Provvedimento del 9 maggio 2024 [10070397]
Provvedimento del 9 maggio 2024 [10070397]
Condividi[doc. web n. 10070397]
Provvedimento del 9 maggio 2024*
*Il provvedimento è stato impugnato - In pendenza del giudizio di opposizione contro il provvedimento, non è applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione
Registro dei provvedimenti
n. 292 del 9 maggio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;
RELATORE l'avv. Guido Scorza;
PREMESSO
A inizio maggio 2019, l’Autorità è venuta a conoscenza di un attacco informatico compiuto dai sedicenti gruppi di hactivisti “LulzSecITA” e “Anonymous Italia” in danno dei portali istituzionali di vari Ordini degli avvocati e della successiva diffusione online di parte dei dati personali esfiltrati da tali portali, tra cui, in particolare, le credenziali di autenticazione utilizzate da migliaia di iscritti all’Ordine degli avvocati di Roma (direttamente identificabili mediante dati anagrafici o di contatto) per l’accesso a caselle PEC con dominio “ordineavvocatiroma.org”, gestito da InfoCert S.p.a. (di seguito “InfoCert” o la “Società”), nonché i messaggi contenuti in alcune di esse.
Nell’ambito della complessa istruttoria avviata in relazione alla predetta violazione dei dati personali dall’Autorità nei confronti della Società e di Visura S.p.a. (di seguito “Visura”), che, anche a seguito di fusione per incorporazione di Lextel S.p.a. (di seguito “Lextel”), gestiva i sistemi oggetto di violazione, sono stati accuratamente verificati anche i trattamenti effettuati dalla Società, più in generale, nell’erogazione del servizio PEC. InfoCert, infatti, oltre a essere uno dei principali prestatori di servizi fiduciari operanti in Italia, è iscritta, a partire dal 19 gennaio 2007, nell’elenco dei gestori di posta elettronica certificata di cui all’art. 14 del d.P.R. 11 febbraio 2005, n. 68 (“Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata”, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3), tenuti a erogare il predetto servizio nel rispetto del d.m. 2 novembre 2005 (recante “Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata”). Il numero di caselle PEC da essa gestite al 30 luglio 2019 era pari a circa a 2,4 milioni, mentre il numero dei messaggi inviati e ricevuti dalle suddette caselle PEC nel primo semestre del 2019 era pari, rispettivamente, a circa 95 milioni e 140 milioni (v. all. 2 al verbale del 1° agosto 2019).
L’istruttoria, oltre a richiedere numerosi accertamenti ispettivi nei confronti delle predette società, appartenenti entrambe al Gruppo Tinexta, ha comportato articolati approfondimenti di carattere tecnico, ma anche giuridico, al fine di ricostruire i ruoli assunti nel contesto dei complessi trattamenti di dati personali posti in essere nell’erogazione del servizio PEC, nonché di attribuire le relative responsabilità e qualificare le diverse fattispecie rilevate, anche nell’ambito dell’ampia rete di rivendita, comprendente, oltre a Visura, altre 55 società.
Nel corso dell’istruttoria, anche sulla base delle sollecitazioni dell’Autorità, la Società ha introdotto numerose misure tecniche e organizzative aggiuntive, rispetto al quadro vigente al momento degli accertamenti, oggetto di verifica e valutazione da parte dell’Ufficio, che hanno apportato significativi miglioramenti nell’applicazione del Regolamento, tali da non richiedere l’adozione di provvedimenti correttivi da parte dell’Autorità.
1. Le caratteristiche della violazione dei dati personali
Con nota dell’8 maggio 2019, l’Autorità ha rivolto a InfoCert una richiesta di informazioni in merito alle iniziative assunte per assolvere agli obblighi previsti dagli artt. 33 e 34 del Regolamento in relazione alla predetta violazione. Con nota del 9 maggio 2019 la Società, nel fornire i primi elementi al riguardo, ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, la violazione dei dati personali riguardante la “sottrazione di un file contenente le password di default delle caselle PEC”, automaticamente generate dal sistema in occasione della prima attivazione da parte degli utenti, precisando che “l’evento […] non ha avuto ad oggetto la sottrazione di altre password delle caselle PEC dei professionisti, diverse dalle password di default, né ha comportato una sottrazione di dati dai sistemi del Gestore PEC InfoCert” (v. nota del 9 maggio 2019, p. 1).
Nel corso dell’attività ispettiva svolta presso Visura, che gestiva per conto della Società i sistemi oggetto della violazione, è emerso che, mediante un attacco informatico di tipo SQL injection avverso un server esposto su rete pubblica (di seguito “web server”), culminato in data 3 maggio 2019, sono stati effettuati, in varie fasi, accessi non autorizzati ai dati memorizzati all’interno di alcuni database presenti su un altro server (di seguito “database server”).
In particolare, gli attaccanti sono riusciti a ottenere anche dati trattati da Visura per conto di InfoCert in relazione all’erogazione del servizio PEC agli iscritti all’Ordine degli avvocati di Roma. Ciò, in quanto, all’interno del database del vecchio portale dell’Ordine degli avvocati di Roma, erano presenti anche due tabelle che contenevano il codice fiscale, l’indirizzo PEC con dominio “ordineavvocatiroma.org”, nonché le credenziali di autenticazione (username e password in chiaro rilasciate in fase di prima attivazione delle caselle PEC) di n. 40.623 utenti (avvocati e praticanti).
A seguito dell’esfiltrazione, i suddetti dati personali relativi a n. 26.921 iscritti all’Ordine degli avvocati di Roma sono stati, inoltre, oggetto di diffusione online da parte del sedicente gruppo di hacktivisti “Anonymous Italia”. In aggiunta, mediante l’utilizzo delle credenziali di autenticazione, sono stati effettuati accessi non autorizzati a diverse caselle PEC con diffusione online, per 12 di queste, dei messaggi ivi contenuti.
Anche al fine di comprendere le ragioni della ingiustificata presenza su tali sistemi di credenziali di autenticazione attive, che consentivano ancora l’accesso a caselle PEC, l’Autorità ha ritenuto necessario verificare, anche attraverso specifici accertamenti ispettivi, le misure di sicurezza adottate, più in generale, dalla Società per la gestione del servizio PEC.
2. Gli elementi emersi nel corso dell’istruttoria dell’Ufficio
2.1. I responsabili del trattamento di InfoCert nella gestione del servizio PEC
Come anticipato, nel corso dell’attività ispettiva è emerso che InfoCert si avvale di numerosi soggetti (per un numero complessivo di oltre 56 intermediari) per la rivendita del servizio PEC.
Rispetto ai trattamenti coinvolti nella violazione dei dati personali in esame, Visura ha rappresentato che “per […] il rilascio delle credenziali di autenticazione nell’ambito del servizio PEC e il conseguente trattamento dei dati personali degli interessati che richiedono l’attivazione di una casella PEC, Visura assume il ruolo di responsabile del trattamento di InfoCert S.p.A. […e] raccoglie i dati personali degli interessati necessari affinché InfoCert possa attivare la casella PEC richiesta e procedere, conseguentemente, al rilascio delle relative credenziali di autenticazione” (v. nota del 31 maggio 2019, p. 2), pur essendo “assente una formalizzazione del ruolo di responsabile del trattamento” (v. verbale del 22 maggio 2019, p. 2). Visura ha fornito copia del contratto stipulato con InfoCert in data 8 aprile 2008 (v. all. 4 al verbale del 7 giugno 2019), nonché dell’atto giuridico, stipulato ai sensi dell’art. 28 del Regolamento, con cui, in data 20 giugno 2019, InfoCert ha designato Visura quale responsabile del trattamento, delegandola a effettuare le attività di trattamento che “hanno ad oggetto i dati personali degli interessati, clienti di Visura, che intendono acquistare, per conto proprio o in favore di terzi, uno o più dei Servizi di InfoCert rivenduti e commercializzati [da Visura]” (v. all. 6 alla nota del 25 giugno 2019). InfoCert ha confermato che “il rapporto è attualmente regolato dai citati documenti, precisando che il contratto è in corso di revisione”, dichiarando altresì l’assenza di ulteriori precedenti atti di designazione di Visura (o di Lextel) ex art. 29 del previgente Codice o dell’art. 28 del Regolamento (v. verbale del 29 luglio 2020, pp. 3-4).
Nel corso dell’attività ispettiva, InfoCert ha inoltre fornito l’elenco degli ulteriori 55 soggetti utilizzati per la rivendita del servizio PEC, rappresentando che “i rapporti con i predetti soggetti, […] non sono stati allo stato disciplinati con contratto o altro atto giuridico redatto ai sensi dell’art. 28, par. 3, del Regolamento. Tali atti sono in corso di predisposizione sulla base di quanto già previsto per Visura S.p.a.” (v. verbale del 30 luglio 2019, p. 2, e all. 2 al medesimo verbale).
2.2. Il registro delle attività di trattamento
Nel corso dell’attività ispettiva, InfoCert ha fornito copia del registro delle attività di trattamento, effettuate in qualità di titolare del trattamento, riguardanti la gestione del servizio PEC (v. verbale del 29 luglio 2019, p. 2, e suoi all. 2 e 3). A fronte di alcune imprecisioni, omissioni o errori materiali rilevati nel corso degli accertamenti ispettivi, InfoCert ha poi fornito alcune ulteriori versioni del registro (v. all. 1 al verbale del 30 luglio 2019, all. 1 alla nota del 6 settembre 2019, e all. 1 alla nota del 7 ottobre 2019).
Dall’esame della documentazione è emerso, in particolare, che, nell’ultima versione del predetto registro fornita dalla Società:
− è stata aggiunta l’attività relativa alla “Attivazione funzione del Servizio PEC di copia messaggi su caselle clone gestite su ambiente e software esterni”, non presente nella prima versione fornita all’Autorità;
− nelle attività relative alla “Trasmissione messaggi e gestione del servizio di trasmissione” e alla “Conservazione Log certificati” non è indicata la presenza di dati personali appartenenti a categorie particolari o relativi a condanne penali e reati (artt. 9 e 10 del Regolamento) e, quale base legale del trattamento, è indicata unicamente l’esecuzione di un contratto;
− non sono indicate in modo adeguato le informazioni relative ai responsabili del trattamento di cui la Società si avvale).
2.3. Gli adempimenti connessi alla violazione dei dati personali in esame
2.3.1. La documentazione delle violazioni dei dati personali
Con riferimento alla documentazione da conservare ai sensi dell’art. 33, par. 5, del Regolamento, InfoCert ha fornito copia del registro con cui documenta le violazioni dei dati personali, rappresentando che “l’annotazione relativa alla predetta violazione dei dati personali nel registro dei data breach avverrà a seguito della conclusione delle attività di analisi e di valutazione tuttora in corso” (v. verbale del 29 luglio 2019, p. 5, e suo all. 5).
InfoCert ha inoltre fornito ulteriore documentazione estratta dal sistema utilizzato dalla società per la gestione degli incidenti informatici (v. all. 6 al verbale del 29 luglio 2019). Successivamente, ha inoltre evidenziato che “i data breach occorsi negli anni 2018 e 2019 sono riportati nel registro delle violazioni dei dati personali acquisito nel corso delle attività ispettive” (v. verbale del 1° agosto 2019, p. 3), fornendo ulteriore documentazione riguardante tali violazioni dei dati personali, estratta dal sistema per la gestione degli incidenti informatici (v. all. 4 alla nota del 6 settembre 2019); dall’esame del predetto registro, è emerso che lo stesso risulta privo di molti elementi essenziali, riportando esclusivamente informazioni sintetiche sulle violazioni occorse, con descrizioni generiche e senza motivazioni alla base delle valutazioni dei rischi, nonché senza indicazione delle misure adottate per porvi rimedio.
2.3.2. La comunicazione della violazione agli interessati
A seguito della violazione dei dati personali, InfoCert ha provveduto, in un primo momento, a “sospendere immediatamente l’accesso alle [112.928] caselle potenzialmente coinvolte” rivendute da Visura, riferibili a iscritti a numerosi ordini professionali; in un secondo momento è stato invece individuato un bacino più ridotto di interessati potenzialmente coinvolti (circa 27.500), essendo stato accertato che non tutte le password di default presenti nel file sottratto potevano considerarsi “operative”, poiché erano state in numerosi casi modificate dagli utenti del servizio PEC che avevano impostato una password personale, non oggetto di violazione.
InfoCert ha pertanto rappresentato che, per proprio conto, Visura, a partire dalle ore 16:00 circa del 9 maggio 2019, ha inviato una comunicazione della violazione dei dati personali a 24.859 utenti, “per i quali è stato possibile reperire, tramite gli Ordini professionali di appartenenza, un indirizzo di posta elettronica ordinaria”, in cui sono state fornite indicazioni anche in merito alla “procedura di ripristino della password di accesso alla casella PEC” (v. nota del 16 maggio 2019, p. 3). In particolare, ai titolari delle caselle PEC potenzialmente a rischio è stato rappresentato che, “a seguito di un attacco informatico, si è reso necessario, per motivi prudenziali e di contenimento del rischio, bloccare l’accesso alla sua casella PEC al fine di scongiurare eventuali accessi indebiti da parte di ignoti, diretti ad acquisire e utilizzare in modo illecito le informazioni ivi contenute” e che la password di accesso alla casella PEC era stata reimpostata. Con la stessa comunicazione è stata fornita una password provvisoria da modificare obbligatoriamente al primo accesso alla casella PEC (v. nota del 9 maggio 2019, pp. 3-4).
