Richiedi una consulenza in studio gratuita!

Privacy e storie di password


Password: come formularle? Cosa si rischia per il loro uso improprio? In questo articolo proponiamo suggerimenti ed esempi tratti dalla Giurisprudenza
Privacy e storie di password

Suggerimenti e “cold cases” tratti dalla Giurisprudenza

Ciascuno di noi, è, prima o poi, sicuramente impazzito nel tentativo di cercare la giusta formula di password di accesso per i più svariati servizi di cui oggi ci contorniamo. Parliamo di password per l’accesso on line ai servizi bancari, abbonamenti a vari circuiti, podcast televisivi e/o radiofonici. Sempre alla ricerca di nuovi codici. Alcune volte sono gli stessi sistemi a suggerire nuove formule. 

Il Garante della privacy ha diramato con proprio bollettino del 25 ottobre dei suggerimenti per la sensibilizzazione alla formazione sicura delle password fornendo dei consigli e delle linee guida da seguire. Vediamo quali sono.

Le caratteristiche: lunga, eterogenea, impersonale, non lessicale, mutevole

La password dovrebbe, quindi, avere le seguenti caratteristiche.

  • Lunga: almeno 8 caratteri, più aumentano i numeri dei caratteri più la password si definisce “Robusta” (in questo senso si consiglia l’uso di 15 caratteri).

  • Eterogenea: deve comprendere caratteri di perlomeno 4 differenti tipologie tra lettere maiuscole, minuscole, numeri caratteri speciali (vari punti, trattini ecc.).

  • Impersonale: non deve contenere riferimenti personali facili da indovinare (nome, cognome, data di nascita) oppure riferimenti all’utente.

  • Non lessicale: scansare parole “da dizionario”. Sarebbe preferibile usare parole di fantasia e non di uso comune. Addirittura si potrebbe “camuffare” queste ultime, suddividendole con trattini (es. “caffè” può essere diviso in caf-f3’) per evitare che software specializzati nella ricerca di password possano trovarle, cercando tutti i lemmi di uso comune tradotti nelle varie lingue;

  • Mutevole: la password andrebbe ciclicamente sostituita, soprattutto a proposito dei servizi più importanti o di uso frequente (e-mail, e-banking, social network, ecc.).

Regole di comportamento. la prudenza

Le password devono essere conservate o comunicate ad altri con estrema prudenza. Per questo si raccomanda di:

  • evitare di scrivere le password su biglietti che possono rimanere dimenticate in qualsiasi posto alla mercé di malintenzionati ovvero in file non protetti su computer, smartphone o tablet; 

  • evitare sempre di condividere le password via e-mail, sms, social network, instant messaging, ecc.. per impedire che seppur diffuse tra persone conosciute, possano malauguratamente essere divulgate a terzi o «rubate». Nell'utilizzare dispositivi quali pc, smartphone di altre persone per non permettere che tali soggetti possano conservare in memoria le password;

  • Valutare se utilizzare i cosiddetti “generatori” di password. Si tratta di programmi specializzati che generano password sicure di vario tipo, gratuiti o meno. Permettono di fermare in formato digitale tutte le password “salvandole” in un database codificato protetto. 

“Cold case” tratti dalla Giurisprudenza

È sintomatico come il tema dell’uso delle password sia importante e come il suo stesso uso abusivo sia considerato come una condotta penalmente perseguibile. A questo proposito, si propongono dei “cold cases” tratti dalla Giurisprudenza sempre attuali e da cui prendere un utile spunto per verificare quando l’utilizzo delle password, seppur lecitamente possedute, possano essere malevolmente adoperate.

1- Accesso abusivo a sistema informatico da parte di pubblico ufficiale attraverso proprio password ma senza autorizzazione (Cassazione penale sez. V, 30/04/2021, n.25683)

La Cassazione ha confermato la responsabilità di un brigadiere per il reato di accesso abusivo ad un sistema informatico o telematico (articolo 615- ter del codice penale) in quanto cercava conferma dei reati dei propri superiori nelle banche dati dell'anagrafe tributaria e dell'Aci. La sentenza afferma che costituisce reato la condotta esercitata dal pubblico ufficiale che, pur usando la propria password e la propria matricola meccanografica, non è autorizzato ad alcuna funzione operativa sul database da cui estrae informazioni relative a terzi, in mancanza di un presupposto di autorizzazione all’operazione medesima. 

