Siamo nel 2022 e i certificati TLS sono disponibili anche gratis. Ma per qualche ignoto motivo ci sono ancora siti che utilizzano il protocollo HTTP, invece di HTTPS. Il Garante per la protezione dei dati personali ha inflitto una multa di 15.000 euro ad un’azienda che offriva l’accesso ai servizi online senza crittografia.
Servizi online con dati riservati in chiaro
Il Garante della privacy aveva ricevuto la segnalazione da un utente dell’azienda Servizio Idrico Integrato S.c.p.a. in merito al mancato utilizzo del protocollo TLS nell’area riservata del sito www.siiato2.it
. Per l’accesso è richiesto l’inserimento di username e password, ma era stato utilizzato il protocollo HTTP. L’autorità ha accertato che l’azienda non aveva protetto l’accesso con il protocollo HTTPS.
Servizio Idrico Integrato S.c.p.a. ha comunicato che il passaggio al protocollo sarebbe avvenuto a breve (i certificati erano stati già acquistati). L’azienda ha inoltre specificato che nell’area riservata ci sono i dati dei clienti, le bollette emesse e altri servizi, tra cui l’autolettura. Non sono presenti dati di pagamento perché non è possibile pagare online o attivare la domiciliazione. In ogni caso non risultano violazioni dei dati.
Il Garante ha tuttavia rilevato che la soluzione adottata dall’azienda violava importanti principi sanciti dal GDPR, tra cui quello di integrità e riservatezza dei dati trattati (il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura) e quello di protezione dei dati fin dalla progettazione (il titolare deve mettere in atto misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate).
Gli obblighi si applicano anche ai sistemi preesistenti all’entrata in vigore del regolamento (25 maggio 2018). Tenendo conto del numero di utenti interessati (circa 13.000), dell’aggiornamento del sistema e dell’atteggiamento collaborativo dell’azienda, il Garante ha inflitto una sanzione di 15.000 euro.