.

La fornitura dei servizi digitali attraverso il cloud (gestionale documentale, registro elettronico, sito web…) comporta per i fornitori la predisposizione di misure tecniche ed organizzative efficaci per l’archiviazione, la conservazione e l’utilizzo delle password. 

Adempimenti da parte della Scuola

L’art. 5 comma 2 del GDPR, pone l’accento al principio della responsabilizzazione, affrontato nei paragrafi precedenti. L’approccio pratico del titolare al trattamento dei dati personali, potrebbe prevedere di seguire alcuni utili step:

  1. nominare, se non è stato ancora fatto, i fornitori dei servizi a responsabili al trattamento ed inviare le linee guida ACN;
  2. mappare i trattamenti di dati personali effettuati implementando soltanto quelli necessari rispetto alle finalità perseguite dalla scuola, in applicazione dei principi poc’anzi citati, indicati dall’art. 5 del GDPR;
  3. attraverso una policy di sicurezza sarà possibile fornire delle regole chiare e istruzioni alle attività anche potenzialmente dannose che gli incaricati al trattamento spesso attuano anche in modo superficiale ed inconsapevole. È indispensabile quindi inserire all’interno della policy di sicurezza le regole di sicurezza per password, connessioni ed utilizzo degli apparecchi mobili nonché delle infrastrutture scolastiche.

Se la Scuola non ha ancora predisposto una policy password, si invita a elaborare il seguente documento e portarlo a conoscenza di tutto il personale dipendente.

Circolare Policy password

Al personale dipendente dell’Istituto

CIRCOLARE:

OGGETTO: Password policy

La protezione delle credenziali di accesso rappresenta uno dei aspetti fondamentali della sicurezza dei dati e informazioni,  in particolare  la creazione e la gestione delle password che costituiscono la principale contromisura agli accessi non autorizzati.

Visto quanto previsto dall’attuale codice privacy – D.Lgs. 196/03 – e, successivamente, aggiornato dal  D.Lgs. 101/08, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, occorre definire delle misure di protezione adeguate ed idonee per il trattamento e tutela dei dati personali.

Vista la nota del MIM del 13/12/2023 con la quale ha comunicato massivamente alle scuole, che l’Agenzia per la cybersicurezza nazionale (ACN), d’intesa con il Garante per la Protezione dei Dati Personali (GPDP)  ha messo a punto specifiche Linee Guida che forniscono importanti raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password.

La presente circolare ha lo scopo di fornire delle raccomandazioni relative alla creazione, utilizzo, conservazione e gestione delle credenziali di autenticazione fornite agli utenti alla comunità scolastica per l’accesso ai servizi informatici erogati dall’Istituto.

I servizi informatici forniti nell’Istituto, possono essere fruiti dagli utenti attraverso un sistema di autenticazione (e di autorizzazione) basato su credenziali di accesso.

Esso consiste in un codice per l’identificazione dell’utente (“username” o “nome utente”), associato ad una parola chiave riservata (“password”) conosciuta esclusivamente dal solo utente. I due elementi, uniti insieme, costituiscono da un lato, la credenziale di accesso (“account” o “utenza”)  così come definito dalla normativa vigente in tema di dati personali, dall’altro il CAD attribuisce un determinato valore legale al documento informatico generato all’interno dell’ambiente digitale mediante riconoscimento attraverso  credenziali (area riservata, registro elettronico, sistema documentale ecc. ecc.)

Campo di Applicazione

La password policy si applica a tutti i servizi informatici, gestionali ed applicativi, compresi quelli web, alle postazioni di lavoro, alla rete wi-fi, al servizio di posta elettronica e a tutte le applicazioni e risorse informatiche presenti che prevedono un sistema di autenticazione per l’accesso.

Responsabilità degli utenti

Gli utenti si impegnano a rispettare i criteri di creazione, conservazione e gestione delle credenziali di accesso di seguito indicati.

Gli utenti, una volta in possesso delle credenziali, devono cambiare la password al primo accesso rispettando i criteri di seguito descritte (vedi link Garante).

Le credenziali sono strettamente personali e non devono  essere comunicate o condivise con nessun’altra persona all’interno o all’esterno della scuola.

Gli utenti devono prestare molta attenzione a fornire le proprie credenziali di accesso, a rispondere ad e-mail sospette e/o a cliccare sui link proposti durante la navigazione web (o nella mail) al fine di contrastare possibili frodi informatiche (come lo spear phishing, il furto d’identità, il phishing, , ecc.).

Ogni utente è responsabile di tutte le azioni e le funzioni svolte dal proprio account, si invita a segnalare ogni anomalia al team digitale/animatore digitale per il necessario supporto e verifica delle attività sospette.

Per la conservazione sicura delle credenziali di accesso è consigliabile usare un software di gestione delle password (es. KeePass, LastPass, ecc.) evitando di memorizzarle su documenti cartacei e file conservati all’interno del proprio PC.

La posta elettronica fornita dalla scuola deve essere limitata alle funzioni che l’incaricato ha all’interno della stessa. Per tali motivi non si consiglia un uso promiscuo della propria email ovvero la registrazione su siti o a newsletters non autorizzate dal titolare al fine di diminuire le possibilità che le stesse finiscano in database utilizzati in modi non del tutto leciti o non sicuri e possibili soggetti a violazioni e furti.

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici 

La detenzione e diffusione abusiva di codici di accesso è qualificato come reato e viene disciplinato dall’art. 6l5 quater c.p. Si presenta spesso come complementare rispetto al delitto di frode informatica. È considerato reato anche quando l’informazione viene fraudolentemente carpita con “inganni” verbali e quando si prende conoscenza diretta di documenti cartacei ove tali dati sono stati riportati o osservando e memorizzando la “digitazione” di tali codici. – Si commette questo reato quando si carpiscono, anche involontariamente, i codici di accesso alla posta elettronica, sistemi informatici ed applicativi web.

Requisiti tecnici per la creazione e gestione delle password

Di norma, la password deve essere ragionevolmente complessa e difficile seguendo le indicazioni fornite dal Garante:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4248578

Incarico per il trattamento dei dati

Ogni singolo lavoratore dall’Istituto è incaricato al trattamento di dati personali nell’ambito delle mansioni ad esso assegnate. I dati cui potrà accedere per il trattamento sono normalmente quelle previste dal settore di appartenenza.

Per trattamento di dati deve intendersi: “operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, l’organizzazione, la selezione, l’elaborazione, la registrazione, la conservazione, la consultazione, la modificazione, l’estrazione, il raffronto, l’utilizzo, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

L’accesso è in ogni caso consentito ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati. Pertanto, nella gestione dei dati dovrà osservare scrupolosamente le istruzioni impartite.

xxxxxxxxxxxx, ____________

                                                                                  Il Dirigente Scolastico                                                                 

Leggi altri
articoli