Con riferimento alle caselle PEC in uso a iscritti all’Ordine degli avvocati di Roma, per le quali sono stati diffusi online alcuni dei messaggi in esse contenuti o che sono comunque state oggetto di accessi non autorizzati, InfoCert ha rappresentato di non aver trasmesso, ai sensi dell’art. 34 del Regolamento, una specifica comunicazione agli interessati intestatari di tali caselle PEC, ritenendo che “la comunicazione effettuata in relazione alla compromissione delle credenziali di autenticazione delle caselle PEC fosse adeguata anche con riferimento a tali interessati” (v. verbale del 29 luglio 2019, p. 5).
Nel corso delle attività ispettive, InfoCert ha fornito un primo elenco di “55 caselle PEC dell’Ordine degli avvocati di Roma che presentano elevati profili di rischio” (v. all. 2 al verbale del 31 luglio 2019), rappresentando di aver affidato a una società esterna l’attuazione di specifiche attività di analisi forense, che hanno poi consentito di individuare un “insieme di caselle PEC, [per le quali] è stato rilevato un accesso da IP anonimizzato per un totale di N. 64 [(rectius 63)] caselle” (v. punto 15 della nota del 6 settembre 2019). Agli utenti delle suddette caselle, in data 23 settembre 2019, InfoCert ha inviato una nuova comunicazione (v. verbale del 24 settembre 2019, pp. 6-7, e verbale del 25 settembre 2019, p. 2).
Si evidenzia che tale comunicazione - inviata anche ai 12 iscritti dell’Ordine degli avvocati di Roma i cui messaggi sono stati oggetto di diffusione – indicava, tuttavia, che non erano state “riscontrate operazioni di invio, copia o eliminazione dei messaggi eseguite dagli indirizzi IP riportati” (v. all. 1 al verbale del 25 settembre 2019); nel corso dell’istruttoria la Società ha rappresentato, al riguardo, che “la c.d. “operazione di copia” costituisce, dal punto di vista tecnico, la copia di un messaggio PEC da una cartella a un’altra all’interno della medesima casella PEC e che tale operazione è stata considerata differente da quella di download di un messaggio PEC (via client o via webmail), avvenuta sicuramente per le dodici caselle PEC in questione, come emerge anche dalla documentazione già acquisita durante gli accertamenti ispettivi, e verosimilmente anche per altre caselle PEC coinvolte nella violazione”.
In data 7 ottobre 2019, InfoCert, come già anticipato nel corso degli accertamenti ispettivi (v. verbale del 25 settembre 2019, pp. 3-4), ha inviato ai suddetti 63 interessati un’integrazione della comunicazione già trasmessa, con la quale è stato precisato che “l’accesso illecito […] ha comportato la consultazione ed il download – da parte di ignoti – dei messaggi presenti nella casella; tuttavia non è ad oggi possibile stabilire quale uso possa esserne derivato oltre a quelli già resi noti dai responsabili dell’attacco” (v. nota del 7 ottobre 2019, p. 3, e all. 4 alla medesima nota).
Da ultimo, InfoCert ha rappresentato che “alla luce delle risultanze finali dell’analisi forense del 09/10/2019, in data [… 11 ottobre 2019] ha inviato una comunicazione ex art. 34 del GDPR agli ulteriori 17 interessati per cui sono stati rilevati accessi alle relative caselle PEC da parte di indirizzi IP “con bassa reputazione”” (v. nota dell’11 ottobre 2019, pp. 1-2, e all. 2 alla medesima nota).
2.4. La sicurezza del trattamento nell’ambito del servizio PEC
2.4.1. Le misure in essere al momento della violazione dei dati personali
2.4.1.1. Il processo di attivazione di caselle PEC tramite intermediario
Nel corso dell’istruttoria, è emerso che InfoCert commercializza il servizio PEC, oltre che direttamente, anche tramite una rete di rivenditori (di seguito anche “intermediari”). Al riguardo, InfoCert ha rappresentato che, “pur non fornendo specifiche istruzioni in ordine al predetto trattamento di dati personali, mette a disposizione dei rivenditori, tra i quali Visura S.p.a. e prima Lextel S.p.a., un’applicazione web denominata “Autogestione” e il relativo manuale utente per la gestione dei processi relativi all’attivazione e la gestione delle caselle di posta Legalmail (versione 14 del 26 maggio 2010)” (v. verbale del 29 luglio 2019, p. 4).
Fino al 31 luglio 2019, l’applicazione “Autogestione”, a conclusione della procedura di registrazione di una casella PEC, generava automaticamente le credenziali di accesso, quali username e password di prima attivazione, quest’ultima visualizzabile in chiaro dagli operatori dell’intermediario fino all’attivazione della casella PEC da parte dell’utilizzatore (v. verbale del 30 luglio 2019, p. 4).
Con particolare riguardo alle modalità adottate da Visura per l’attivazione di caselle PEC in favore di iscritti a Ordini degli avvocati, la stessa ha dichiarato che, “in seguito alla generazione di tali caselle, InfoCert ha reso disponibile alla società l’elenco delle caselle corredate delle credenziali di autenticazione, composte da username e password di prima attivazione. […] la società ha inviato all’indirizzo email ordinario di ciascun avvocato, comunicato dagli Ordini, un messaggio con le citate credenziali di autenticazione (username e password in chiaro) e con l’indicazione di provvedere obbligatoriamente alla loro modifica”. In relazione alla modifica della predetta password, Visura ha precisato, tuttavia, che “il sistema non imponeva tale modifica né al momento dell’attivazione della casella PEC, né al primo accesso” (v. verbale del 24 maggio 2019, pp. 3-4, e all. 6 al medesimo verbale). Inoltre, Visura ha rappresentato che, in seguito ad alcune problematiche segnalate dagli avvocati nella ricezione delle predette email, su richiesta degli Ordini, è stata predisposta “un’apposita applicazione web per l’attivazione delle caselle PEC che rendesse disponibili ai titolari delle stesse le relative credenziali di autenticazione (username e password di prima attivazione), previo inserimento di alcuni dati di riscontro”, all’interno del portale istituzionale dell’Ordine, ovvero mediante una specifica applicazione web, denominata “Gestione PEC” (v. verbale del 24 maggio 2019, p. 4).
2.4.1.2. La password policy relativa alle credenziali di autenticazione utilizzate per l’accesso alle caselle PEC: la mancata obbligatorietà della modifica della password al primo utilizzo
Nel corso dell’istruttoria è stato verificato che, al momento in cui si è verificata la violazione dei dati personali, e fino al 3 luglio 2019 (v. all. 3 al verbale del 30 luglio 2019), le password di prima attivazione delle caselle PEC, generate in automatico dal sistema all’atto della creazione delle credenziali di autenticazione di ciascun utente, erano, nella maggior parte dei casi, composte da otto caratteri, di cui due statici e sei dinamici (solo numeri e lettere maiuscole), e che non erano implementati meccanismi che obbligavano gli utenti a modificare la propria password al suo primo utilizzo. Al riguardo, InfoCert ha dichiarato che “a partire dal 2009, anno in cui […] ha iniziato a fornire il servizio PEC, il numero di Utenti attivi è pari a 2.408.885. A tal riguardo, le informazioni di dettaglio sul cambio password sono presenti solo ed esclusivamente dal mese di maggio 2015. Ciò detto, alla data del 3 luglio 2019, l’unico dato certo che InfoCert è in grado di fornire è che il numero di utenze del servizio PEC, attivate successivamente a maggio 2015, che non hanno mai effettuato un cambio password è pari a 1.032.358” (v. nota del 6 settembre 2019, p. 1).
2.4.2. Le misure adottate a seguito della violazione dei dati personali
2.4.2.1. La sospensione temporanea dell’accesso alle caselle PEC coinvolte nella violazione dei dati personali e la procedura di reset della relativa password di accesso
Per quanto attiene, in particolare, alle misure di sicurezza adottate a seguito della violazione, InfoCert ha rappresentato che, in via cautelativa, “è stato deciso di sospendere immediatamente l’accesso alle [112.928] caselle potenzialmente coinvolte, pur consentendo la ricezione delle e-mail al fine di non generare disservizi al momento della riattivazione delle stesse; l’operazione si è conclusa alle 20:51” del 7 maggio 2019 (v. nota del 9 maggio 2019, p. 1).
Visura ha inoltre dichiarato che “il reset delle password compromesse è stato così effettuato: (i) InfoCert ha provveduto a resettare le password per le caselle PEC coinvolte nella violazione ed a comunicare le stesse a Visura; (ii) gli Ordini professionali hanno fornito a Visura un elenco degli indirizzi email degli iscritti coinvolti nella violazione o, in assenza di tale collaborazione da parte degli Ordini, Visura ha provveduto ad estrarre dagli Albi gli indirizzi email degli iscritti coinvolti nella violazione; (iii) Visura ha provveduto a inviare tramite email la nuova password a ciascun interessato”. Il sistema obbligava gli interessati a effettuare il cambio della stessa in occasione del primo accesso tramite webmail ma “tali password, ancorché provvisorie, consentivano comunque l’accesso alla casella PEC tramite altri protocolli di rete (es. IMAP, POP3, SMTP), senza che vi fosse l’obbligo di modifica delle stesse da parte degli utilizzatori” (v. verbale del 24 maggio 2019, p. 3).
Con riferimento alle modalità con le quali InfoCert ha comunicato a Visura, dopo aver effettuato il reset, le nuove password per l’accesso alle caselle PEC potenzialmente coinvolte nella violazione dei dati personali, Visura ha rappresentato che “le stesse sono state trasmesse tramite email all’interno di un archivio zip protetto da password, contenente per ciascuna casella PEC il codice fiscale dell’interessato, username e nuova password” (v. verbale del 24 maggio 2019, p. 3).
Visura ha evidenziato che “l’invio della nuova password è stato effettuato solo per circa 22.400 interessati, in quanto per i restanti Visura non era riuscita a recuperare un indirizzo email a cui inviare la […]comunicazione [recante la nuova password]” e che “era comunque disponibile un’apposita funzione che consentiva agli interessati di richiedere la c.d. “forzatura della password” previo inserimento di alcuni dati di riscontro e di copia di un documento di identità. Tali richieste non venivano evase automaticamente ma venivano lavorate da un operatore di Visura mediante l’ausilio di un sistema di provisioning che InfoCert S.p.a. rende disponibile alla stessa” (v. verbale del 24 maggio 2019, pp. 3-4).
Inoltre, Visura ha rappresentato di aver pubblicato su alcuni dei propri siti web un avviso relativo alle modalità per effettuare il reset della password e di aver reso disponibile una “certificazione di disservizio del servizio PEC datata 7 maggio 2019, rilasciata agli avvocati, utile alla rimessione in termini processuali” (v. verbale del 24 maggio 2019, p. 2, e all. 5 al medesimo verbale).
2.4.2.2. L’analisi forense dei log di accesso alle caselle PEC coinvolte nella violazione dei dati personali
Con riferimento alle attività di analisi forense condotte da InfoCert al fine di meglio delineare la portata della violazione, la società ha rappresentato che tale attività ha preso in considerazione “le caselle per le quali erano stati riscontrati accessi da parte di indirizzi IP “con bassa reputazione” (rete TOR, VPN o proxy)“, portando “all’individuazione delle 63 caselle PEC ai cui Utilizzatori è stata inviata la comunicazione ai sensi dell’art. 34 del Regolamento” (v. verbale del 25 settembre 2019, p. 3).
Successivamente, “in seguito all’attività ispettiva condotta […] in data 24 e 25 settembre 2019, InfoCert ha dato incarico alla società Yarix di effettuare un’ulteriore verifica sulla qualità del processo di analisi svolta e dei risultati ottenuti[…] in data 09/10/2019, Yarix ha fornito a InfoCert un report conclusivo sull’attività di analisi forense […], sulla base del quale è emersa la presenza di 17 caselle PEC compromesse, ulteriori rispetto alle 63 rilevate nel report dell’analisi forense fornito al Garante in data 06/09/2019” (v. nota dell’11 ottobre 2019, p. 1, e all. 1 e 2 alla medesima nota).
2.4.2.3. La revisione del processo di attivazione di caselle PEC tramite intermediario
Con riferimento al processo di attivazione di caselle PEC tramite intermediario, InfoCert ha dichiarato che, a partire dal 31 luglio 2019, è operativo un nuovo processo che prevede che “l’intermediario fornisce ad InfoCert l’e-mail di contatto del cliente, indispensabile per l’invio delle comunicazioni di attivazione e reset”; “l'intermediario esegue la procedura di attivazione, fornendo tutti i dati necessari ed effettuando obbligatoriamente l’upload del contratto sul portale di autogestione InfoCert”; “al termine della procedura di attivazione, InfoCert invia automaticamente all’e-mail di contatto dell’utente finale una comunicazione contenente un link alla pagina di attivazione della casella legalmail del sito webmail di InfoCert. Il link comprende un token di autenticazione univoco, utilizzabile una sola volta, e soggetto a scadenza”; “dopo aver ricevuto l’e-mail inviata dai sistemi di InfoCert, l’utente: accede alla pagina di attivazione; sceglie la propria password nel rispetto delle policy previste e la inserisce in tale pagina; inserisce le informazioni di sicurezza quali: e-mail di contatto, numero di cellulare e domanda segreta per il recupero della password; l’e-mail di contatto, una volta confermata o modificata, risulta immodificabile da parte degli operatori dell’intermediario” (v. all. 4 al verbale del 30 luglio 2019, p. 6).
