Garante Privacy sanziona azienda senza certificato TLS /SSL

Decisione storica del Garante della Privacy che ha applicato una una sanzione pecuniaria per un sito sprovvisto di certificato TLS/ SSL. Ben 15.000 euro di multa ad una azienda che non aveva implementato un sistema di cifratura adeguato per l’accesso al suo sito. In altre parole il sito non utilizzava il protocollo HyperText Transfer Protocol over Secure Socket Layer (HTTPS o HTTP over TLS).

Vediamo con ordine cosa è successo e le motivazioni che hanno portato il Garante per la protezione dei dati personali a sanzionare l’azienda. 

Il fatto origina da un reclamo sporto da parte di un utente, che segnala al Garante  un’azienda di servizi idrici che trattava dati personali (dati di contatto e quelli di fatturazione) senza l’utilizzo di un sistema di crittografia per l’accesso al suo sito. 

L’azienda in sua difesa sosteneva che l’area del sito web dove venivano trattati i dati degli utenti era riservata e poteva essere raggiunta solo con le credenziali di accesso personali (user e password). Insomma l’autenticazione avveniva solo attraverso nome utente e password, uno dei tipi di autenticazione maggiormente vulnerabili. Abbiamo visto recentemente che oggigiorno ci sono nuove tecnologie maggiormente sicure come l’autenticazione basata sui certificati digitali. 

Dall’istruttoria effettuata emergeva che il sistema di accesso al sito web avveniva attraverso il protocollo HyperText Transfer Protocol (HTTP) e che nella pagina principale era presente il form per inserire le credenziali di autenticazione degli utenti, mentre nella sezione anagrafica dell’area personale erano consultabili i dati personali dell’utente come il nome, il cognome, il codice cliente, il numero di telefono, l’email, la residenza, il codice fiscale, la partita IVA e le fatture emesse. 

In passato il Garante ha più volte sottolineato, che quando sono trasmessi dati personali da un utente ad un sito internet ciò debba avvenire attraverso  una connessione con protocolli crittografici TLS/SSL. In altre parole è necessario che il sito implementi un certificato TLS/SSL, in modo da prevenire eventuali furti di dati personali.  

Il Garante ha giudicato la misura tecnica adottata dall’azienda insufficiente per proteggere i dati dai rischi collegati al loro trattamento. L’azienda, infatti, avrebbe dovuto prevedere, fin dalla progettazione del sito web, misure di protezione adeguate come il protocollo di rete sicuro HTTPS. Ricordiamo che il titolare è tenuto, fin dal momento in cui progetta il trattamento, ad adottare i mezzi e le misure tecniche per proteggere i dati trattati secondo il principio privacy by design.

Un certificato TLS /SSL, garantisce la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server dove è ospitato il sito web. Un certificato digitale, infatti, crittografa le informazioni riservate trasmesse in modo che possano essere utilizzate solo dall’utente previsto. La crittografia SSL / TLS garantisce, inoltre, che nulla venga alterato nel percorso che va dal browser dell’utente al sito. 

Il certificato SSL / TLS, infatti, autentica reciprocamente client e server web al fine di stabilire una connessione crittografata. Quando avviene la prima comunicazione, infatti, il server web invia il proprio certificato al browser, che ne verifica la validità e se è tutto ok dà il via a una connessione sicura. 

Il processo è composto da sei passaggi: 

1. Il client utilizza un browser per mettersi in contatto con un server nel quale si trova un URL sicuro.
2. Il server risponde al client e trasmette il certificato digitale al browser.
3. Il client controlla la validità del certificato digitale. 
4. Una volta che il certificato è validato, il client genera una chiave per la sessione corrente.
5. Il client codifica la chiave di sessione con la chiave pubblica del server Web, trasmessa con il certificato digitale. 
6. Arrivati a questo punto, viene stabilita una sessione sicura e le parti possono comunicare al riparo da occhi indiscreti.

Cosa stai aspettando? Scegli il certificato digitale più adatto a proteggere il tuo sito web ed evita possibili sanzioni. Top SSL ti offre tutti gli strumenti, i servizi e i prodotti SSL innovativi per le imprese per ridurre i rischi, rispondere alle minacce e controllare i costi relativi alla gestione dei certificati digitali. Non perdere tempo contattaci!