Emanato dal Garante privacy un provvedimento d’urgenza per gravi violazioni relative alla gestione di un servizio pec

Il Garante per la protezione dei dati personali ha emanato un provvedimento d’urgenza nei confronti di Aruba Pec S.p.A., prescrivendo l’implementazione di misure di sicurezza sul noto servizio di posta elettronica certificata, tramite il quale vengono gestite oltre sei milioni di caselle di soggetti pubblici e privati.

Il provvedimento fa seguito ad un accertamento ispettivo condotto nella seconda metà del 2019, nel corso del quale erano emerse molteplici criticità. In particolare, il Garante anzitutto aveva in tal sede rilevato la mancata previsione di un obbligo di modifica della password al primo accesso dell’utente, il che aveva comportato, come conseguenza, che circa 560.000 utenti risultavano accedere ancora alla propria casella pec utilizzando la password iniziale. Sono state individuate altresì gravi vulnerabilità nelle procedure informatiche adottate, in quanto, ad esempio, le password di gestione di alcuni servizi informatici venivano riportate in chiaro nei log di tracciamento delle operazioni, aumentando quindi la possibilità di accessi illeciti. Ancora, era emersa la definizione di un profilo “superadmin”, al quale era stata conferita la possibilità di consultare ed esportare, tramite internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec; al riguardo, non soltanto tale profilo veniva utilizzato da più persone – in violazione dell’obbligo di definire delle credenziali di accesso individuali –, ma era emerso altresì che non era stata effettuata, a monte, un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Le suddette violazioni rilevate, commenta il Garante, espongono i diritti e le libertà di diverse categorie di interessati a gravi rischi, aumentando le possibilità di utilizzi impropri di dati personali non soltanto degli intestatari delle caselle pec, ma anche dei mittenti e destinatari dei messaggi, nonché dei soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati, incrementando altresì il rischio di furti d’identità. Pertanto, alla luce di tutto quanto precede, l’Autorità ha così imposto alla Società: (i) la modifica obbligatoria delle password di accesso alle caselle di posta certificata, (ii) la ridefinizione delle modalità di tracciamento, nonché (iii) un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

In merito a quanto in oggetto, è infine meritevole di rilievo il fatto che il Garante, al fine di tutelare gli utenti, ha deciso di posticipare la pubblicazione del provvedimento, in modo da permettere alla Società di implementare le misure prescritte ed impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati.