Furto di PC non protetto da cifratura: la sanzione del Garante danese

Il Garante danese per la protezione dei dati ha multato un Comune per il furto di tre computer non protetti da cifratura. La perdita dei dati personali contenuti su questi dispositivi, in violazione delle norme del GDPR, è costata al Comune quasi 9 mila euro per ogni computer. Oltre alla sanzione dell’Autorità, il Comune deve affrontare i danni materiali derivanti dal furto e l'onere di ripristinare i dati, con il rischio di ulteriori azioni legali in sede civile.

Prevenire situazioni simili è tuttavia semplice: esploriamo le raccomandazioni del Garante e scopriamo come implementare adeguate misure di sicurezza per evitare questi rischi.

‍

La cifratura come misura di sicurezza (in teoria)

Secondo il NIST (National Institute of Standards and Technology), la cifratura o crittografia consiste nel trasformare i dati da una forma leggibile (testo in chiaro) a una forma illeggibile (testo cifrato) utilizzando un algoritmo crittografico e una chiave. L’obiettivo principale della cifratura è garantire la confidenzialità dei dati, rendendoli accessibili solo a chi possiede la chiave di decifratura. La definizione ufficiale è riportata nel documento NIST SP 800-111 (“Guide to Storage Encryption Technologies for End User Devices”), dove viene specificato che la cifratura è una misura per proteggere la riservatezza delle informazioni memorizzate su dispositivi, come computer e dischi rigidi, contro accessi non autorizzati o furti.

Nel Regolamento europeo sulla protezione dei dati personali (GDPR), non viene fornita una definizione formale di cifratura, ma questa misura è menzionata più volte come strumento tecnico adeguato per garantire la sicurezza dei dati personali. In particolare, nell’articolo 32 del GDPR, dedicato alla “sicurezza del trattamento”, la cifratura è indicata come prima fra le misure raccomandate, insieme alla pseudonimizzazione dei dati.

‍

Cifratura e pseudonimizzazione: una combinazione vincente

Pur avendo entrambi lo scopo di garantire la riservatezza dei dati personali, cifratura e pseudonimizzazione si differenziano per metodologia e livello di sicurezza. La pseudonimizzazione sostituisce gli identificatori diretti, come il nome e il cognome, con pseudonimi o codici artificiali, permettendo di risalire ai dati originali solo tramite informazioni aggiuntive, come una tabella di corrispondenza. La cifratura, invece, rende i dati completamente inaccessibili e illeggibili senza una chiave di decifratura.

Queste due tecniche, se adottate insieme, offrono una protezione multilivello, combinando i loro vantaggi per minimizzare il rischio di accessi non autorizzati e re-identificazione. Inoltre, l’implementazione di cifratura e pseudonimizzazione è oggi relativamente semplice ed economicamente vantaggiosa, grazie alla presenza di strumenti automatizzati e integrati nei principali sistemi operativi.

‍

Vulnerabilità diffuse nel settore pubblico

Nonostante la facilità di implementazione e il rapporto costi-benefici favorevole, molte istituzioni pubbliche, così come micro e piccole imprese, continuano a trascurare queste misure essenziali di sicurezza.

“Devo dire che sono sorpreso dal fatto che continuiamo a vedere questi casi nei comuni. Siamo stati informati di questo tipo di violazioni per diversi anni, abbiamo lanciato avvertimenti più volte e abbiamo anche comminato multe in casi precedenti”, ha dichiarato Vibeke Dyssemark Thomsen, consulente capo dell’Agenzia danese per la protezione dei dati (“Datatilsynet”). “La cifratura è una misura di sicurezza molto elementare, relativamente facile e non molto costosa da implementare”. Prosegue Thomsen. “Incoraggiamo pertanto tutte le municipalità a verificare i loro dispositivi portatili e ad adottare subito la cifratura”.

‍

Il caso del Comune di Vejen

La recente sanzione del Garante danese per la protezione dei dati, Datatilsynet, al Comune di Vejen si colloca in una serie di ispezioni mirate alla verifica della conformità degli enti pubblici. In passato, il Datatilsynet aveva già sanzionato altri comuni, tra cui Favrskov, Gladsaxe, Hørsholm e Odsherred, oltre all'Autorità danese per l’aviazione civile, per non aver cifrato i dispositivi portatili utilizzati.

Nella newsletter del 14 agosto 2024, il Garante ha comunicato di aver inflitto al Comune di Vejen una sanzione di 200.000 corone danesi (circa 30 mila euro) a seguito del furto di personal computer non cifrati. In particolare, tre di questi dispositivi contenevano informazioni sensibili relative a minori. Durante le indagini è emerso che, sebbene i computer fossero destinati esclusivamente all’uso didattico da parte di insegnanti e studenti, in pratica venivano utilizzati anche per la gestione delle relazioni sugli studenti, dei passaggi di classe e per altri scopi amministrativi, contenendo così informazioni delicate, soprattutto sugli studenti con difficoltà.

Oltre ai dispositivi rubati, il Datatilsynet ha scoperto che l’ente non aveva cifrato neppure gli altri 300 PC in uso.

‍

La cifratura come prevenzione

Come accennato, applicare la cifratura a un PC Windows è un processo semplice e rapido grazie agli strumenti integrati di Microsoft. In particolare:

• BitLocker consente di cifrare l’intero disco rigido o una sua partizione, applicando algoritmi avanzati che rendono i dati illeggibili senza la chiave di decifratura;
• Encrypting File System (EFS) permette di cifrare singoli file o cartelle, offrendo un controllo più granulare sulla protezione dei dati.

I requisiti di sistema per utilizzare Bitlocker e le modalità di attivazione sono disponibili consultando la pagina ufficiale di Microsoft: https://learn.microsoft.com/it-it/windows/security/operating-system-security/data-protection/bitlocker/

‍

Un sistema integrato per la cybersecurity

Una volta attivata la cifratura, la resilienza del sistema agli attacchi esterni dipende in gran parte dalla robustezza della chiave di accesso. Fino a quando questa chiave rimane sicura, la cifratura garantisce un anonimato totale, rendendo i dati completamente illeggibili. Per massimizzare la sicurezza, è quindi fondamentale una gestione rigorosa delle chiavi crittografiche, sostenuta da procedure organizzative specifiche. Infatti, le misure di sicurezza tecniche devono essere affiancate da misure organizzative, entrambe mirate a garantire la cyber-resilienza delle attività dell’ente o dell’impresa.

Per definire le azioni prioritarie per la conformità e la sicurezza dei trattamenti dei dati, è indispensabile una valutazione preliminare dei rischi.

‍

Come definire le azioni da intraprendere per la sicurezza?

Il considerando 83 prevede che: “(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”. La cifratura, quindi, è solo uno degli elementi di un più ampio processo di valutazione dei rischi legati ai trattamenti. Il “Risk Assessment” è un processo che permette di identificare, analizzare e valutare i rischi in un determinato contesto, con l’obiettivo di sviluppare un “Risk Mitigation Plan” contenente misure preventive o correttive per mitigare i rischi.

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha pubblicato diverse linee guida per la conduzione di un Risk Assessment e la definizione delle azioni di sicurezza più adeguate. La scelta delle azioni, tuttavia, è un processo complesso, poiché occorre considerare anche eventuali obblighi normativi che possono imporre all’organizzazione l’adozione di misure specifiche. Di recente, inoltre, il quadro normativo è stato aggiornato e ampliato:

• il 16 gennaio 2023 è entrata in vigore la direttiva NIS2 (Direttiva (UE) 2022/2555), che aggiorna la precedente direttiva NIS sulla sicurezza delle reti e dell’informazione. Gli Stati membri dell’UE dovranno adottare le norme nazionali di recepimento entro il 17 ottobre 2024;
• il 17 luglio 2024 è entrata in vigore la Legge n. 90/2024, che riguarda la cybersicurezza e i reati informatici. Questa legge introduce misure per rafforzare la sicurezza cibernetica a livello nazionale, con obblighi e sanzioni per enti pubblici e privati in caso di mancata conformità.

‍

____

I nostri consulenti privacy possono fornirti supporto nel processo di valutazione dei rischi e di verifica delle normative applicabili in materia di cybersecurity. Contattaci per ulteriori informazioni.