Rivelare la propria password di accesso ad account personali ed aziendali è una cattiva abitudine molto diffusa. Oltre ad essere una potenziale minaccia per la sicurezza dei dati, questo comportamento può costituire anche un reato punito dal codice penale.

Secondo una ricerca condotta da Google nel 2019 (di cui abbiamo parlato anche qui) oltre il 43% degli utenti intervistati ha ammesso di aver condiviso una propria password almeno una volta nella vita.

Le statistiche sulla sicurezza informatica evidenziano come le persone tendano a rivelare con leggerezza le proprie password, anche in situazioni in cui non è certa l’identità dell’interlocutore.

L’ingenuità o la leggerezza degli utenti è usata molto spesso dai criminali per iniziare un attacco informatico. In molti casi, i malintenzionati non devono violare complesse misure di sicurezza per ottenere l’accesso ad un sistema informatico. È per loro molto più facile, anche attraverso attacchi basati su tecniche di ingegneria sociale (in forma di smishing o vishing), convincere le vittime di un attacco a rivelare la propria password.

Le conseguenze della sottrazione delle credenziali in ambito aziendale

La sottrazione delle credenziali di accesso, ottenute con l’inganno da utenti portati a comunicarle facilmente, può portare a conseguenze particolarmente gravi quando avviene in ambito aziendale.

Secondo il rapporto pubblicato da Verizon nel 2020, oltre il 40% dei data breach avvenuti nell’area europea ha avuto inizio utilizzando credenziali sottratte agli utenti. In molti casi, il furto è avvenuto sfruttando la propensione degli utenti a rivelare la propria password.

La gravità delle conseguenze dipende dal tipo di account che viene in questo modo compromesso.

Oltre il 70% degli attacchi avviene per motivazioni economiche. Per esempio, sfruttando i codici di accesso rubati, i criminali informatici possono sottrarre i dati aziendali. Gli autori dell’attacco possono così ricattare le vittime, minacciando di pubblicare i loro dati se non pagano una somma di denaro. Se la vittima non si piega, i dati possono essere rivenduti sul dark web, per essere utilizzate anche per scopi illeciti.

Il 20% circa degli attacchi informatici avviene per spiare l’impresa o sabotare i suoi sistemi informatici. È frequente il caso in cui i concorrenti commissionano un attacco ai sistemi di un’altra impresa, per rubare i suoi segreti industriali o per danneggiare la sua produzione.

Non sono rari i casi in cui questi attacchi sono compiuti per motivi ideologici o altre ragioni, anche il semplice divertimento. In questi casi, ad esempio, il furto delle credenziali degli account social aziendali può essere utilizzato per danneggiare la reputazione aziendale.

È dunque fondamentale per ogni impresa ed organizzazione adottare adeguate misure di protezione delle credenziali di accesso e sensibilizzare i propri dipendenti sull’importanza di non rivelare mai la propria password.

Come convincere i dipendenti a non rivelare la propria password

Tra le misure organizzative e tecniche che ciascuna impresa od ente deve predisporre per proteggere i propri dati, alcune devono essere dedicate alla corretta gestione di password e credenziali di accesso.

Ogni organizzazione dovrebbe adottare delle politiche e dei regolamenti interni sull’uso dei propri sistemi informatici, proibendo la condivisione o la comunicazione a terzi delle proprie credenziali di accesso. Questa misure non devono essere eccessivamente restrittive o rigide, per evitare il rischio che gli utenti adottino misure elusive (ad esempio, nel caso di misure arbitrarie di scadenza delle password).

Per rendere efficaci queste politiche si devono eliminare le possibili tentazioni per gli utenti, che potrebbero essere portati a condividere le proprie credenziali, ad esempio, nel caso in cui gli utenti non siano in grado di accedere con le proprie credenziali di accesso a tutti i dati necessari a svolgere il loro lavoro. Occorre lavorare adeguatamente sulla profilazione degli utenti e sull’assegnazione dei privilegi di accesso ai dati.

Occorre inoltre evitare per quanto possibile account o credenziali condivise, attribuendo sempre credenziali individuali.

È infine fondamentale una adeguata campagna di sensibilizzazione e informazione degli utenti sui rischi collegati a questi comportamenti.

Le conseguenze in caso di data breach

Come si è visto, moltissimi attacchi informatici iniziano sfruttando la propensione degli utenti a rivelare la propria password. Da questi comportamenti possono derivare dei veri e propri data breach, che coinvolgono i dati personali trattati dall’azienda o dall’organizzazione.

Il verificarsi di un data breach obbliga il titolare del trattamento a notificare l’evento all’Autorità di controllo competente. A seguito della notifica di una violazione di dati, il Garante potrebbe disporre degli accertamenti per capire quali sono state le cause della violazione.

All’esito di questi accertamenti, qualora dovesse emergere che il data breach è dovuto ad una scarsa consapevolezza degli utenti in merito alla conservazione delle proprie credenziali, il Garante potrebbe contestare al titolare di non aver adottato adeguate misure di sicurezza.

Queste carenze costituiscono una vera e propria violazione degli obblighi previsti dal GDPR e comportano l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 GDPR.

Quando rivelare la propria password è un reato

In casi molto rari, poi, il comportamento di chi rivela la propria password a terzi (o di chi se la procura) può costituire un reato.

L’art. 615bis del codice penale punisce infatti come detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici il comportamento di chi, abusivamente, si procura , diffonde o comunica codici o credenziali di accesso ad un sistema informatico. Per costituire reato, questo comportamento deve essere posto in essere con uno scopo preciso, ovvero quello di procurarsi un profitto o di arrecare un danno ad altri.

Costituisce dunque reato, ad esempio, il comportamento del dipendente che, dietro pagamento di un prezzo, rivela le credenziali di accesso ai sistemi informatici aziendali.

Questa norma penale punisce il semplice fatto di rivelare o procurarsi abusivamente una password di accesso. Se, a questa azione, fa seguito anche l’accesso abusivo ad un sistema informatico aziendale o la sottrazione dei dati in esso conservati, potrà trovare applicazione un altro più grave reato, di cui abbiamo parlato anche in questo articolo.

La pena per il reto di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici è della reclusione fino ad un anno e della multa fino a 5.164 euro. La pena è aumentata se il reato è commesso in danno di un sistema informatico pubblico o da un operatore di sistema.