2.4.2.4. L’obbligatorietà della modifica della password al primo utilizzo
Con riferimento alla password policy relativa alle credenziali di autenticazione utilizzate per l’accesso alle caselle PEC, InfoCert ha dichiarato che, a partire dal 3 luglio 2019, con riferimento all’accesso alla casella PEC tramite webmail, “l’utilizzatore finale deve impostare una password nuova e rispondere alle domande di sicurezza all’atto del primo accesso al sistema” (v. all. 3 al verbale del 30 luglio 2019, p. 11), mentre, solo in un secondo momento, è stato reso operativo un meccanismo che inibisce l’accesso via client a una casella PEC nel caso in cui la password di prima attivazione non sia stata ancora modificata.
Con riferimento agli utilizzatori di caselle PEC che, alla data del 3 luglio 2019, non avevano mai effettuato una modifica della password per l’accesso alle stesse, InfoCert ha dichiarato che “avvierà a stretto giro una campagna informativa mirata e “multi canale”, al fine di invitare tutti gli utilizzatori delle caselle ad effettuare un cambio password per motivi di sicurezza” (v. nota del 6 settembre 2019, p. 1). Successivamente, InfoCert ha rappresentato che, “in relazione al 1.032.358 di caselle PEC attivate successivamente a maggio 2015 e per le quali alla data del 6 settembre 2019 non era mai stato effettuato un cambio password da parte dell’Utilizzatore, la Società ha definito un piano di azioni che verranno poste in essere nei prossimi mesi. In particolare, per circa 750.000 caselle PEC che non sono mai state oggetto di accesso, InfoCert provvederà a impostare l’obbligo di cambio della password al primo accesso. Invece, per le caselle PEC che sono state oggetto di almeno un accesso, la Società provvederà, in un primo momento, a inviare degli avvisi agli Utilizzatori delle stesse, invitandoli a modificare la password di accesso e, successivamente, a impostare l’obbligo di cambio della password, tenendo anche conto del fatto che alcune di queste caselle PEC potrebbero essere utilizzate da software applicativi di Clienti (società e pubbliche amministrazioni)” (v. verbale del 24 settembre 2019, p. 2).
Con riferimento alle caselle PEC attivate successivamente al mese di maggio 2015 che non sono mai state oggetto di accesso da parte dell’utilizzatore, InfoCert ha successivamente rappresentato che “una seconda analisi più approfondita dei log di tutti i canali di accesso (web, smtp, pop3/imap) riduceva tale numero a 459.530 caselle PEC, poiché solo queste ultime non erano state effettivamente accedute dagli Utilizzatori. Ciò premesso, con riferimento allo stato di avanzamento del piano di azioni definito dalla Società, rappresentiamo che su tali 459.530 caselle PEC – nel periodo compreso tra il 3 e il 14 ottobre 2019 – è stata effettuata l’operazione di forzatura immediata della scadenza delle password” (v. nota del 21 febbraio 2020, p. 1). Inoltre, InfoCert ha dichiarato che “per quanto concerne la restante parte delle 1.032.358 caselle PEC attivate dopo il mese di maggio 2015 per cui non risultava un cambio password - che, tolte le 459.530 mai accedute, ammontano a 572.838 -, queste sono state ricondotte al processo di gestione delle caselle PEC attivate antecedentemente al mese di maggio 2015 e per cui non risultavano cambi password recenti” (v. nota del 21 febbraio 2020, p. 2).
Con riferimento alle caselle PEC attivate successivamente al mese di maggio 2015 che sono state oggetto di almeno un accesso, e alle caselle PEC attivate antecedentemente al mese di maggio 2015 per le quali non sono state registrate le eventuali modifiche della password effettuate prima di tale data, InfoCert ha dichiarato che “ha deciso di mettere in atto delle azioni di avviso e successiva forzatura della scadenza password nei confronti di tutte le caselle che rispecchiassero tutti i seguenti criteri, verificati prima di ciascun intervento: ultimo cambio password registrato assente o antecedente a 12 mesi; attivazione antecedente a 12 mesi; casella PEC NON acceduta tramite applicativi. Il piano di intervento, che ha interessato alla data attuale un totale di 1.601.314 caselle PEC, prevede quattro fasi” (v. nota del 21 febbraio 2020, p. 2).
In particolare, InfoCert ha rappresentato che nelle prime due fasi – eseguite, rispettivamente nei giorni 27-28 novembre 2019 e nei giorni 17-19 dicembre 2019 – ha inviato un “avviso all’Utilizzatore, con invito al cambio della password”; nella terza fase, ultimata nel mese di febbraio 2020, ha inviato un “ultimo avviso all’Utilizzatore, in prossimità dell’impostazione della scadenza password”; mentre nella quarta e ultima fase, la conclusione era prevista nella prima settimana di giugno 2020, avrebbe effettuato una “forzatura della scadenza password”, obbligando gli utilizzatori delle caselle PEC a modificare la propria password (v. nota del 21 febbraio 2020, p. 2, e fasc. n. 149356, nota del 24 aprile 2020, pp. 6-7).
2.4.2.5. Le azioni intraprese nei confronti degli intermediari
InfoCert ha dichiarato di aver intrapreso, a seguito della violazione, azioni nei confronti degli intermediari, indicando le misure minime di sicurezza da adottare nella gestione delle password e degli altri dati, riguardanti, in particolare, la “Sicurezza di Processo”, la “Formazione del Personale” e la “Sicurezza delle Postazioni di Lavoro” (v. all. 3 al verbale del 30 luglio 2019, p. 11, e all. 4 al medesimo verbale, p. 5), con l’introduzione, altresì, di modalità di verifica delle predette misure da parte di InfoCert.
Inoltre, InfoCert ha rappresentato di aver definito “una regola di audit specifica per il controllo degli Intermediari del Servizio di Posta Elettronica Certificata che integra la procedura aziendale di programmazione e gestione degli audit di prima, seconda e terza parte” (all. 3 al verbale del 30 luglio 2019, p. 8).
2.4.3. Altre misure di sicurezza adottate nell’ambito del servizio PEC
2.4.3.1. La conservazione del log certificato e le modalità di accesso allo stesso da parte dei soggetti autorizzati
La Società, come previsto dalle regole tecniche del servizio PEC, memorizza in un registro (c.d. log certificato) i dati relativi alle operazioni svolte durante le fasi di trattamento dei messaggi PEC presso i punti di accesso, ricezione e consegna.
Al riguardo, la Società ha dichiarato che “il log certificato confluisce, con cadenza giornaliera, sul sistema di conservazione a norma, utilizzato anche per erogare il servizio di conservazione offerto alla generalità dei clienti di InfoCert, soggetto accreditato presso Agid”(v. verbale del 31 luglio 2019, p. 4); gli operatori di InfoCert a ciò autorizzati provvedono a evadere le richieste di esibizione del log certificato sia mediante l’applicazione web denominata “LegalDoc”, raggiungibile da rete pubblica, sia utilizzando un’apposita procedura batch che estrae automaticamente i dati richiesti dai file del log certificato presenti nel sistema di conservazione a norma (v. verbale del 31 luglio 2019, pp. 4-5).
Nel corso dell’accertamento ispettivo è emerso che, ancorché gli operatori autorizzati potessero accedere al bucket contenente il log certificato con la propria utenza nominale, "l’accesso alla predetta applicazione web è stato effettuato mediante credenziali di autenticazione non nominali (utenza applicativa) che sono utilizzate dal team Legalmail di InfoCert composto da 8 persone” (v. verbale del 31 luglio 2019, pp. 4-5, e all. 13, 14 e 15 al medesimo verbale).
Dall’esame dei log degli accessi e delle operazioni effettuate sul bucket contenente il log certificato, è stato, inoltre, constatato che la maggior parte delle operazioni di ricerca svolte nel periodo che va dal 1° febbraio al 31 luglio 2019 è stata effettuata con la predetta utenza non nominale XX condivisa tra più operatori di InfoCert (v. all. 7 alla nota del 6 settembre 2019).
Al riguardo, InfoCert ha rappresentato che la società “ha intrapreso alcune iniziative di enforcement in relazione all’accesso al bucket che contiene il log certificato. In particolare, alla data del 6 agosto 2019, la Società aveva provveduto a inibire, per le sole utenze applicative (non nominali), la funzionalità di esibizione e a limitare l’accesso al bucket contenente il log certificato a solo quattro utenze nominali”. Inoltre, “ha previsto un’altra modifica applicativa del servizio di conservazione, che sarà operativa entro ottobre 2019 e che consentirà di impostare, per ciascun bucket, l’inibizione delle operazioni di esibizione per collegamenti da rete pubblica” (v. verbale del 24 settembre 2019, p. 2). Successivamente, InfoCert ha dichiarato che, a partire dall’8 ottobre 2019, è stato inibito “l’accesso da rete pubblica al bucket di conservazione relativo ai log certificati del servizio PEC di InfoCert” (v. nota del 21 febbraio 2020, pp. 3-4).
InfoCert ha inoltre dichiarato che “la Società non ha provveduto a modificare le password delle utenze applicative per l’accesso al bucket del log certificato, che erano utilizzate anche dal team Legalmail di InfoCert” (v. verbale del 24 settembre 2019, p. 2).
Sul punto, nel documento fornito da InfoCert nel corso delle attività ispettive, denominato “Prodotto Legaldoc - IT/Password Policy”, del 1° luglio 2019 relativo alle utenze abilitate all’accesso al servizio di conservazione a norma si evince che “non è implementata la scadenza periodica della password” (v. all. 1 al verbale del 1° agosto 2019).
All’esito delle verifiche condotte sulla documentazione e sulle informazioni acquisite nel corso dell’istruttoria, è stato constatato che il log certificato di InfoCert è composto da diversi campi, tra cui il mittente, l’oggetto e i destinatari del messaggio PEC.
È inoltre stato verificato che l’oggetto di un messaggio PEC, presente all’interno del log certificato, può contenere dati personali di varie tipologie (riferiti o riferibili al mittente, al destinatario o a terzi), ivi inclusi dati appartenenti a categorie particolari o dati relativi a condanne penali e reati (artt. 9, par. 1, e 10 del Regolamento).
2.4.3.2. Il tracciamento degli accessi e delle operazioni compiute dai soggetti autorizzati
InfoCert ha fornito copia dei log di tracciamento degli accessi e delle operazioni effettuate sui sistemi operativi, sui database e sull’applicazione “Autogestione”, nonché quelli relativi agli accessi e alle operazioni svolte, mediante le utenze nominali e applicative di InfoCert, nel periodo che va dal 1° febbraio al 31 luglio 2019, sul bucket contenente il log certificato (v. all. 7 della nota del 6 settembre 2019).
Con riferimento ai log di tracciamento degli accessi e delle operazioni effettuate sul sistema di backend del servizio PEC in data 31 luglio 2019, è stato constatato che i log forniti da InfoCert (v. all. 6 della nota del 6 settembre 2019) risultano essere un mero elenco dei comandi eseguiti senza l’indicazione di ulteriori informazioni (quali ad esempio il timestamp e l’utente che ha eseguito il comando) e non includono le operazioni di copia dei file contenenti i messaggi presenti nelle mailbox delle caselle PEC.
Al riguardo, InfoCert ha rappresentato che “il sistema non effettua il tracciamento delle operazioni di copia di file e che il sistema utilizzato per l’accesso sistemistico degli amministratori di sistema non registra informazioni ulteriori rispetto a quelle fornite. Inoltre, nel tracciato dei log non è presente un identificativo di sessione che consenta la correlazione tra i log delle operazioni e i log degli accessi. Sono in corso alcuni interventi per realizzare una integrazione tra i due log” (v. verbale del 24 settembre 2019, p. 4).
Con riferimento ai log relativi agli accessi e alle operazioni effettuate sul bucket contenente il log certificato (generati dal sistema di conservazione a norma “LegalDoc”), è stato constatato che gli stessi (v. all. 7 della nota del 6 settembre 2019) sono composti dai seguenti campi: l’identificativo dell’utente (username), l’identificativo del bucket, il tipo di operazione effettuata, la data e il numero di operazioni compiute.
Al riguardo, InfoCert ha successivamente rappresentato che “sono disponibili log ulteriori a quelli già forniti con la nota del 6 settembre 2019 che contengono il timestamp delle operazioni compiute e gli accessi al servizio di conservazione e ha fornito copia di tali log” (v. verbale del 24 settembre 2019, pp. 4-5, e all. 6 al medesimo verbale).
Dall’esame dei predetti log relativi agli accessi e alle operazioni effettuate sul bucket contenente il log certificato, è emerso che gli stessi non consentono di individuare né il dispositivo da cui è stata effettuata l’operazione (ad esempio, tramite l’indirizzo IP del client utilizzato), né l’esito dell’operazione, né la sessione di lavoro nell’ambito della quale sono state effettuate diverse operazioni (ad esempio, tramite un identificativo di sessione).
