Servizi online, multata azienda per il protocollo HTTP

Multa di 15.000 Euro a un’azienda che utilizzava un protocollo di comunicazione in chiaro.

L’adeguamento ai protocolli crittografici per l’interazione degli utenti con un sito web (come quello “https”) non è solo una tutela in più per scongiurare il rischio di furti d’identità e garantire una reale protezione dei dati personali, ma è anche un adempimento normativo a cui è obbligatorio adeguarsi. Pena: pagare multe salate. 

Lo sa bene un’azienda fornitrice di servizi idrici che per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web si è vista costretta a pagare una multa, comminata dal Garante per la Privacy, di 15.000 Euro (Registro dei provvedimenti n. 328 del 6 ottobre 2022). Tutto nasce, come sempre, da un reclamo, a seguito del quale l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.

Tale violazione ha reso molti dati personali dei clienti che transitavano mediante tale canale (circa 13.000) affatto sicuri: dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. 

Una vera e propria violazione di alcuni principi sanciti dal Regolamento, come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”. Obbligo che, tuttavia, si applica anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).
Ad aggravare la posizione dell’azienda, poi, il reiterato atteggiamento di quest’ultima: sebbene il reclamante avesse fatto presente all’Azienda in due occasioni l’insufficienza delle misure di sicurezza adottate, infatti, questa non si era prontamente attivata fino all’apertura dell’istruttoria.