2- Phishing per collegamento all’home banking, responsabilità della banca (Tribunale Arezzo, 08/04/2020, n.272)

Il Tribunale di Arezzo ha ritenuto responsabile un importante Istituto di Credito poiché era stato eseguito un bonifico bancario non ordinato dal cliente. Il sistema di sicurezza della banca per i bonifici non prevedeva una password aggiuntiva rispetto a quella di accesso e le operazioni dispositive erano notificate alla clientela via e-mail e non attraverso messaggi sms, più immediati e letti più spesso rispetto alla posta elettronica.  Tale caso è stato trattato come tema di phishing avvenuto attraverso il collegamento all’home – banking.  La banca che non si sia conformata al protocollo di sicurezza considerato valido in quel momento dalla Banca d’Italia deve restituire quanto illegittimamente sottratto nel conto corrente.

3- Accesso abusivo a sistema informativo e frode informatica (Cassazione penale sez. II, 29/05/2019, n.26604) 

Nella fattispecie riguardante frode informatica perpetrata mediante operazione "invito domino", realizzato in virtù dell'utilizzo delle "password" di accesso conosciute dagli imputati in virtù del loro precedente rapporto di lavoro, su dati, informazioni e programmi contenuti nel sistema informatico della società della quale erano dipendenti. Tale condotta era stata perseguita perché il fine era di sviarne la clientela e ottenere, così, un ingiusto profitto a pregiudizio della parte offesa. Il Giudice in questo caso aveva dedotto che il delitto di accesso abusivo a un sistema informatico può concorrere con quello di frode informatica. Infatti, sono diversi i beni giuridici tutelati e le condotte sanzionate, giacché il primo tutela il domicilio informatico sotto il profilo dello "ius excludendi alios", a proposito delle “regole” che determinano l'accesso dei soggetti eventualmente abilitati, il secondo invece considera la manipolazione dei dati conservati nel sistema al fine della percezione d’ingiusto guadagno.

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Green Pass e privacy: un matrimonio discusso ma felice

Il Green Pass è un pericolo per la protezione dei dati personali in ambito sanitario?

Continua

Privacy e videosorveglianza nei condomini

Come armonizzare l’esigenza di riservatezza e privacy con l’utilizzo dei sistemi di videosorveglianza all’interno dei condomini

Continua

Green Pass e privacy sul lavoro

Consegna di copia della certificazione verde per i lavoratori del settore pubblico e privato: quali sono le perplessità relative alla privacy

Continua

Privacy e cyberbullismo: scenari e ambiti di applicazione

Come la regolamentazione privacy si integra nella tutela del minore vittima di cyberbullismo

Continua

Privacy e diritto di difesa

Il datore di lavoro, per esercitare il proprio diritto alla difesa, estrae documenti contenenti dati personali dal PC aziendale del dipendente. Può farlo?

Continua

Privacy e Green Pass: ennesima puntata

Quando è necessario il “Green Pass Rafforzato”?

Continua

“Diritto all'oblio”, privacy on web

Quali sono le responsabilità dei web provider? Riportiamo una sentenza esemplare

Continua

Telemarketing selvaggio e privacy

Quali sono i nuovi strumenti di difesa? Le ultime novità proposte dal Garante

Continua

Fidelity card e privacy

Come possiamo tutelare e proteggere i nostri dati personali?

Continua

Ahi ahi la privacy! Cosa si rischia in caso di violazioni

Breve guida sui rischi sanzionatori a carico di chi fa un uso scorretto dei dati personali

Continua

“Phishing”, la “Pesca” dei nostri dati personali

In cosa consiste e come evitare spiacevoli furti della nostra privacy!

Continua

Anagrafe nazionale degli assistiti: step privacy in ambito sanitario

Anagrafe nazionale degli assistiti: cos'è e come funziona e il potenziamento del Fascicolo sanitario elettronico

Continua

Cosa sono i “Cookie” e quale è il loro impatto sulla privacy?

Cosa sono i famigerati “Cookie” e quale è la loro importanza circa un corretto utilizzo in materia di privacy?

Continua

Privacy, minori e new tecnology

I rischi di un uso “inconsapevole” degli strumenti della nuova tecnologia da parte dei minori e possibilità di tutela

Continua

Diritto di cronaca ed esercizio della privacy

Quali sono i limiti per l'esercizio del diritto di cronaca? Qual è il rapporto con la privacy e quali i criteri per bilanciare le rispettive esigenze?

Continua

Qualcuno ha violato la tua privacy?

Contatta il Garante…Presenta un Reclamo…fai così!

Continua