Molti utenti hanno ricevuto una comunicazione in merito ad un data breach sulla loro casella di posta elettronica certificata (PEC). Quali sono le possibili conseguenze? |
La comunicazione proviene dal fornitore del servizio e riferisce di una possibile compromissione delle credenziali di accesso ai servizi di Posta Elettronica Certificata. In breve, sono state violate le credenziali di 500.000 caselle di PEC, di cui 98.000 appartenenti a Pubbliche Amministrazioni.
Ciò che ha preoccupato principalmente gli utenti è stato il seguente passaggio della comunicazione:
“Di tale evento, conformemente alla normativa vigente (art. 33 Regolamento UE 2016/679, il c.d. GDPR) sarà data formale comunicazione al Garante Privacy. La presente comunicazione è effettuata in ottemperana agli obblighi di legge al solo scopo informativo”.
Più di un destinatario ha temuto che tale comunicazione di data breach potesse comportare un’ispezione del Garante presso la propria struttura informatica. Non è così: i riceventi della comunicazione in questo caso non sono i titolari del trattamento, bensì gli interessati. Hanno ricevuto la comunicazione in ottemperanza all’obbligo di legge in capo al fornitore di comunicare la violazione all’interessato qualora essa possa comportare “un rischio elevato per i diritti e le libertà delle persone fisiche”, ai sensi dell’art. 34 del Regolamento UE 2016/679.
Una circostanza decisamente probabile, poiché essendo diffuse in rete le credenziali violate, qualche malintenzionato potrebbe sfruttarle per inviare comunicazioni false.
Cosa occorre fare quindi? E’ fondamentale cambiare la password della casella di PEC, onde avitare qualche azione fraudolenta attraverso di essa. Il fornitore raccomanda alcune cautele:
La nuova password deve avere tutte le seguenti caratteristiche:
lunghezza minima: otto caratteri
almeno un carattere numerico (0..9)
almeno un carattere minuscolo (a..z)
almeno un carattere maiuscolo (A..Z)
almeno un carattere speciale tra i seguenti .(punto) ;(punto e virgola) -(meno)
non sono ammessi caratteri diversi da quelli sopra elencati
non sono ammessi spazi vuoti
non sono ammessi più di due caratteri consecutivi uguali
non deve essere uguale al nome utente
non deve essere uguale ad una delle ultime quattro password utilizzate
non deve essere cambiata più di una volta nell’arco delle 24 ore
non deve essere utilizzata la password compromessa nè una simile.
I temi trattati in questo articolo verranno approfonditi anche nel corso del prossimo seminario gratuito dedicato alla protezione dei dati a 6 mesi dal GDPR che SI.net ha organizzato a Milano il prossimo martedì 4 dicembre.
______________________________________________________
Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter e su Facebook, YouTube e LinkedIn
Salva
Salva
Salva
Salva
Salva
Salva