Garante privacy: adottato provvedimento d’urgenza nei confronti di Aruba Pec S.p.A.

L’Autorità Garante per la protezione dei dati ha emanato un provvedimento d’urgenza nei confronti di Aruba Pec S.p.A. per l’implementazione delle misure di sicurezza del servizio di posta elettronica certificata, a seguito delle vulnerabilità rilevate in merito alla gestione del servizio pec, durante un accertamento ispettivo condotto nella seconda metà del 2019.

Le vulnerabilità emerse

Dagli accertamenti è emerso che gli utenti utilizzavano per l’accesso alla propria casella pec la password iniziale scelta per loro da uno dei partner della società (come ordini professionali, PA e soggetti privati), senza che fosse imposto l’obbligo di modifica al primo accesso.

In più le password di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così la possibilità di accessi illeciti.

Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec: tale operazione era per altro effettuabile da un’utenza utilizzata da più persone, in violazione dei principi di sicurezza del trattamento che richiedono invece l’attribuzione a ogni operatore di credenziali individuali.

Le misure imposte dal Garante

Il provvedimento d’urgenza è stato adottato allo scopo di evitare che le diverse categorie di interessati coinvolti (intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati) fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità.

Il Garante dunque ha imposto al gestore Pec:

  • la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro;
  • la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza;
  • l’ intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

 

Sul tema l’Avv. Andrea Lisi dichiara che: “Considerata la delicatezza del ruolo di gestore PEC e i rischi che un data breach di questo tipo può comportare (anche in considerazione della recente diffusione di virus), credo che questo provvedimento del Garante sia molto importante e di utile stimolo per tutti i prestatori di servizi fiduciari nel nostro Paese. In certi casi, ne va di mezzo la sicurezza informatica generale del nostro Sistema Paese”.