2.5. La valutazione d’impatto sulla protezione dei dati
Nel corso dell’attività ispettiva InfoCert ha fornito, inizialmente, la valutazione di impatto sulla protezione dei dati, aggiornata al 30 maggio 2018, relativa al trattamento effettuato per l’erogazione del servizio PEC (v. verbale del 1° agosto 2019, p. 3, e all. 5 al medesimo verbale), trasmettendo successivamente una nuova versione della valutazione di impatto sulla protezione dei dati relativa al trattamento effettuato per l’erogazione del servizio PEC (v. allegato alla nota del 23 settembre 2019); al riguardo, InfoCert ha dichiarato che “sulla base dell’algoritmo utilizzato per individuare i trattamenti da sottoporre a valutazione di impatto - la DPIA è stata condotta unicamente sui trattamenti relativi al servizio PEC […] (relativi alla registrazione anagrafica e i dati contrattuali, gestione scadenze-LEGALMAIL, gestione dismissione / cessazione/ recesso/ disdetta/rescissione, recall), che utilizzano, rispettivamente, le application St Legalmail-enterprise, St TOP, St Provisioning”, rappresentando che “non è stata condotta una valutazione di impatto sul servizio di gestione delle caselle di PEC e il trattamento dei dati personali ivi contenuti […]” (v. verbale del 24 settembre 2019, p. 5).
Con riferimento alla mancata esecuzione della valutazione d’impatto per i trattamenti relativi alla “trasmissione messaggi e gestione del servizio di trasmissione”, alla “conservazione dei log certificati” e all’“attivazione copia messaggi su cartella clone”, determinata anche dalla mancata individuazione nel registro del trattamento dei dati di categorie particolari (art. 9 del Regolamento) e dei dati giudiziari (art. 10 del Regolamento) nell’ambito del servizio PEC, che invece risultano presenti nel log certificato in ragione dell’utilizzo del servizio PEC in diversi contesti da parte di numerose tipologie di soggetti (avvocati, medici, tribunali, commercialisti, pubbliche amministrazioni, aziende sanitarie, ecc.), InfoCert ha dichiarato che “tali categorie di dati non sono state indicate in quanto la Società ha ritenuto che il servizio PEC è generico dal momento che si limita a garantire il trasporto, con garanzia di consegna e integrità dei messaggi, non entrando nel merito del relativo contenuto, e a generare e conservare il log certificato” (v. verbale del 24 settembre 2019, p. 5).
3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi XX, ai sensi dell’art. 166, comma 5, del Codice
Con nota del 6 settembre 2021, l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi nell’ambito dell’attività istruttoria, ha notificato a InfoCert, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sia in relazione alla gestione della violazione di dati personali occorsa, più in generale, per i trattamenti svolti dalla Società per la gestione del servizio PEC, rilevando le seguenti violazioni, per aver agito:
a) in assenza di un accordo scritto idoneo a regolare i rapporti relativi alla protezione dei dati con Visura e gli altri 55 intermediari e grandi intermediari di cui la Società si avvale per la rivendita del servizio PEC, che effettuano i connessi trattamenti di dati personali per conto di InfoCert in qualità di responsabili del trattamento, in violazione dell’art. 28 del Regolamento (v. par. 2.1 del presente provvedimento);
b) senza riportare all’interno del registro delle attività di trattamento tutte le necessarie informazioni relative ai trattamenti di dati personali effettuati nell’ambito della gestione del servizio PEC, in violazione dell’art. 30 del Regolamento (v. par. 2.2 del presente provvedimento);
c) senza documentare in modo adeguato le violazioni dei dati personali occorse, in violazione dell’art. 33, par. 5, del Regolamento (v. par. 2.3.1 del presente provvedimento);
d) senza fornire tempestivamente agli interessati coinvolti informazioni adeguate sulla violazione dei dati personali occorsa, in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a), e degli artt. 12 e 34 del Regolamento (v. par. 2.3.2 del presente provvedimento);
e) senza mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (v. par. 2.4 del presente provvedimento), avendo la Società:
i. adottato processi di attivazione delle caselle PEC e di reset delle password per l’accesso alle stesse tramite intermediario nonché avendo Visura adottato una procedura di identificazione degli utilizzatori ai fini del rilascio delle credenziali di autenticazione (username e password di prima attivazione) di caselle PEC in favore di iscritti a Ordini professionali convenzionati, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
ii. omesso di adottare adeguati meccanismi di enforcement delle password, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
iii. con riferimento a condotte poste in essere da Visura, in qualità di responsabile:
omesso di utilizzare strumenti di crittografia per il trasporto dei dati nell’ambito delle funzionalità relative alla consegna delle credenziali di autenticazione e al reset della password in favore degli iscritti agli Ordini professionali convenzionati con Visura, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
utilizzato software di base, installati sui sistemi di trattamento utilizzati da Visura, obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
omesso di definire politiche interne di controllo della qualità delle password utilizzate per utenze tecniche, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
omesso di adottare adeguate misure a presidio della sicurezza applicativa, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
omesso di utilizzare tecniche crittografiche per la conservazione delle password degli utenti e conservato, in tal modo, in una forma che consentiva l’identificazione degli interessati, le credenziali di autenticazione per l’accesso alle caselle PEC in uso agli iscritti a Ordini professionali (username e password di prima attivazione) anche in un momento successivo all’attivazione della casella PEC, indipendentemente dal fatto che l’utilizzatore della casella PEC avesse o meno effettuato il cambio della password, in violazione dei principi di “limitazione della conservazione” e “integrità e riservatezza” di cui all’art. 5, par. 1, lett. e) e f), e dell’art. 32 del Regolamento;
iv. omesso di adottare adeguate misure di sicurezza nelle procedure di reset delle password e nella successiva consegna delle stesse agli utilizzatori, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
v. omesso di adottare idonee misure volte a rilevare accessi non autorizzati alle caselle PEC, le cui credenziali di autenticazione sono state coinvolte nella violazione in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
vi. omesso di vigilare sull’operato degli intermediari, agenti in qualità di responsabili del trattamento, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
vii. adottato inadeguate modalità di accesso al log certificato del servizio PEC di InfoCert, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
viii. adottato inadeguate modalità di tracciamento degli accessi e delle operazioni compiute sui sistemi di backend del servizio PEC dai soggetti autorizzati al trattamento, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento;
f) senza condurre un’adeguata valutazione d’impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento (v. par. 2.5 del presente provvedimento);
g) senza rispettare i principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione dell’art. 25, parr. 1 e 2, del Regolamento;
h) senza adottare misure tecniche e organizzative adeguate per garantire, e essere in grado di dimostrare, che il trattamento effettuato nell’ambito della gestione del servizio PEC fosse avvenuto in conformità al Regolamento, in violazione del principio “responsabilizzazione” di cui agli artt. 5, par. 2, e 24 del Regolamento.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Ai sensi dell’art. 83, par. 2, lett. f) del Regolamento, il predetto titolare è stato, altresì, invitato a far conoscere le iniziative intraprese ovvero che si intendono intraprendere da parte della Società per conformare i trattamenti in corso, relativi alla gestione del servizio PEC, alla disciplina in materia di protezione dei dati personali, con particolare riferimento a:
la revisione del registro delle attività di trattamento, assicurando che contenga tutte le informazioni previste dall’art. 30, par. 1, del Regolamento;
la disciplina dei rapporti con i responsabili del trattamento, in conformità all’art. 28 del Regolamento;
un’adeguata valutazione d’impatto sulla protezione dei dati, in conformità all’art. 35 del Regolamento;
la modifica della password dell’utenza non nominale XX e l’adozione di adeguate misure per assicurare che la stessa non sia condivisa tra più soggetti, in conformità all’art. 32 del Regolamento.
Con nota del 5 novembre 2021, la Società ha presentato le proprie memorie difensive ai sensi dell’art. 166, commi 6 e 7, del Codice, nonché dell’art. 18, comma 1, dalla l. 24 novembre 1981, n. 689, senza chiedere di essere audita.
4. Esito dell’attività istruttoria
In via preliminare, stante quanto sollevato dalla Società in sede di memorie difensive con riferimento all’asserita tardività della comunicazione di cui all’art. 166, comma 5, del Codice (v. la suddetta nota del 6 settembre 2021) rispetto al termine previsto dal Regolamento del Garante n. 2/2019, occorre formulare alcune precisazioni in ordine ai termini procedurali applicabili alla notificazione delle presunte violazioni commesse dalla Società, come previsti dal Regolamento del Garante n. 2/2019.
Premesso che al procedimento amministrativo in oggetto non si applica il termine di 90 giorni di cui alla l. del 24 novembre 1981, n. 689 ma quello pari a 120 giorni specificatamente individuato, ai sensi dell’art. 154, comma 3 e dell’art. 166, comma 9 del Codice, con il predetto Regolamento del Garante n. 2/2019, si evidenzia che detto termine decorre “dall’accertamento della violazione” (v. Tabella B, parte 2) del Regolamento del Garante n. 2/2019) e che la data dell’accertamento è da individuarsi nel momento in cui tanto la raccolta degli elementi istruttori quanto la valutazione dei medesimi da parte dell’amministrazione procedente siano state portate a compimento (v., in tal senso, Cass. dell’8 agosto 2005, n. 16642; v., anche, Cass. Sez. II civ. del 28 novembre 2012, n. 21114 e Cass. Sez. II civ. del 22 aprile 2016, n. 8204).
Al riguardo, per quanto in particolare concerne l’attività delle Autorità amministrative indipendenti, merita di essere segnalato che la Suprema Corte, nel solco di consolidati indirizzi giurisprudenziali, ha stabilito che “l’attività di accertamento dell'illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il fatto nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017)” (v. Cass. Civ. Sez. II, n. 31635/2018).
Analogamente, con specifico riferimento agli illeciti amministrativi di cui alla normativa in materia di protezione dei dati personali, la Suprema Corte ha poi recentemente ribadito che “essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad essa relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018)” (Cass. civ., sez. 2, n. 18288/2020). Pur riferendosi tale giurisprudenza al termine di 90 giorni previsto dall’art. 14 della l. 689/1981, non può negarsi che i principi ivi individuati trovino applicazione anche in relazione all’art. 166, comma 5, del Codice, dal momento che tale ultima disposizione, a seguito delle modifiche apportate dal d.lgs.101/2018, reca la nuova disciplina relativa ai procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, prima di allora definita esclusivamente tramite il rinvio operato dal Codice stesso alla menzionata l. 689/1981. Ne discende, ad ogni buon conto, che, in linea di principio, quanto più complessa è la fattispecie oggetto del procedimento amministrativo tanto più tempo è richiesto per l’elaborazione e la valutazione degli elementi istruttori acquisiti.
Sul punto si fa peraltro presente che, come rilevato dalla giurisprudenza di legittimità, in caso di più violazioni connesse fra di loro, “la congruità del tempo complessivamente impiegato” dall’amministrazione procedente ai fini dell’accertamento delle predette violazioni è da intendersi come strettamente connessa “alla complessità dell'attività di indagine” posta in essere dalla medesima (v. Cass. Sez. I civ. del 4 aprile 2018, n. 8326).
Preme, inoltre, considerare che il suindicato termine di 120 giorni “è sospeso dal 1° al 31 agosto di ciascun anno e riprende a decorrere dalla fine del periodo di sospensione” (v. art. 6, comma 1 del Regolamento del Garante n. 2/2019).
Alla luce di quanto sopra chiarito in ordine ai termini procedurali applicabili al caso di specie, come previsti dalla normativa vigente, deve ritenersi che la notificazione delle presunte violazioni commesse dalla Società, effettuata dall’Ufficio con nota del 6 settembre 2021, non sia stata intempestiva, tanto più se si considerano, da un lato, il contesto emergenziale dovuto alla diffusione del Covid-19 entro il quale è stata condotta l’attività istruttoria e ispettiva in questione e, dall’altro, l’elevato grado di complessità della fattispecie oggetto del presente procedimento amministrativo, che appare peraltro testimoniato anche dallo stesso operato della Società, sia in riferimento all’accertamento della portata della violazione dei dati personali, che all’assolvimento dell’obbligo di comunicazione delle violazioni di dati personali agli interessati ai sensi dell’art. 34 del Regolamento, avvenuto mediante l’invio di una pluralità di comunicazioni.
Ciò anche tenuto conto che la fattispecie oggetto del presente procedimento amministrativo coinvolge, oltre a InfoCert, anche Visura e decine di altri intermediari nei confronti dei quali sono state avviate separate istruttorie, e che gli elementi acquisiti nell’ambito di tali istruttorie (come, ad esempio, la regolazione dei rapporti in essere ai sensi dell’art. 28 del Regolamento) sono risultati imprescindibili anche ai fini della definizione del quadro istruttorio di cui al presente procedimento, operando tutti i suddetti intermediari come responsabili del trattamento nei confronti di InfoCert, quale titolare del trattamento e punto nodale dell’intera rete organizzativa di cui la stessa Società si avvale per la rivendita del servizio PEC.
