Sito web senza certificato SSL?

Il Garante per la protezione dei dati personali ha sanzionato con una multa da 15.000 € un’azienda che consentiva l’accesso ai propri servizi online senza la crittografia del protocollo HTTPS.

Non usare il protocollo HTTPS, oltre a mettere a rischio i dati degli utenti che si collegano al sito, può comportare anche una violazione del GDPR, il Regolamento generale sulla protezione dei dati  che disciplina il modo in cui le aziende e le altre organizzazioni devono trattare i dati personali.
È quello che è successo ultimamente al Servizio Idrico Integrato S.c.p.a. L’Azienda ha infatti ricevuto una sanzione di 15.000 euro dal Garante della privacy per non aver usato il protocollo HTTPS.

Su segnalazione di un utente il Garante della privacy ha accertato che l’azienda non aveva protetto con HTTPS un’area riservata del proprio sito web (nella parte del sito web in questione non era presente un certificato SSL) . Per l’accesso a tale area veniva richiesto l’inserimento di username e password utilizzando il protocollo HTTP non consente il criptaggio dei dati inseriti.

Servizio Idrico Integrato S.c.p.a. si è difesa specificando che all’interno dell’area riservata in questione non sono presenti dati di pagamento e che non risultano violazioni dei dati.

Le motivazioni del Garante della privacy alla multa inflitta al Servizio Idrico Integrato
Il Garante ha ritenuto che l’assenza del protocollo HTTPS viola importanti principi sanciti dal GDPR come quello dell’integrità e riservatezza dei dati trattati e quello di protezione dei dati fin dalla progettazione.

Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

 

Cos’è il protocollo HTTPS? Come mai è così importante?

HTTPS è l’acronimo di Hypertext Transfer Protocol Secure ed è un protocollo per la comunicazione sul web che protegge l’integrità e la riservatezza dei dati scambiati usando una comunicazione criptata.

Per implementare il protocollo HTTPS su proprio sito web è necessario installare un certificato SSL.

Senza un certificato SSL, infatti, il protocollo che viene utilizzato per la comunicazione fra il browser dell’utente e il sito web è l’HTTP che, a differenza dell’HTTPS, genera un traffico di dati anonimo e non criptato e quindi vulnerabile agli attacchi informatici.

Usare il protocollo HTTPS e offrire una connessione protetta è sicura è di fondamentale importanza per ogni sito web, in primo luogo per proteggere i dati degli utenti che navigano il sito ma anche per migliorare la visibilità online del sito web.

Google, infatti, ha apertamente dichiarato di premiare i siti che hanno un certificato SSL e una connessione sicura HTTPS e Google Chrome, il browser più utilizzato per navigare online, segnala i siti web sprovvisti di protocollo HTTPS come non sicuri.

Protocollo HTTPS: come funziona?

HTTPS è l’acronimo di Hypertext Transfer Protocol Secure edè un protocollo per la comunicazione sul web che protegge l’integrità e la riservatezza dei dati scambiati usando una comunicazione criptata. In pratica, rispetto all’HTTP il protocollo HTTPS inserisce un passaggio intermedio, un certificato SSL che consente 3 livelli di protezione:

  • Crittografia. Tutti i dati scambiati da server e client vengono criptati e resi di fatto incomprensibili a terzi.
  • Integrità dei dati. I dati scambiati non possono essere modificati durante il trasferimento.
  • Autenticazione. Il protocollo HTTPS garantisce che il sito visitato sia effettivamente quello richiesto.

Come verificare la sicurezza di un sito web?

Se si vuole essere sicuri che i dati inseriti in un sito web siano protetti da criptografia occorre verificare attentamente l’URL, cioè l’indirizzo del sito web che compare nella barra di navigazione.

  • Se l’indirizzo inizia per “http://” si tratta di un sito web non sicuro che utilizza il protocollo HTTP e trasmette i dati scambiati in chiaro.
  • Se l’indirizzo inizia per “https://” si tratta di un sito sicuro che utilizza il protocollo https che gli consente di trasmettere dati in maniera criptografata ed incomprensibile ad eventuali hacker.

In alcuni browser, viene visualizzata la stringa “https://” nell’URL del sito, in altri invece, al suo posto viene visualizzato un lucchetto, come nel caso del sito di Register.it su Google Chrome.