Privacy e storie di password

Suggerimenti e “cold cases” tratti dalla Giurisprudenza

Ciascuno di noi, è, prima o poi, sicuramente impazzito nel tentativo di cercare la giusta formula di password di accesso per i più svariati servizi di cui oggi ci contorniamo. Parliamo di password per l’accesso on line ai servizi bancari, abbonamenti a vari circuiti, podcast televisivi e/o radiofonici. Sempre alla ricerca di nuovi codici. Alcune volte sono gli stessi sistemi a suggerire nuove formule. 

Il Garante della privacy ha diramato con proprio bollettino del 25 ottobre dei suggerimenti per la sensibilizzazione alla formazione sicura delle password fornendo dei consigli e delle linee guida da seguire. Vediamo quali sono.

Le caratteristiche: lunga, eterogenea, impersonale, non lessicale, mutevole

La password dovrebbe, quindi, avere le seguenti caratteristiche.

• Lunga: almeno 8 caratteri, più aumentano i numeri dei caratteri più la password si definisce “Robusta” (in questo senso si consiglia l’uso di 15 caratteri).

• Eterogenea: deve comprendere caratteri di perlomeno 4 differenti tipologie tra lettere maiuscole, minuscole, numeri caratteri speciali (vari punti, trattini ecc.).

• Impersonale: non deve contenere riferimenti personali facili da indovinare (nome, cognome, data di nascita) oppure riferimenti all’utente.

• Non lessicale: scansare parole “da dizionario”. Sarebbe preferibile usare parole di fantasia e non di uso comune. Addirittura si potrebbe “camuffare” queste ultime, suddividendole con trattini (es. “caffè” può essere diviso in caf-f3’) per evitare che software specializzati nella ricerca di password possano trovarle, cercando tutti i lemmi di uso comune tradotti nelle varie lingue;

• Mutevole: la password andrebbe ciclicamente sostituita, soprattutto a proposito dei servizi più importanti o di uso frequente (e-mail, e-banking, social network, ecc.).

Regole di comportamento. la prudenza

Le password devono essere conservate o comunicate ad altri con estrema prudenza. Per questo si raccomanda di:

• evitare di scrivere le password su biglietti che possono rimanere dimenticate in qualsiasi posto alla mercé di malintenzionati ovvero in file non protetti su computer, smartphone o tablet; 

• evitare sempre di condividere le password via e-mail, sms, social network, instant messaging, ecc.. per impedire che seppur diffuse tra persone conosciute, possano malauguratamente essere divulgate a terzi o «rubate». Nell'utilizzare dispositivi quali pc, smartphone di altre persone per non permettere che tali soggetti possano conservare in memoria le password;

• Valutare se utilizzare i cosiddetti “generatori” di password. Si tratta di programmi specializzati che generano password sicure di vario tipo, gratuiti o meno. Permettono di fermare in formato digitale tutte le password “salvandole” in un database codificato protetto. 

“Cold case” tratti dalla Giurisprudenza

È sintomatico come il tema dell’uso delle password sia importante e come il suo stesso uso abusivo sia considerato come una condotta penalmente perseguibile. A questo proposito, si propongono dei “cold cases” tratti dalla Giurisprudenza sempre attuali e da cui prendere un utile spunto per verificare quando l’utilizzo delle password, seppur lecitamente possedute, possano essere malevolmente adoperate.

1- Accesso abusivo a sistema informatico da parte di pubblico ufficiale attraverso proprio password ma senza autorizzazione (Cassazione penale sez. V, 30/04/2021, n.25683)

La Cassazione ha confermato la responsabilità di un brigadiere per il reato di accesso abusivo ad un sistema informatico o telematico (articolo 615- ter del codice penale) in quanto cercava conferma dei reati dei propri superiori nelle banche dati dell'anagrafe tributaria e dell'Aci. La sentenza afferma che costituisce reato la condotta esercitata dal pubblico ufficiale che, pur usando la propria password e la propria matricola meccanografica, non è autorizzato ad alcuna funzione operativa sul database da cui estrae informazioni relative a terzi, in mancanza di un presupposto di autorizzazione all’operazione medesima. 

2- Phishing per collegamento all’home banking, responsabilità della banca (Tribunale Arezzo, 08/04/2020, n.272)

Il Tribunale di Arezzo ha ritenuto responsabile un importante Istituto di Credito poiché era stato eseguito un bonifico bancario non ordinato dal cliente. Il sistema di sicurezza della banca per i bonifici non prevedeva una password aggiuntiva rispetto a quella di accesso e le operazioni dispositive erano notificate alla clientela via e-mail e non attraverso messaggi sms, più immediati e letti più spesso rispetto alla posta elettronica.  Tale caso è stato trattato come tema di phishing avvenuto attraverso il collegamento all’home – banking.  La banca che non si sia conformata al protocollo di sicurezza considerato valido in quel momento dalla Banca d’Italia deve restituire quanto illegittimamente sottratto nel conto corrente.

3- Accesso abusivo a sistema informativo e frode informatica (Cassazione penale sez. II, 29/05/2019, n.26604) 

Nella fattispecie riguardante frode informatica perpetrata mediante operazione "invito domino", realizzato in virtù dell'utilizzo delle "password" di accesso conosciute dagli imputati in virtù del loro precedente rapporto di lavoro, su dati, informazioni e programmi contenuti nel sistema informatico della società della quale erano dipendenti. Tale condotta era stata perseguita perché il fine era di sviarne la clientela e ottenere, così, un ingiusto profitto a pregiudizio della parte offesa. Il Giudice in questo caso aveva dedotto che il delitto di accesso abusivo a un sistema informatico può concorrere con quello di frode informatica. Infatti, sono diversi i beni giuridici tutelati e le condotte sanzionate, giacché il primo tutela il domicilio informatico sotto il profilo dello "ius excludendi alios", a proposito delle “regole” che determinano l'accesso dei soggetti eventualmente abilitati, il secondo invece considera la manipolazione dei dati conservati nel sistema al fine della percezione d’ingiusto guadagno.