Breaking News

Sito web senza HTTPS: Garante della Privacy sanziona un’azienda

3 minuti lettura
garante privacy sanziona sito web senza https

Un sito web che non prevede il certificato SSL è passibile di sanzione. È quanto si apprende dal Garante della Privacy, il quale recentemente ha comminato un’ammenda a un’azienda che non aveva provveduto ad applicare adeguati sistemi di protezione dei dati personali.

Nello specifico, l’autorità di controllo aveva riscontrato l’assenza del protocollo HTTPS.

HTTPS: di cosa si tratta?

Hypertext Transfer Protocol Secure è la versione sicura di HTTP, che rappresenta il protocollo principale utilizzato per la trasmissione di informazioni dal client al server.

La presenza dell’HTTPS, in sostanza, va a certificare il sito web utilizzando il protocollo di crittografia (SSL/TLS) idoneo a proteggere le comunicazioni.

Quando le informazioni viaggiano tramite HTTP vengono suddivise in pacchetti di dati che possono essere facilmente intercettati da terzi (Man in the Middle) in quanto inviati in chiaro, senza cifratura; con il protocollo sicuro, il traffico viene crittografato in modo tale da nascondere le informazioni.

Anche gli stessi browser allertano gli utenti che visitano un sito web senza HTTPS, e lo fanno mostrando la dicitura “non sicuro” nella barra degli indirizzi.

La sanzione del Garante Privacy

Tutto è cominciato dal reclamo al Garante di un utente, il quale segnalava l’assenza del sistema di cifratura su un sito web aziendale. Nella fattispecie, veniva evidenziata la mancanza di un certificato SSL in un’area del sito web in cui transitavano dati sensibili come le credenziali di autenticazione, contatti telefonici, codici fiscali, partite IVA, dati anagrafici e di fatturazione.

L’utente ha provveduto a inoltrare due segnalazioni a mezzo PEC all’azienda fornitrice di servizi idrici intestataria del dominio e, dato il mancato riscontro, ha deciso di interpellare il Garante della Privacy. A seguito della ricezione del reclamo, l’autorità ha constatato l’inosservanza degli obblighi previsti dal regolamento sulla privacy in materia di integrità e riservatezza nel trattamento dei dati, secondo cui il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (come la cifratura dei dati personali e quello di protezione fin dalla progettazione del sito web).

All’azienda in questione è stato attribuito un provvedimento pecuniario di euro 15.000 per non aver protetto in modo consono i dati dei clienti registrati sull’area riservata del proprio sito web. L’ammenda è stata comminata considerando il volume di dati trattati, il numero di utenti e l’approccio collaborativo dell’azienda.

Tipologie di certificato SSL: scegli quello giusto

Per abilitare l’HTTPS sul tuo sito web occorre ottenere un SSL da un’autorità di certificazione. Sul mercato esistono diverse tipologie di certificati SSL, che osserveremo nel dettaglio di seguito.

Domain Validation (DV)

Questo tipo di SSL certifica il dominio sul qualche viene attivato. Quindi, abilita il protocollo HTTPS e applica l’icona del lucchetto nella barra degli indirizzi.

I certificati SSL a DV sono i più basilari e richiedono un singolo passaggio di verifica da parte dell’intestatario del dominio. Per finalizzare la convalida, quest’ultimo deve dimostrare di essere effettivamente il titolare del dominio e, per farlo, una delle modalità più praticate è la verifica tramite le email che solitamente sono in gestione dell’amministratore del sito web (webmaster@, postmaster@).

L’offerta di Shellrent, grazie alla partnership con la Certificate Authority Sectigo, mette a disposizione due certificati SSL a DV, il PositiveSSL e il SectigoSSL, che variano in base al livello di garanzia.

Organization Validation (OV)

I certificati SSL Organization Validation forniscono un ulteriore livello di sicurezza, autenticando l’identità e la legittimità dell’azienda in questione. Questa deve dimostrare di essere intestataria del nome di dominio e, contestualmente, di essere legalmente registrata.

In questo caso, la convalida viene effettuata attraverso alcuni passaggi che includono la verifica dell’effettiva sede della tua attività, il numero di telefono e la proprietà del dominio.

Extended Validation (EV)

I certificati SSL Extended Validation applicano il più alto livello di affidabilità ed è particolarmente indicato per quei siti web dove transitano dati personali e sensibili, come gli eCommerce.

Il processo di convalida è il più complesso: la Certificate Authority sottoporrà l’azienda a verifiche approfondite per certificarne l’identità e l’attendibilità.

Avatar photo
460 articoli

Note sull'autore
Appassionata di comunicazione digitale, in Shellrent scrivo e condivido contenuti tecnici, informativi e novità del mondo IT. Fuori dall'ufficio mi divido tra stadi, montagna e altri angoli del mondo.
Articoli
Articoli correlati
Breaking News

Windows o Linux: quale sistema operativo scegliere per un VPS?

2 minuti lettura
In fase di configurazione di un server virtuale privato (VPS), un importante passaggio è la scelta del sistema operativo che svolge un…
Breaking News

Migliori browser a confronto: quale scegliere?

3 minuti lettura
Il browser è uno strumento essenziale per navigare sul web. Si tratta infatti della porta d’accesso a tutto ciò che Internet ha…
Breaking News

Ansible e l’automazione dei processi IT

4 minuti lettura
Ansible è diventato uno degli strumenti più apprezzati dagli esperti nel campo dell’automazione IT. Il merito è da attribuire alla sua semplicità,…