Quanto, da ultimo, all’applicabilità al caso di specie dell’art. 22, comma 13, del d.lgs. 101/2018 (che ha modificato il Codice al fine di adeguarlo al nuovo quadro normativo europeo introdotto con il Regolamento), per cui, per i primi otto mesi dalla data di entrata in vigore del d.lgs. 101/2018, l’Autorità era chiamata a tenere conto, ai fini dell'applicazione delle sanzioni amministrative e se compatibile con il Regolamento, “della fase di prima applicazione delle disposizioni sanzionatorie”, si fa presente che, nell’ambito delle proprie memorie difensive, InfoCert ha rappresentato, in particolare, che “scopo precipuo del suddetto intervento da parte del legislatore è stato quello di fornire un’espressa indicazione all’Autorità circa la necessità di tenere in considerazione, in relazione alle violazioni della disciplina in materia di protezione dei dati personali e ai fini dell’applicazione delle sanzioni amministrative, l’intenso sforzo posto in capo ai soggetti che effettuano trattamenti di dati personali al fine di adottare le opportune azioni richieste per adeguare la propria struttura e i propri trattamenti agli elementi di novità apportati dal Regolamento a fronte del notevole aumento dei poteri sanzionatori dell’Autorità”, desumendone che, “anche ai fini del presente procedimento sanzionatorio, […l’]Autorità […debba tenere] in debita considerazione la circostanza che le violazioni contestate a InfoCert si inseriscono nel periodo temporale immediatamente successivo all’avvio della cogenza della disciplina in materia di protezione dei dati personali come ridisegnata nella sua architettura dal Regolamento e dalla disciplina nazionale volta ad adeguare la normativa interna alle disposizioni del Regolamento stesso” (v. nota del 5 novembre 2021, spec. pp. 38-39).
A tal riguardo, si evidenzia che, come anche affermato dalla stessa InfoCert, tale disposizione fa riferimento a violazioni della disciplina in materia di protezione dei dati personali concretizzatesi nell’arco temporale ricompreso entro gli otto mesi dalla data di entrata in vigore del menzionato decreto.
Ciò vale, tuttavia, solo per violazioni che abbiano esaurito i loro effetti entro il predetto periodo, non anche per quelle violazioni di carattere continuativo i cui effetti si siano protratti anche successivamente. Infatti, come anche riconosciuto in giurisprudenza, nell’illecito permanente il comportamento contra ius, oltre a produrre l’evento, lo alimenta continuamente per tutto il tempo in cui questo perdura, con la conseguenza che l’antigiuridicità viene meno solo con la cessazione del comportamento dell’agente.
Nel caso di specie, le violazioni contestate a InfoCert riguardano condotte che hanno prodotto effetti oltre la menzionata data del 19 maggio 2019, relative non solo alla violazione in esame, ma più in generale, ai trattamenti effettuati nell’ambito della gestione del servizio PEC, come rappresentato nel presente provvedimento, solo in parte relative ad adempimenti introdotti dal nuovo quadro normativo europeo.
4.1. Rapporti tra titolare e responsabile del trattamento: la mancata disciplina dei rapporti con gli intermediari
Alla luce di quanto emerso dall’attività istruttoria, risulta accertato che, fino al 19 giugno 2019, in violazione dell’art. 28 del Regolamento, i trattamenti effettuati da Visura per conto della Società nell’ambito del servizio PEC non sono stati disciplinati adeguatamente da un contratto o da altro atto giuridico stipulato in forma scritta e avente tutti i requisiti analiticamente individuati da tale disposizione (spec. parr. 3 e 9). Infatti, solo in data 20 giugno 2019, la Società ha regolato i rapporti con Visura in relazione ai trattamenti effettuati dalla stessa, che “hanno ad oggetto i dati personali degli interessati, clienti di Visura, che intendono acquistare, per conto proprio o in favore di terzi, uno o più dei Servizi di InfoCert rivenduti e commercializzati” (v. all. 6 alla nota del 25 giugno 2019).
Sotto tale profilo, l’Autorità ha poi avviato separate istruttorie per verificare i trattamenti di dati personali effettuati in tale contesto dagli ulteriori 55 intermediari di cui la Società si avvaleva per la rivendita del servizio PEC, senza aver stipulato un contratto o altro atto giuridico adeguato ai sensi dell’art. 28 del Regolamento.
In riferimento al tema della mancata disciplina dei rapporti con gli intermediari, nelle proprie memorie difensive, la Società ha rappresentato che, “pur in assenza di formalizzazione delle nomine degli intermediari quali responsabili, prevedeva che i propri rivenditori effettuassero le suddette operazioni di trattamento mediante un’applicazione web denominata “Autogestione”, le cui modalità di utilizzo erano analiticamente disciplinate nel relativo manuale utente per la gestione dei processi relativi all’attivazione e alla gestione delle caselle Legalmail”; in tal senso, “in assenza di uno specifico atto di nomina, il contratto con l’intermediario e le concrete modalità di esecuzione delle attività, come descritte nel manuale utente [suindicato], hanno rappresentato l’atto giuridico deputato a normare i ruoli contrattuali e, nei fatti, definivano il solco entro il quale l’attività dell’intermediario, anche con riferimento al trattamento di dati, era, in concreto, effettivamente svolta” (v. nota del 5 novembre 2021, pp. 8-9); a partire dal mese di giugno 2019, InfoCert poi ha aggiornato e adottato formalmente un nuovo modello di contratto ai sensi dell’art. 28 del Regolamento, che, in particolare, “include la nomina dell’intermediario a responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, nonché le indicazioni circa le misure di sicurezza che l’intermediario è tenuto a rispettare nell’uso della piattaforma”, successivamente addivenendo alla sottoscrizione di tale contratto con tutti gli intermediari con i quali fosse ancora in essere un rapporto contrattuale, con la precisazione che, con alcuni di essi, il rapporto era nel frattempo cessato, e che, nel corso dell’istruttoria, due società erano state erroneamente qualificate da InfoCert come intermediari, sebbene non avessero svolto in concreto attività di rivendita del servizio PEC, senza trattare quindi dati personali per conto della stessa (v. nota cit., pp. 9-10; v. in tal senso anche p. 34).
Non, infatti, può ritenersi sufficiente, come sostenuto dalla Società, la circostanza che quest’ultima avesse messo a disposizione degli intermediari operanti in qualità di responsabili del trattamento un manuale sulla gestione dei processi relativi all’attivazione e alla gestione delle caselle di posta elettronica certificata. Al riguardo, si evidenzia, infatti, che l’assolvimento dell’obbligo previsto dall’art. 28, par. 3, del Regolamento richiede l’individuazione in un contratto (o in un altro atto giuridico parimenti vincolante) di tutti i requisiti previsti dalla succitata disposizione, solo essa potendo assicurare un’adeguata regolazione del rapporto tra il titolare e il responsabile del trattamento e, conseguentemente, il soddisfacimento di tutte le garanzie sostanziali connesse (v. cons. n. 81 del Regolamento; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. punto 102). Nel caso in esame, il suddetto manuale era destinato a fornire una guida all’applicazione in uso agli intermediari, ma nulla prevedeva, in particolare, circa il ruolo da essi assunto in relazione ai trattamenti di dati personali effettuati dagli intermediari nella rivendita delle caselle PEC per conto della Società, i relativi impegni in materia di riservatezza, le misure di sicurezza da adottare presso gli intermediari, il ricorso a eventuali ulteriori responsabili del trattamento, l’esercizio dei diritti da parte degli interessati, gli obblighi in caso di intervenute violazioni di dati personali, le azioni da intraprendere in caso di termine dei servizi relativi al trattamento (v. art. 28, par. 3, del Regolamento).
In esito alle separate istruttorie avviate nei confronti degli intermediari, sebbene in taluni casi (evidenziati anche dalla Società) non siano stati rilevati gli estremi di una violazione dell’art. 28 del Regolamento (in ragione del ruolo svolto in concreto da tali soggetti nell’ambito della rivendita del servizio PEC), nella maggior parte di essi risulta essersi verificata una violazione di tale previsione della Società in qualità di titolare del trattamento, protratta, in riferimento a ciascuno degli intermediari operanti in qualità di responsabile del trattamento, sino alla data della effettiva sottoscrizione del nuovo modello di accordo adottato dalla Società.
4.2. Il registro delle attività di trattamento: l’incompletezza e l’inadeguatezza delle informazioni ivi riportate
Ai sensi dell’art. 30 del Regolamento, il titolare del trattamento deve tenere, in forma scritta, anche in formato elettronico, un registro delle attività di trattamento svolte sotto la propria responsabilità, che deve contenere tutte le informazioni indicate dal par. 1 del medesimo art. 30.
Con riguardo alla questione dell’incompletezza delle informazioni presenti nel registro delle attività di trattamento illustrata nel paragrafo 2.2, la Società ha rappresentato nelle proprie memorie difensive che “la mancata inclusione iniziale nel registro dei trattamenti dell’attività di trattamento relativa alla “Attivazione funzione del Servizio PEC di copia messaggi su caselle clone gestite su ambiente e software esterni” non debba in alcun modo attribuirsi a un’omissione volontaria di InfoCert, bensì alla circostanza che tale attività di trattamento, nonostante gli sforzi messi in campo dalla scrivente società, non era stata accidentalmente individuata […] a cagione della complessità e della numerosità dei trattamenti oggetto di mappatura” (v. nota del 5 novembre 2021, p. 11); inoltre, ad avviso della Società, “non è corretto affermare che il registro dei trattamenti mancasse dell’indicazione dei responsabili del trattamento”, pur coincidendo essa con la mera “[…]indicazione generica dell’esistenza o meno di responsabili esterni, per ogni data attività di trattamento”; peraltro, “InfoCert manteneva in parallelo una lista dei soggetti nominati quali responsabili del trattamento e delle nomine ricevute, nella quale[, tuttavia,] i rivenditori delle caselle PEC non erano presenti poiché non erano ancora stati nominati, come dichiarato alla stessa Autorità” (v. nota cit., pp. 11-12). InfoCert ha, in ogni caso, dato atto di aver “provveduto a integrare il proprio registro delle attività di trattamento con le informazioni segnalate come mancanti all’esito delle attività ispettive”, evidenziando altresì di aver assunto nuove iniziative in ordine alle modalità di gestione degli adempimenti in materia di trattamento dei dati personali (v. nota cit., p. 12; v. in tal senso anche p. 33).
In proposito si rileva, in primo luogo, che la tenuta adeguata di un registro, con le principali informazioni relative alle operazioni di trattamento svolte, costituisce un adempimento funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, del Regolamento). Infatti, una precisa compilazione delle informazioni relative ai responsabili del trattamento e la corretta qualificazione dei dati personali in relazione alle attività di trattamento relative alla “Trasmissione messaggi e gestione del servizio di trasmissione” e alla “Conservazione Log certificati” avrebbero potuto contribuire alla corretta applicazione degli artt. 28 e 35 del Regolamento da parte della Società in relazione a quanto evidenziato nei paragrafi 2.1 e. 2.5.
Al riguardo si rappresenta, pertanto, che, alla luce delle evidenze istruttorie, nella versione del registro delle attività di trattamento relative alla gestione del servizio PEC resa disponibile dalla Società il 29 luglio 2019 non erano indicate informazioni sull’attività di trattamento relativa alla “Attivazione funzione del Servizio PEC di copia messaggi su caselle clone gestite su ambiente e software esterni”; con riferimento alle attività di trattamento relative alla “Trasmissione messaggi e gestione del servizio di trasmissione” e alla “Conservazione Log certificati”, nonché le informazioni relative ai responsabili del trattamento di cui la Società si avvale per diverse attività di trattamento, con riguardo alle quali si precisa che non può ritenersi sufficiente la mera e generica indicazione dell’esistenza o meno di responsabili del trattamento, riferendosi l’art. 30, par. 1, lett. d), del Regolamento più precisamente alle “categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali”, in violazione dell’art. 30 del Regolamento.
Tali indicazioni sono state adeguatamente soddisfatte solo nella versione dell’estratto del Registro trasmessa dalla Società con la nota del 5 novembre 2021.
4.3. Sicurezza del trattamento
Dall’esame degli elementi rilevati nel corso dell’istruttoria, risulta accertato che InfoCert, in qualità di titolare del trattamento, non ha messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio nell’ambito della gestione del servizio PEC, in violazione del principio di “integrità e riservatezza” (artt. 5, par. 1, lett. f), del Regolamento) e degli obblighi in materia di sicurezza del trattamento (art. 32 del Regolamento), in relazione ai profili indicati nei seguenti paragrafi.
In particolare, i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza in ogni singola fase di gestione dello stesso al fine di non compromettere la sicurezza complessiva del servizio PEC, attesa la rilevanza che questo riveste nelle comunicazioni tra imprese, privati e la pubblica amministrazione e l’affidabilità che deve essere garantita nell’erogazione dello stesso. nonché le conseguenze poste in capo alle persone fisiche in caso di indisponibilità del servizio o violazione dell’integrità e della riservatezza dei dati oggetto di trattamento.
Al riguardo, si osserva, inoltre, che, per quanto concerne le criticità relative ai trattamenti effettuati da Visura e altri intermediari per conto della Società, il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento), anche attraverso procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate.
Al riguardo la Società, nelle memorie difensive (nota del 5 novembre 2021), ha rappresentato che “a seguito dell’attacco informatico de qua, InfoCert ha lavorato in modo organico e integrato al fine di innalzare il complessivo livello di sicurezza e presidio di tutti i propri servizi, con particolare enfasi riservata al servizio di PEC” (p. 18) e che “l’istruttoria avviata dall’Autorità ha consentito di venire a conoscenza di talune circostanze che non erano note a InfoCert. Le stesse hanno certamente rivelato la necessità di migliorare i processi e le misure di sicurezza” (p. 21).
