Sito web in HTTPS: nel 2022 non può più essere un optional

Come è possibile che nel 2022, ancora molti Titolari del trattamento non comprendano la necessità di adeguare il sito web al protocollo https e rendere più sicura la navigazione, rispondendo adeguatamente al principio di accountability?

Nel caso in esame, un utente del Servizio Idrico Integrato S.c.p.a. crea un profilo all’interno dell’area personale, per poter beneficiare di alcune funzionalità aggiuntive. In tal modo, avrebbe potuto verificare e monitorare informazioni relative alla fornitura; visualizzare e stampare le bollette emesse; accedere alle informazioni relative al servizio prestato, alle tariffe applicate, alla tipologia d’utenza assegnata nonché procedere ad autolettura. L’utente constatava, tuttavia, l’utilizzo di un profilo di sicurezza del sito web “non sicuro”.

In sua difesa, la società ha addotto che il passaggio al protocollo https sarebbe avvenuto in tempi brevi,  specificando, inoltre, che i dati personali contenuti nell’area riservata non sono mai stati oggetto di data breach.

Il Garante Privacy ha comminato una sanzione amministrativa di 15.000 €, per l’utilizzo del protocollo http, considerato non sicuro, ritenendo violati i principi di integrità e riservatezza dei dati trattati; di protezione dei dati fin dalla progettazione ex art.25 GDPR nonché per l’assenza delle misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio ex art.32 GDPR.

Si rammenta che il protocollo http permette la trasmissione in chiaro (senza crittografia) di tutta la comunicazione. Oggi è semplice ottenere tale livello di sicurezza in quanto la maggior parte dei service provider consentono di attivare certificati SSL in maniera gratuita, al momento della registrazione del dominio con hosting.