Rilevate nel corso di un accertamento vulnerabilità nel servizio Pec. Il provvedimento, per tutelare gli utenti, è stato reso noto solo successivamente agli adempimenti dell’azienda alle prescrizioni impartite
Il Garante per la protezione dei dati personali ha prescritto al ad Aruba Pec S.p.A. l’implementazione di misure per la messa in sicurezza del proprio servizio Pec, che gestisce oltre sei milioni di caselle utilizzate da soggetti pubblici (come amministrazioni centrali e locali dello Stato), società private e singoli professionisti. Si è trattato di un provvedimento d’urgenza adottato a causa delle vulnerabilità rilevate durante un accertamento e volta ad evitare che diverse categorie di interessati coinvolti fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità.
La pubblicazione del provvedimento è stata però posticipata per dare modo alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati.
La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.
Dagli accertamenti è emerso che circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale, scelta per loro da uno degli 8.900 partner della società (ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso. Le procedure informatiche adottate contenevano, poi, ulteriori gravi vulnerabilità. Ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico.
Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec.
Tale operazione era peraltro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.
Il Garante ha quindi imposto ad Aruba Pec S.p.A. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro e la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza. Disposto, inoltre, anche un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.
Con successivo provvedimento il Garante fa sapere che valuterà ulteriori aspetti del trattamento dei dati svolto dall’azienda, nonché il complesso delle violazioni rilevate.
L’azienda Aruba Pec Spa, da parte sua, fa sapere in una nota che “nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password”. Inoltre, “in merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba PEC ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che non è mai stato violato”.
La redazione giuridica
Leggi anche:
LEGITTIMO IMPEDIMENTO AVVOCATI: IMPOSSIBILE INVOCARE LA TUTELA DELLA PRIVACY