4.3.1. L’inidoneità del processo di gestione delle caselle PEC tramite intermediario
Dagli elementi acquisiti nella complessa attività istruttoria, è stato constatato che, fino al 31 luglio 2019, il processo di attivazione di una casella PEC tramite intermediario prevedeva che, nel periodo che andava dalla conclusione della procedura di creazione di una casella PEC all’effettiva attivazione della stessa da parte dell’utilizzatore, un intermediario potesse visualizzare in chiaro, all’interno dell’applicazione “Autogestione”, le credenziali di autenticazione (username e password di prima attivazione) della casella PEC generate dal sistema.
In particolare, è emerso che, all’esito della procedura di creazione di una casella PEC, la consegna delle predette credenziali di autenticazione all’utilizzatore della casella PEC, e la definizione delle relative modalità (es. tramite e-mail o un’apposita applicazione web), erano demandate all’intermediario che, pertanto, veniva a conoscenza della password di prima attivazione; analogamente, fino al 31 luglio 2019, tramite la suddetta applicazione “Autogestione”, un intermediario poteva effettuare l’operazione di reset della password di accesso a una casella PEC, che poteva essere visualizzata in chiaro dallo stesso fino al momento della sua modifica da parte dell’utilizzatore (v. all. 3 del 30 luglio 2019, e all. 10 al verbale del 31 luglio 2019). Solo in un secondo momento, a far data dal 31 luglio 2019, InfoCert ha provveduto a implementare un nuovo processo di attivazione delle caselle PEC tramite intermediario, finalizzato a ridurre il rischio che quest’ultimo, sia in fase di attivazione della casella PEC che nella successiva fase di eventuale reset delle credenziali di autorizzazione possa conoscere le password di accesso alle caselle PEC o procedere all’archiviazione delle stesse.
Nel corso dell’istruttoria è stato constatato altresì che, fino al momento in cui è avvenuta la violazione dei dati personali in esame, il rilascio delle credenziali di autenticazione (username e password di prima attivazione) di caselle PEC in favore di iscritti a Ordini professionali convenzionati con Visura avveniva con una procedura di identificazione non idonea, in quanto a tale fine In particolare, è emerso che la funzionalità di “Richiesta parametri attivazione”, attraverso la quale un iscritto otteneva il rilascio delle credenziali di autenticazione della propria casella PEC, era accessibile senza il superamento di una procedura di autenticazione informatica, semplicemente fornendo alcuni dati personali a lui riferiti. In particolare, oltre al nome, cognome e codice fiscale dell’iscritto, veniva richiesto un ulteriore dato di riscontro al fine di accertare l’identità del titolare della casella PEC non idoneo, tuttavia, a garantire che tali credenziali di autenticazione fossero rese disponibili esclusivamente al titolare della casella PEC.
Infatti, con riferimento ad avvocati e praticanti, si evidenzia che la data di iscrizione è un’informazione disponibile a chiunque in quanto pubblicata sull’albo degli avvocati o sul registro dei praticanti (v. art. 2, comma 1, lett. d), e art. 4, comma 1, lett. d), del d.m. 16 agosto 2016, n. 178), mentre il numero di tesserino e il numero di iscrizione sono informazioni che, seppur non pubblicate nei predetti albi o registri, non possono essere considerati validi elementi di riscontro in quanto possono essere nella disponibilità, oltre che dell’iscritto, anche di altri soggetti (es. il numero di tesserino e quello di iscrizione sono noti al personale che opera presso gli uffici dell’Ordine, mentre il numero di iscrizione, talvolta presente nel timbro dell’avvocato, può essere conosciuto dai suoi assistiti). Con riguardo, invece, a periti agrari o periti agrari laureati, si evidenzia che il numero di iscrizione è un’informazione disponibile a chiunque in quanto pubblicata sull’albo professionale (v. art. 30 della legge 28 marzo 1968, n. 434, come modificato dal comma 1 dell’art. 53 del d.lgs. 26 marzo 2010, n. 59).
Le credenziali di autenticazione rese disponibili con la predetta modalità, sebbene finalizzata esclusivamente all’attivazione della casella PEC, potevano essere utilizzate anche per accedere alla stessa qualora l’iscritto non avesse provveduto a modificarla. Si evidenzia poi che InfoCert ha reso obbligatoria la modifica della password al primo utilizzo solo per le caselle PEC attivate successivamente al 3 luglio 2019.
Per tali ragioni, i processi di attivazione delle caselle PEC e di reset delle password per l’accesso alle stesse tramite intermediario con le predette modalità, nonché la procedura di identificazione degli utilizzatori adottata da Visura ai fini del rilascio delle credenziali di autenticazione (username e password di prima attivazione) di caselle PEC in favore di iscritti a Ordini professionali convenzionati, non risultano conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 par. 1, lett. b e par. 2, come sopra riportati.
La Società, nelle citate memorie difensive, per quanto concerne la contestazione dell’inidoneità del processo di gestione delle caselle PEC tramite intermediario, ha rappresentato che “a far data dal 31 luglio 2019, InfoCert ha implementato un nuovo processo di attivazione delle caselle PEC tramite intermediario. Tale processo è idoneo a eradicare per impostazione predefinita il rischio che l’intermediario, tanto al momento dell’attivazione della casella PEC quanto successivamente in caso di eventuale reset delle credenziali di autorizzazione, possa venire a conoscenza delle password di accesso alle caselle PEC ovvero possa in alcun modo procedere all’archiviazione di tali password” (nota del 5 novembre 2021, pp. 18 e 19), adottando così adeguate misure correttive.
4.3.2. L’inidoneità della password policy relativa alle credenziali di autenticazione per l’accesso alle caselle PEC: la mancata obbligatorietà della modifica della password
Alla luce di quanto complessivamente emerso nell’ambito dell’attività istruttoria è stato altresì constatato che, fino al 3 luglio 2019, non erano implementati meccanismi che obbligavano gli utilizzatori delle caselle PEC a modificare la propria password al suo primo utilizzo dopo l’attivazione della casella o dopo l’operazione di reset della stessa da parte di un intermediario. In un primo momento, infatti, è stato introdotto l’obbligo di modifica della password in caso di accesso alla casella tramite webmail, e solo successivamente è stato reso operativo anche un meccanismo di inibizione dell’accesso via client (es. IMAPS, POP3S, SMTPS) a una casella PEC, prima della modifica della password (v. par. 2.5.2.5).
L’assenza dei citati meccanismi di enforcement delle password – che, fino all’adozione di alcune misure correttive (v. par. 2.5.2.5), ha rappresentato un rischio per almeno un milione di caselle PEC – non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. b) e par. 2 del Regolamento già menzionati in precedenza.
La Società, con riferimento alla mancata obbligatorietà della modifica della password, nelle proprie memorie difensive ha comunicato di aver introdotto adeguate misure correttive, rappresentando che “in primo luogo, a partire dal 3 luglio 2019, InfoCert ha imposto un cambio password a tutti gli utenti che accedevano al servizio con risposta alle domande di sicurezza al momento del primo accesso al sistema. A far data dal giorno successivo (4 luglio 2019), InfoCert ha altresì adottato opportune azioni volte ad assicurare che tutte le password relative all’accesso ai servizi PEC – tanto quelle generate in automatico dal sistema “Autogestione” quanto quelle impostate dagli utenti e accettate dal sistema in occasione del cambio password sul sito di InfoCert – rispettino le medesime policy di robustezza previste per il 1° livello di sicurezza SPID (corrispondente al Level of Assurance “LoA2” dello standard ISO/IEC DIS 29115)” (v. nota del 5 novembre 2021, pp. 19-20); “Inoltre, nel mese di giugno 2020, InfoCert ha forzato la scadenza delle password per tutte le caselle PEC non applicative per cui non risultava essere stato effettuato un cambio di password nei dodici mesi precedenti, ma rispetto alle quali – a far data dal novembre 2019 – aveva indirizzato opportune comunicazioni di avviso agli utenti volte a provocare il cambio spontaneo delle password prima di procedere alla forzatura descritta. In aggiunta a quanto sopra, InfoCert ha provveduto altresì all’introduzione di un meccanismo che inibisce gli accessi via client (e.g., mediante protocolli IMAPS, POP3S, SMTPS) alle caselle PEC per le quali l’utente non abbia ancora proceduto alla modifica obbligatoria della password di prima attivazione” (v. nota cit., p. 20).
4.3.3. La mancata adozione di adeguate misure di sicurezza da parte di Visura
Nel corso dell’istruttoria è stato rilevato e contestato a InfoCert (v. lett. e), iii, del par. 3 del presente provvedimento), che Visura, in qualità di responsabile nell’ambito dei trattamenti posti in essere per conto della Società, ha posto in essere condotte suscettibili di violare gli obblighi di sicurezza di cui all’art. 32 del Regolamento, con particolare riguardo a:
- il mancato utilizzo di strumenti di crittografia per il trasporto dei dati nell’ambito delle funzionalità relative alla consegna delle credenziali di autenticazione e al reset della password in favore degli iscritti agli Ordini professionali convenzionati con Visura;
- l’utilizzo di software di base obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza;
- la mancata definizione di politiche interne di controllo della qualità delle password utilizzate per utenze tecniche;
- la mancata adozione di adeguate misure a presidio della sicurezza applicativa;
- la mancata adozione di tecniche crittografiche per la conservazione delle password degli utenti e conservato, in tal modo, in una forma che consentiva l’identificazione degli interessati, le credenziali di autenticazione per l’accesso alle caselle PEC in uso agli iscritti a Ordini professionali (username e password di prima attivazione) anche in un momento successivo all’attivazione della casella PEC.
Nelle proprie memorie difensive, come sopra già rilevato, la Società ha precisato di essere venuta a conoscenza di talune circostanze solo in occasione dell’istruttoria dell’Autorità che ha reso consapevole la stessa Società della “necessità di migliorare i processi e le misure di sicurezza”. Alcune delle criticità contestate derivavano, infatti, da “una iniziativa autonoma [di Visura] che esulava dalle istruzioni contenute nel manuale operativo o da successive istruzioni impartite da InfoCert”; “a partire dal luglio 2019, InfoCert ha intrapreso […] molteplici iniziative finalizzate al rafforzamento del monitoraggio svolto sugli intermediari, fra cui Visura” (nota del 5 novembre 2021, p. 21).
Al riguardo si osserva che il Regolamento, all’art. 32, ha introdotto anche in capo al responsabile del trattamento l’obbligo di adottare misure adeguate a garantire la sicurezza. Le misure che Visura ha omesso di adottare, in relazione agli aspetti sopra descritti, costituiscono lo standard minimo di sicurezza che un fornitore di servizi deve essere in grado di assicurare anche in assenza di specifiche istruzioni da parte del titolare.
Come rilevato nel paragrafo 4.3.6, benché InfoCert dovesse vigilare su Visura ai sensi dell’art. 32, par. 1, lett. d), del Regolamento, le predette condotte poste in essere nei trattamenti di dati personali effettuati per conto della Società da parte di Visura sono, pertanto, oggetto di esame e valutazione nell’ambito del separato procedimento avviato direttamente nei confronti di tale società.
Su tale base, quindi, si dispone, su tale base, limitatamente ai predetti profili di contestazione relativi a condotte poste in essere da Visura nei trattamenti effettuati per conto della Società, l’archiviazione del procedimento avviato nei confronti di InfoCert ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.
4.3.4. La mancata adozione di idonee misure di sicurezza per il reset delle password ritenute a rischio di compromissione e la consegna delle stesse agli utilizzatori
Dalle attività ispettive è emerso che, a seguito della violazione dei dati personali in esame, InfoCert, dopo aver sospeso l’accesso a circa 52.000 caselle PEC rivendute tramite Visura, ha provveduto a generare delle nuove password per 27.435 caselle PEC – le cui credenziali di autenticazione erano ritenute a rischio di compromissione (v. all. 6 al verbale del 29 luglio 2019) – e a trasmettere le stesse a Visura. Successivamente, Visura ha provveduto a comunicare le nuove password agli utilizzatori di tali caselle PEC utilizzando diverse modalità: (i) per circa 22.400 caselle PEC, la nuova password è stata inviata tramite un messaggio di posta elettronica ordinaria all’indirizzo dell’utilizzatore messo a disposizione dall’Ordine professionale di appartenenza; (ii) nei restanti casi, la nuova password è stata fornita a seguito di una richiesta dell’utilizzatore stesso, formulata attraverso un apposito servizio online di “forzatura della password” (che prevedeva l’inserimento di alcuni dati di riscontro noti all’utilizzatore e di copia di un suo documento di identità) ovvero tramite un servizio di assistenza on site (presso le sedi di alcuni Ordini professionali) o telefonica (tramite call center).
Inoltre, è emerso che le nuove password generate da InfoCert erano soggette all’obbligo di modifica solo in occasione del primo utilizzo tramite webmail, consentendo, per un determinato lasso di tempo, comunque l’accesso alla casella PEC tramite client (es. IMAPS, POP3S, SMTPS) senza tale obbligo.
Al riguardo, risulta evidente che le predette procedure di reset delle password e la successiva consegna delle stesse agli utilizzatori delle relative caselle PEC – che hanno comportato il trattamento di circa 27.000 credenziali di autenticazione, caratterizzato da elevati rischi derivanti dal loro possibile utilizzo a fini non autorizzati o illeciti – siano state effettuate in assenza di adeguate misure di sicurezza, con particolare riguardo a: (a) le modalità di consegna della nuova password, che era inviata, in chiaro, all’interno di un messaggio inviato all’indirizzo di posta elettronica ordinaria fornito dall’Ordine e non dall’utilizzatore; (b) la possibilità di utilizzare tali password per effettuare accessi alle caselle PEC tramite client, non essendo obbligataria la modifica delle stesse al primo utilizzo; (c) la gestione non automatizzata delle richieste di “forzatura della password”, svolta da parte del personale di Visura, con il connesso trattamento delle nuove password, in chiaro, generate da InfoCert.
