Come ripetiamo spesso agli utenti di questo blog, tra le misure di sicurezza disponibili per un sito web rientrano senza dubbio anche i certificati SSL, che attestano la protezione dei dati contenuti all’interno dei portali. Nonostante il protocollo HTTPS, ovvero quello che in un URL denota la presenza di un SSL, sia ormai noto a livello mondiale così come i benefici che porta anche agli occhi di chi visita i siti web, molte persone che sviluppano siti sembrano ancora ben lontani da una sua corretta applicazione. Tra i benefici dell’applicazione di un certificato, oltretutto, c’è anche il miglior posizionamento dei siti tra i risultati dati dai motori di ricerca, poiché la reputazione del sito ne beneficia.
È notizia di qualche giorno fa, a questo proposito, la sanzione comminata dal garante italiano per la privacy ai proprietari del portale di una società idrica, che si sono visti arrivare una multa di 15.000 euro proprio perché nella loro area clienti non era presente tale protocollo. La sanzione è motivata dal fatto che la mancanza di tale accorgimento mette in pericolo gli utenti da attacchi che mirano al furto di identità degli stessi, che si troverebbero a trasferire dati senza le dovute tutele. La multa è stata comminata, si legge nella nota, a seguito di alcune segnalazioni di utenti che notavano la presenza del solo protocollo HTTP.
La gravità della sanzione, si apprende dal garante, è data da due fattori abbastanza gravi, ovvero il mancato intervento dell’azienda a seguito dei reclami di coloro che poi hanno denunciato la mancanza del certificato e soprattutto la grandissima quantità di utenti potenzialmente coinvolti nei rischi (circa tredicimila). Fortunatamente pare che l’azienda multata ha tenuto fin da subito un comportamento di collaborazione e, soprattutto, non si trattava di una recidiva. Le violazioni dell’azienda riguardano l’integrità e riservatezza dei dati, che per essere tutelate devono portare a misure di sicurezza come la cifratura.
In chiusura della nota, il garante ha anche ricordato che tali misure devono essere previste fin dall’implementazione dei portali e non in corso d’opera, durante il quale si chiede alle aziende di monitorarne l’efficacia e la non obsolescenza. In ultimo, si ricorda anche che l’obbligo di installazione di certificati SSL su portali che trattano dati personali è valido in modo anche retroattivo dalla data dell’entrata in vigore, ovvero il maggio 2018.