Transazione di dati sul web: il Garante censura l’uso del protocollo http

Il Garante Privacy ha emesso in data 6 ottobre 2022 il provvedimento n. 9817058 che trae spunto da un reclamo presentato da un utente del Servizio Idrico Integrato S.c.p.a. il quale lamentava l'assenza di un sistema di cifratura (nell'area utente del sito web dell'azienda) in grado di proteggere adeguatamente l'autenticazione ed il transito dei dati personali degli utenti che hanno un contratto di fornitura di servizio con la società e che si sono preventivamente registrati nell'area riservata.

In particolare, il reclamante contestava l'utilizzo di un protocollo di rete considerato non sicuro (quale il protocollo “http”) sul sito web in questione.

Protocolli di comunicazione relativi alla transazione di dati su internet

Questo provvedimento è quindi lo spunto per fare un po' di chiarezza sui protocolli di comunicazione relativi alla transazione di dati su internet e su quali di essi siano considerati, allo stato attuale, più sicuri oppure, al contrario, non sufficientemente sicuri (e quindi censurabili) in considerazione dell'attuale sviluppo tecnologico e delle finalità del trattamento dei dati.

Innanzitutto: un “protocollo” è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete. Quando due o più computer comunicano tra di loro si scambiano una serie di informazioni. Per potersi scambiare informazioni, i vari computer devono avere dei protocolli che permettano di attribuire ad un determinato comando un significato univoco per tutte le macchine.

Per esempio, il protocollo “Simple Mail Transfer Protocol” (SMTP) serve per la gestione dei messaggi di posta elettronica; il “File Transfer Protocol” (FTP) per il trasferimento di files tra macchine remote.

Protocollo “http” Hypertext Transfer Protocol

Il protocollo che a noi interessa -“http” (Hypertext Transfer Protocol)- è quello relativo alla trasmissione di informazioni attraverso il web. Si tratta in pratica di un protocollo che regola il rapporto che si crea quando un utente (cosiddetto “client”) tenta di collegarsi a un server web tramite uno dei browser disponibili in rete, come Chrome o Safari.

Nell'http lo scambio di risorse tra utente e server avviene “in chiaro” (ovvero l'informazione che viene diffusa può essere letta da chi decide di intromettersi senza diritto nello scambio dei dati).

Nel caso di tecnologia “SSL” (Security Socket Layer), invece, i dati (tra il browser e il server incaricato di risponderci) viaggiano in modalità cifrata (quindi sicura) tramite un sistema di chiavi crittografiche che dipendono dal certificato SSL. Il certificato SSL è in pratica un certificato digitale che permette di stabilire uno scambio di dati sicuro tramite la crittografia, impedendo così ad hacker e criminali di potersi inserire per rubare i dati. Il protocollo https (Hyper Text Transfer Protocol Secure -Protocollo di trasferimento ipertestuale sicuro) è, quindi, una dicitura visualizzata negli URL di un sito web protetto con un certificato SSL. Questa “S” aggiunta sta proprio per Secure (ovvero sicurezza).

Il provvedimento del Garante privacy

Il Garante Privacy ha quindi affermato che l'interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), che garantiscono una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell'interazione web con normali protocolli http in chiaro. Si tratta, per altro, di una scelta ormai quasi obbligata per siti web aziendali o negozi e-commerce, ovvero quelle vetrine che richiedono dati importanti degli utenti (dati personali o quelli della carta di credito) per completare delle operazioni.

Per arrivare a stabilire l'inadeguatezza del protocollo http, il Garante Privacy ha richiamato nel provvedimento in esame, l'art. 32 del Regolamento generale sulla protezione dei dati personali (“GDPR”) il quale prevede che il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.  

Secondo il Garante Privacy l'utilizzo di tecniche crittografiche, allo stato dell'arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; “ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall'accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell'abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l'accesso a diversi servizi online”.

Il Garante Privacy rileva pertanto l'illiceità del trattamento di dati personali effettuato dalla società Servizio Idrico Integrato per non aver messo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, e, pertanto, per avere violato gli artt. 5, par. 1, lett. f), e 32 del GDPR. Importante sottolineare come il Garante Privacy censuri il fatto che la società in oggetto abbia omesso di mettere in atto, fin dalla progettazione del sito web, misure tecniche e organizzative adeguate: ciò in violazione del principio di “protezione dei dati fin dalla progettazione” stabilito dall'art. 25, del GDPR.

Il provvedimento in esame, per altro, non è il primo a stabilire la necessità di utilizzare protocolli di trasmissione dati sicuri: si pensi al noto provvedimento contro l'Aeroporto Guglielmo Marconi di Bologna (provvedimento 10 giugno 2021, n. 235, doc. web n. 9685922) ma non solo ad esso (2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).

Allo stato dell'arte il protocollo SSL è adeguato ma ovviamente la rapidissima evoluzione tecnologica non darà a questo provvedimento qui analizzato una dignità perenne; per altro esiste già una versione aggiornata e più sicura di SSL: il TLS -Transport Layer Security, sicurezza del livello di trasporto.

Fonte: Garante Privacy, provvedimento 6 ottobre 2022, n. 9817058