L’assenza di adeguate misure di sicurezza nelle predette procedure di reset delle password e nella successiva consegna delle stesse agli utilizzatori non risulta, pertanto, conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. b), del Regolamento, che, per quanto di rilevanza in ordine al caso in esame, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
4.3.5. La mancata adozione di idonee misure per rilevare accessi non autorizzati alle caselle PEC le cui credenziali di autenticazione sono state coinvolte nella violazione
Nell’ambito dell’istruttoria è stato constatato che l’analisi forense svolta sui log di accesso alle caselle PEC, le cui credenziali di autenticazione sono state coinvolte nella violazione, è stata limitata alle “caselle per le quali erano stati riscontrati accessi da parte di indirizzi IP “con bassa reputazione” (rete TOR, VPN o proxy)”.
L’analisi forense svolta per conto di InfoCert non ha quindi preso in considerazione accessi che, pur non provenienti da indirizzi IP riconducibili a servizi che consentono di mascherare l'indirizzo IP reale (es. Tor, VPN o proxy), potrebbero essere stati comunque effettuati da soggetti non autorizzati. A titolo esemplificativo e non esaustivo, si evidenzia che la diffusione online di n. 26.921 credenziali di autenticazione di caselle PEC di avvocati e praticanti dell’Ordine degli avvocati di Roma (username e password di prima attivazione, in molti casi ancora valide in quanto non modificate dall’utilizzatore) potrebbe aver comportato – nel periodo che va dalle ore 14:25 circa (momento in cui i dati sono stati diffusi online) alle ore 20:51 (momento in cui è stato completato l’intervento di sospensione dell’accesso alle predette caselle PEC) del 7 maggio 2019 – l’accesso a tali caselle da parte di soggetti non autorizzati che, avendo rinvenuto in rete tali credenziali di autenticazione, avrebbero provato, anche solo per mera curiosità, a verificarne la validità.
Ciò posto, la scelta di InfoCert di adottare unicamente i predetti criteri di analisi ha di fatto precluso la possibilità di individuare eventuali ulteriori accessi non autorizzati alle predette caselle PEC. InfoCert, nella conduzione della citata attività di analisi, da considerarsi come un valido ausilio per l’utilizzatore della casella PEC, si è di fatto sostituita all’utilizzatore stesso che sarebbe stato l’unico soggetto in grado di distinguere gli accessi non autorizzati da quelli leciti. Sarebbe stato invece opportuno mettere a disposizione di ciascun utilizzatore coinvolto nella violazione – le cui credenziali di autenticazione (username e password di prima attivazione) erano ancora valide – l’elenco di tutti gli accessi alla propria casella PEC (con l’indicazione, ad esempio, di data e ora, indirizzo IP, modalità di accesso: webmail o client) effettuati nel periodo che va dal momento in cui le credenziali di autenticazione sono state acquisite illecitamente da parte di ignoti al momento in cui sono state adottate le misure per porre rimedio alla violazione dei dati personali. Ciò avrebbe consentito a ciascun utilizzatore di rilevare eventuali accessi non autorizzati alla propria casella PEC, di valutare i rischi derivanti da tale circostanza, e di adottare adeguate misure per proteggersi dalle possibili conseguenze negative della violazione.
Tanto premesso, si rileva che la mancata adozione di idonee misure volte a rilevare accessi non autorizzati alle caselle PEC, le cui credenziali di autenticazione sono state coinvolte nella violazione, non risultava conforme alle già citate disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. b), del Regolamento.
Al riguardo, nelle memorie difensive, la Società ha rappresentato di aver adottato adeguate misure correttive, poiché, “in linea con i rilievi svolti da codesta Autorità, a far data dal 31 marzo 2020, InfoCert ha reso disponibile, per tutti gli utilizzatori del servizio PEC tramite webmail, un apposito pannello di controllo denominato “Dashboard controllo accessi”, che consente all’utente di verificare in autonomia le informazioni relative agli ultimi accessi alla propria casella PEC. Nell’ambito della Dashboard, gli accessi sono distinti per tipologia (i.e. accesso mediante webmail, client o applicativi, ovvero mediante la mobile app “Legalmail”) e recano l’indicazione delle informazioni rilevanti in relazione ad ogni accesso”. Pertanto, “per effetto delle azioni adottate, InfoCert si è posta nella condizione di accrescere la sicurezza del trattamento rispetto ad accessi non autorizzati alle caselle PEC, in tal modo assicurando il rispetto degli obblighi di cui agli articoli 5, par. 1, lett. f) e 32 del Regolamento in relazione ai profili di contestazione in esame” (nota del 5 novembre 2021, p. 24).
4.3.6 La mancata vigilanza sull’operato degli intermediari
Sulla base della documentazione in atti, risulta accertato che InfoCert non abbia effettuato le dovute attività di controllo sull’operato dei propri responsabili del trattamento che avrebbero consentito, quantomeno, di rilevare proattivamente l’inadeguatezza delle misure di sicurezza adottate da Visura, ed eventualmente da altri intermediari, nell’ambito dei trattamenti effettuati per la rivendita del servizio PEC (v. par. 4.3.3).
Ciò premesso, pur prendendosi atto delle considerevoli attività di vigilanza degli intermediari operanti in qualità di responsabili del trattamento, che sono state effettuate dalla Società in seguito alle contestazioni dell’Autorità e illustrate nella memoria difensiva (nota del 5 novembre 2021, pp. 22-25), si rileva che la mancata esecuzione di attività di controllo sull’operato degli intermediari fino a quel momento non è risultata conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. d), del Regolamento, che, nel caso in esame, richiede che il titolare del trattamento debba mettere in atto misure per “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
4.3.7 La mancata adozione di idonee misure per l’accesso al log certificato del servizio PEC
Nell’ambito degli accertamenti ispettivi è stato constatato che il log dei messaggi PEC tenuto da InfoCert era consultabile mediante un’applicazione web, raggiungibile da rete pubblica, previo superamento di una procedura di autenticazione informatica a un solo fattore (basata su username e password, per cui non è prevista alcuna scadenza, v. all. 1 al verbale del 1° agosto 2019, p. 5).
Inoltre, è emerso che, ancorché i soggetti autorizzati fossero dotati di una propria utenza nominale, l’accesso alla predetta applicazione web veniva di regola effettuato mediante un’utenza non nominale (XX) condivisa tra otto operatori di InfoCert, come peraltro avvenuto anche nel corso dell’attività ispettiva.
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta la conservazione per trenta mesi di informazioni relative a tutti i messaggi in ingresso a, o in uscita da, caselle PEC gestite da InfoCert (circa 500 milioni nel solo anno 2019), compresi anche dati personali (riferiti o riferibili al mittente, al destinatario o a terzi) appartenenti a categorie particolari o relativi a condanne penali e reati (artt. 9, par. 1, e 10 del Regolamento), le predette modalità di accesso al log certificato non risultano adeguate sotto il profilo della sicurezza.
In primo luogo, si ritiene che rendere accessibile da rete pubblica il log certificato relativo ai messaggi transitati in tutte le caselle PEC gestite dalla Società e con una procedura di autenticazione informatica debole (a un solo fattore) presenti un elevato e ingiustificato rischio per i diritti e le libertà degli interessati, in considerazione delle gravi conseguenze che potrebbero derivare da eventuali accessi non autorizzati ai dati in esso contenuti.
In secondo luogo, si rileva che l’utilizzo di utenze non nominali da parte di più soggetti impedisce di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio anche per il titolare del trattamento, privato della possibilità di controllare l’operato dei soggetti che agiscono sotto la sua autorità. Inoltre, si osserva che – allorquando un’utenza non nominale con privilegi amministrativi, come quella in questione, venga utilizzata da più soggetti – possono determinarsi situazioni in cui non c’è coerenza tra i profili di autorizzazione attribuiti e le effettive esigenze di operatività per la gestione dei sistemi, rendendo possibile a un soggetto non autorizzato di operare, in assenza di una specifica volontà del titolare del trattamento, nell’ambito dei sistemi e servizi di trattamento.
Con riguardo alla mancata adozione di idonee misure per l’accesso al log certificato del servizio PEC, nelle memorie difensive, la Società ha dichiarato che “InfoCert ha proceduto alla revisione dei profili oggetto di contestazione da parte di codesta Autorità, implementando le seguenti misure relative all’accesso al bucket contenente il log dei messaggi PEC tenuto da InfoCert (c.d. log certificato): (i) disattivazione, a partire dall’8 ottobre 2019, dell’esposizione da rete pubblica del bucket contenente i log dei messaggi PEC di InfoCert, in tal modo inibendone l’accesso da rete pubblica, come attestato dalla schermata che si riporta sub Allegato 2.5.6 alla presente memoria. (ii) disattivazione, a partire dal 6 agosto 2019, dell’accesso in lettura al bucket log PEC da parte dell’utenza tecnica XX. L’utenza applicativa continua ad essere in uso per il deposito giornaliero dei nuovi log PEC, ma non è più abilitata alla loro visualizzazione via esibitore web. (iii) abilitazione, a partire dal 6 agosto 2019, delle utenze personali strettamente necessarie all’erogazione/verifica del servizio, all’accesso via web del bucket log PEC da rete interna e VPN. In questo modo, solo gli utenti identificati e autorizzati possono avere accesso ai log PEC, esclusivamente da rete interna oppure VPN. (iv) modifica della password dell’utenza tecnica XX, che in ogni caso non può più essere utilizzata per funzionalità di accesso via web già a partire dal 6 agosto 2019 (si rimanda sul punto al verbale del 24 settembre 2019, pag. 2). In questo modo, per ulteriore sicurezza, un utente in possesso della vecchia password non potrà più utilizzare l’utenza in questione per visualizzare i log PEC via WEB” (v. nota del 5 novembre 2021, p. 25; v. in tal senso anche pp. 34-35);
Su tale base si rileva, pertanto, che, prima dell’adozione delle misure correttive da parte della Società, le modalità di accesso al log certificato del servizio PEC di InfoCert non risultavano conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, parr. 1, lett. b), e 2, del Regolamento.
4.3.8 L’inadeguatezza di alcuni log di tracciamento degli accessi e delle operazioni compiute dai soggetti autorizzati al trattamento
Nel corso dell’istruttoria è stato accertato che i log di tracciamento degli accessi e delle operazioni effettuate su un sistema di backend del servizio PEC, contenente le mailbox delle caselle PEC gestite da InfoCert, non comprendevano le operazioni di copia dei file (ivi inclusa l’operazione di copia di tutti i messaggi contenuti in una casella PEC), e non contenevano nemmeno un identificativo di sessione che consentisse di mettere in relazione i log degli accessi e i log delle operazioni, che pertanto risultavano essere un mero elenco dei comandi eseguiti senza l’indicazione di informazioni (quali la data e ora dell’operazione e l’utente che l’ha eseguita) necessarie ad attribuire le azioni compiute a un determinato soggetto.
Inoltre, è stato constatato che i log relativi agli accessi e alle operazioni effettuate sul bucket contenente il log certificato, generati dal sistema di conservazione, non consentivano di individuare né il dispositivo da cui veniva effettuata l’operazione (ad esempio, tramite l’indirizzo IP del client utilizzato), né l’esito dell’operazione, né la sessione di lavoro nell’ambito della quale diverse operazioni venivano effettuate (ad esempio, tramite un identificativo di sessione).
I log di tracciamento generati dai predetti sistemi non consentivano quindi a InfoCert di effettuare analisi o controlli delle attività svolte sui dati dai soggetti operanti sotto la sua autorità. Peraltro, la generazione di adeguati log di tracciamento è funzionale ad altre misure che, pur non essendo state oggetto di valutazione nel corso della presente istruttoria, dovrebbero essere adottate da InfoCert al fine di rilevare intrusioni o accessi anomali e abusivi ai propri sistemi informatici, correlando tra loro i log di tracciamento relativi a differenti sistemi informatici.
Al riguardo, nella memoria difensiva, la Società ha rappresentato di aver implementato adeguate misure di miglioramento (v. nota del 5 novembre 2021, pp. 25-26).
Pur prendendo atto delle misure correttive messe in atto dalla Società in seguito alle contestazioni dell’Autorità, si rileva che, in precedenza, le modalità di tracciamento degli accessi e delle operazioni compiute sui predetti sistemi non sono risultate conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, parr. 1, lett. b), e 2, del Regolamento.
4.4. Obbligo di documentare le violazioni di dati personali: l’inadeguatezza della documentazione nel caso di specie
Con riferimento all’obbligo di documentare le violazioni di dati personali di cui all’art. 33, par. 5, del Regolamento, le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, evidenziano che “il titolare del trattamento è tenuto a registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati. Dovrebbe altresì indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio. […] Oltre a queste informazioni, il Gruppo di lavoro raccomanda al titolare del trattamento di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione”, come confermato nelle “Guidelines 9/2022 on personal data breach notification under GDPR” del Comitato europeo per la protezione dei dati del 10 ottobre 2022, come modificate e adottate in ultimo il 28 Marzo 2023.
