Un sito web che non prevede il certificato SSL è passibile di sanzione. È quanto si apprende dal Garante della Privacy, il quale recentemente ha comminato un’ammenda a un’azienda che non aveva provveduto ad applicare adeguati sistemi di protezione dei dati personali.
Nello specifico, l’autorità di controllo aveva riscontrato l’assenza del protocollo HTTPS.
Indice dei contenuti:
HTTPS: di cosa si tratta?
Hypertext Transfer Protocol Secure è la versione sicura di HTTP, che rappresenta il protocollo principale utilizzato per la trasmissione di informazioni dal client al server.
La presenza dell’HTTPS, in sostanza, va a certificare il sito web utilizzando il protocollo di crittografia (SSL/TLS) idoneo a proteggere le comunicazioni.
Quando le informazioni viaggiano tramite HTTP vengono suddivise in pacchetti di dati che possono essere facilmente intercettati da terzi (Man in the Middle) in quanto inviati in chiaro, senza cifratura; con il protocollo sicuro, il traffico viene crittografato in modo tale da nascondere le informazioni.
Anche gli stessi browser allertano gli utenti che visitano un sito web senza HTTPS, e lo fanno mostrando la dicitura “non sicuro” nella barra degli indirizzi.
La sanzione del Garante Privacy
Tutto è cominciato dal reclamo al Garante di un utente, il quale segnalava l’assenza del sistema di cifratura su un sito web aziendale. Nella fattispecie, veniva evidenziata la mancanza di un certificato SSL in un’area del sito web in cui transitavano dati sensibili come le credenziali di autenticazione, contatti telefonici, codici fiscali, partite IVA, dati anagrafici e di fatturazione.
L’utente ha provveduto a inoltrare due segnalazioni a mezzo PEC all’azienda fornitrice di servizi idrici intestataria del dominio e, dato il mancato riscontro, ha deciso di interpellare il Garante della Privacy. A seguito della ricezione del reclamo, l’autorità ha constatato l’inosservanza degli obblighi previsti dal regolamento sulla privacy in materia di integrità e riservatezza nel trattamento dei dati, secondo cui il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (come la cifratura dei dati personali e quello di protezione fin dalla progettazione del sito web).
All’azienda in questione è stato attribuito un provvedimento pecuniario di euro 15.000 per non aver protetto in modo consono i dati dei clienti registrati sull’area riservata del proprio sito web. L’ammenda è stata comminata considerando il volume di dati trattati, il numero di utenti e l’approccio collaborativo dell’azienda.
Tipologie di certificato SSL: scegli quello giusto
Per abilitare l’HTTPS sul tuo sito web occorre ottenere un SSL da un’autorità di certificazione. Sul mercato esistono diverse tipologie di certificati SSL, che osserveremo nel dettaglio di seguito.
Domain Validation (DV)
Questo tipo di SSL certifica il dominio sul qualche viene attivato. Quindi, abilita il protocollo HTTPS e applica l’icona del lucchetto nella barra degli indirizzi.
I certificati SSL a DV sono i più basilari e richiedono un singolo passaggio di verifica da parte dell’intestatario del dominio. Per finalizzare la convalida, quest’ultimo deve dimostrare di essere effettivamente il titolare del dominio e, per farlo, una delle modalità più praticate è la verifica tramite le email che solitamente sono in gestione dell’amministratore del sito web (webmaster@, postmaster@).
L’offerta di Shellrent, grazie alla partnership con la Certificate Authority Sectigo, mette a disposizione due certificati SSL a DV, il PositiveSSL e il SectigoSSL, che variano in base al livello di garanzia.
Organization Validation (OV)
I certificati SSL Organization Validation forniscono un ulteriore livello di sicurezza, autenticando l’identità e la legittimità dell’azienda in questione. Questa deve dimostrare di essere intestataria del nome di dominio e, contestualmente, di essere legalmente registrata.
In questo caso, la convalida viene effettuata attraverso alcuni passaggi che includono la verifica dell’effettiva sede della tua attività, il numero di telefono e la proprietà del dominio.
Extended Validation (EV)
I certificati SSL Extended Validation applicano il più alto livello di affidabilità ed è particolarmente indicato per quei siti web dove transitano dati personali e sensibili, come gli eCommerce.
Il processo di convalida è il più complesso: la Certificate Authority sottoporrà l’azienda a verifiche approfondite per certificarne l’identità e l’attendibilità.