È stato accertato che, nel registro con cui InfoCert documentava le violazioni dei dati personali sono state inizialmente riportate esclusivamente informazioni sintetiche sulle violazioni occorse, senza indicare elementi essenziali quali le motivazioni alla base delle valutazioni dei rischi svolte dalla Società e la descrizione delle misure adottate per porre rimedio a ciascuna violazione dei dati personali.
Con particolare riferimento alla violazione dei dati personali in esame, nel corso dell’istruttoria, è stato poi verificato che dal momento in cui è venuta a conoscenza della stessa, InfoCert non ha provveduto a documentare opportunamente la violazione dei dati personali occorsa, non potendosi ritenere adeguato, come invece sostenuto dalla società nelle memorie difensive (v. nota del 5 novembre 2021, p. 14-15 in relazione all’utilizzo degli ulteriori strumenti aziendali), il contenuto informativo rinvenuto nella documentazione prodotta nel corso degli accertamenti, in quanto carente degli elementi essenziali. Tale criticità, relativa all’assenza o carenza dei citati elementi essenziali, persiste, infatti, pur considerando le informazioni che InfoCert annota nel sistema utilizzato per la gestione degli incidenti informatici (v. all. 4 alla nota del 6 settembre 2019), che non risultano referenziate – e quindi identificate – nel registro delle violazioni dei dati personali tenuto dalla Società; né rileverebbe, a tale fine, quanto successivamente prodotto dalla Società in sede di memorie di replica atteso che, anche alla luce dell’estrazione del registro delle violazioni aggiornato al 31 dicembre 2019, non sembra esservi un riferimento univoco ad una specifica violazione, essendo la stessa identificata senza apposito ID e con una generica dicitura “SCINC”.
Nelle memorie difensive, la Società ha poi rappresentato che “nel corso del 2020, […] ha provveduto a integrare il proprio registro delle violazioni di dati personali”; provvedendo a “estendere e dettagliare le informazioni contenute nel proprio registro delle violazioni dei dati personali, che viene tenuto ed aggiornato a cura della funzione privacy di InfoCert”(v. nota cit., pp. 15-16).
4.5. Obbligo di comunicare la violazione dei dati personali agli interessati: la tardiva e inadeguata comunicazione nei confronti degli interessati coinvolti
Le citate Linee guida sulla notifica delle violazioni dei dati personali (anche nella versione aggiornata delle stesse, v. “Guidelines 9/2022 on personal data breach notification under GDPR”) individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati.
In riferimento al caso di specie, occorre tener presente il numero elevato di interessati coinvolti, la natura della violazione dei dati personali (verificatasi nell’ambito di un attacco informatico di ampia portata, finalizzato a procurare credenziali di autenticazione, a diffondere online le stesse e, con molta probabilità, a utilizzarle per attività illecite, determinando, inoltre, l’esfiltrazione del contenuto di alcune caselle), nonché la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali (quali la perdita di controllo da parte degli interessati sui dati personali che li riguardano, il furto o l’usurpazione d’identità, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini illeciti o non autorizzati).
Per tali ragioni, la violazione dei dati personali in esame è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.ai sensi degli artt. 12, par. 1, e 34, par. 1, del Regolamento.
In riferimento alle tempistiche entro cui effettuare le predette comunicazioni, le citate Linee guida evidenziano, inoltre, che “il regolamento afferma che la comunicazione di una violazione agli interessati dovrebbe avvenire “senza ingiustificato ritardo”, il che significa il prima possibile”, in considerazione del fatto che l’obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi.
In particolare, nel caso in esame, è da tenere in specifica considerazione il gruppo di interessati che non aveva provveduto a modificare la password di prima attivazione, poiché la violazione ha comportato, per tali soggetti, oltre alla perdita di riservatezza del codice fiscale e dell’indirizzo PEC, anche quella delle relative username a password di prima attivazione che, essendo ancora valide, consentivano l’accesso alla casella PEC fino al momento in cui InfoCert ha disposto il reset della relativa password.
Nelle proprie memorie difensive, la Società ha rappresentato, con riguardo ai profili di tardività e inadeguatezza della comunicazione della violazione dei dati personali a tale gruppo di interessati, in particolare, che “InfoCert ha inviato tempestivamente una prima comunicazione in data 9 maggio 2019”; “tale comunicazione è stata predisposta e inviata nelle prime e concitate fasi successive all’attacco informatico, in un contesto in cui – come risultante anche dalla notificazione inviata all’Autorità in pari data – non erano ancora del tutto definiti il perimetro (oggettivo e soggettivo) e la portata dell’attacco informatico de qua”; “nelle more dello svolgimento delle opportune analisi volte a determinare il perimetro degli utenti effettivamente coinvolti nella Violazione dei Dati Personali, InfoCert si è prontamente attivata al fine di individuare, per il tramite degli Ordini professionali di appartenenza, gli interessati per i quali era disponibile un indirizzo di posta elettronica ordinaria. In tale scenario – in attesa degli esiti delle attività di analisi e investigazione subito attivate da parte della scrivente società in parallelo alle necessarie azioni tese a garantire la continuità dei servizi offerti – InfoCert si è trovata nella condizione di poter adempiere ai propri obblighi di comunicazione in relazione alle sole circostanze effettivamente verificate alla data del 9 maggio 2019, anche a fine di evitare comunicazioni confusorie o fuorvianti nei confronti degli interessati”; in ordine alle comunicazioni intervenute successivamente al 9 maggio 2019, InfoCert ha, infine, evidenziato che “la circostanza che tali comunicazioni integrative siano state inviate a un numero di interessati ritenuto esiguo [dall’] Autorità è una conseguenza diretta degli esiti dell’analisi forense che InfoCert –nell’ottica di ottenere il supporto tecnico necessario a svolgere gli accertamenti funzionali a rimediare alle conseguenze della Violazione dei Dati Personali – aveva commissionato all’uopo a una qualificata società del settore” (v. nota del 5 novembre 2021, pp. 16-17);
Tutto ciò premesso, risulta accertato che InfoCert, in violazione degli artt. 5, par. 1, lett. a), 12, par. 1, e 34 del Regolamento, ha comunicato tardivamente e in modo non adeguato la violazione dei dati personali occorsa agli interessati coinvolti; non rilevando ai fini del caso di specie, quanto successivamente dichiarato dalla Società in sede di memorie difensive, in quanto, alla luce delle complessive evidenze raccolte nel corso dell’articolata istruttoria, è emerso che:
− la prima comunicazione inviata in data 9 maggio 2019 InfoCert non indicava chiaramente il coinvolgimento dell’interessato a cui la stessa era rivolta né le categorie di dati personali oggetto di violazione, omettendo anche di descrivere le probabili conseguenze della violazione dei dati personali (soprattutto nei confronti di coloro che non avevano provveduto a modificare la password di prima attivazione prima dell’attacco informatico, con elevati rischi di accessi non autorizzati alle proprie caselle PEC); tale comunicazione, peraltro, è stata inviata soltanto agli interessati “per i quali è stato possibile reperire, tramite gli Ordini professionali di appartenenza, un indirizzo di posta elettronica ordinaria”, senza adottare misure per cercare di informare con modalità alternative gli interessati per i quali non era stato possibile reperire un indirizzo di posta elettronica ordinaria (ad esempio, mediante pubblicazione di un comunicato sul proprio sito web istituzionale);
− le successive comunicazioni inviate in data 23 settembre, 7 e 11 ottobre 2019 sono state indirizzate soltanto a un numero esiguo di interessati (80 utilizzatori in totale), in quanto l’analisi forense è stata condotta esclusivamente considerando come anomali gli “accessi alle […] caselle PEC da parte di indirizzi IP “con bassa reputazione”, tralasciando quindi eventuali accessi indebiti effettuati da terzi, anche da indirizzi IP non a “bassa reputazione”; peraltro alcune delle predette credenziali di autenticazione sono state oggetto di diffusione online, entrando così nella potenziale disponibilità di chiunque;
− con la comunicazione inviata in data 23 settembre 2019 a 63 interessati, nella quale è stato affermato che “non sono state riscontrate operazioni di invio, copia o eliminazione dei messaggi eseguite dagli indirizzi IP riportati”, la Società ha fornito informazioni non corrispondenti a quanto realmente accaduto, lasciando intendere che la violazione in esame non avesse riguardato anche i dati personali presenti nei messaggi contenuti all’interno della casella PEC; soltanto con la successiva comunicazione del 7 ottobre 2019 è stato precisato che “l’accesso illecito […] ha comportato la consultazione ed il download – da parte di ignoti – dei messaggi presenti nella casella”;
− le citate comunicazioni sono state inviate tardivamente: è stato infatti accertato che InfoCert già il 31 luglio 2019 era a conoscenza del fatto che vi fossero stati accessi illeciti o, comunque, non autorizzati ad alcune caselle PEC in uso a iscritti all’Ordine degli avvocati di Roma e che soltanto in data 23 settembre, 7 ottobre e 11 ottobre 2019 (più di cinquanta giorni dopo esserne venuta a conoscenza) ha provveduto a informare gli interessati coinvolti.
Quanto, più in generale, alle misure correttive introdotte per assicurare l’adempimento in esame ai sensi dell’art. 34 del Regolamento, InfoCert ha dato atto di aver “proceduto a modificare la propria procedura di gestione dei data breach” al fine di scongiurare il rischio dell’invio di comunicazioni non tempestive o incomplete agli interessati, adottando una nuova procedura ““adottata in data 4 maggio 2021” (v. nota del 5 novembre 2021, p. 17).
4.6. Responsabilità del titolare del trattamento
Alla luce della documentazione in atti e delle considerazioni svolte, si rileva che InfoCert non ha adottato misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento effettuato nell’ambito della gestione del servizio PEC è avvenuto in conformità al Regolamento, in violazione del principio “responsabilizzazione” (artt. 5, par. 2, e 24 del Regolamento
In considerazione di quanto sopra rappresentato, infatti, le misure adottate dalla Società sono risultate inadeguate ad assicurare il rispetto dei principi di “liceità, correttezza e trasparenza” e di “integrità e riservatezza”, non adempiendo gli obblighi imposti al titolare del trattamento, con particolare riferimento a quelli in materia di sicurezza del trattamento (spec. par. 4.3) e in caso di violazione dei dati personali (spec. parr. 4.4. e 4.5.) e, nel corso della complessa attività istruttoria e sulla base delle evidenze prodotte, InfoCert non è stata in grado di comprovare la conformità dei predetti trattamenti al Regolamento.
La violazione del principio di “responsabilizzazione” risulta di maggior gravità in ragione della natura e del contesto del trattamento effettuato dalla Società nell’erogazione del servizio PEC, nell’ambito del quale dovrebbe essere adottate tutte le misure e gli accorgimenti necessari a ottenere la fiducia degli utenti e a soddisfare, in modo rigoroso, le legittime aspettative di trasparenza e sicurezza.
Al riguardo, nelle proprie memorie difensive, la Società ha dichiarato che, in seguito alla violazione dei dati personali intervenuta tra aprile e maggio 2019, è stata messa in atto, “un’intensa attività rimediale al fine di mitigare le conseguenze negative dell’evento e di allineare l’organizzazione, i processi di trattamento di dati personali e le misure di sicurezza di InfoCert ai requisiti della disciplina applicabile, così da ridurre la propria esposizione al rischio di analoghe violazioni per il futuro” (v. nota del 5 novembre 2021, pp. 28-30).
4.7. Protezione dei dati fin dalla progettazione e per impostazione predefinita
Alla luce di quanto rappresentato nei paragrafi precedenti e di quanto emerso durante la fase istruttoria, risulta accertato che la Società, nel determinare i mezzi del trattamento, non abbia adottato misure e garanzie adeguate per attuare efficacemente i principi di “liceità, correttezza e trasparenza” (spec. par. 4.5) e di “integrità e riservatezza” (spec. par. 4.3), tenendo conto anche degli elevati rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame.
In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento, come sopra illustrato), il titolare del trattamento è, invece, tenuto ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace. Tale obbligo si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento. Infatti, le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento (v. le “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati in data 20 ottobre 2020, v. 2.0, spec. punti 7, 38, 39 e 84; spec. punti 65 e 66, per il principio di liceità, correttezza a trasparenza e spec. punti 84 e 85 per quello di integrità e riservatezza).
Inoltre, il principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento) impone al titolare del trattamento di effettuare scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò significa quindi che, per impostazione predefinita, il titolare del trattamento deve prevedere limitazioni, sia ai soggetti abilitati all’accesso, sia alla tipologia di accesso ai dati personali, sulla base di una valutazione della necessità, nonché prevedere che i dati non più necessari ai fini del trattamento siano cancellati o resi anonimi (v. le citate Linee guida 4/2019, spec. punti 42, 53 e 55). Ciò non è avvenuto, in particolare, nel processo di gestione delle caselle PEC tramite intermediario, né nelle procedure previste per il reset della password a rischio di compromissione a seguito della violazione.
Pertanto, la mancata adozione delle predette misure si pone in contrasto con i principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita” di cui all’art. 25, parr. 1 e 2, del Regolamento.
La Società, nelle proprie memorie difensive, per quanto attiene al mancato rispetto dei principi della protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’art. 25 del Regolamento, ha, in ogni caso, rappresentato di aver avviato, a partire da ottobre 2020, un processo di rivisitazione della modalità di attuazione dei suddetti principi, in particolare attraverso attività di formazione e sensibilizzazione del personale autorizzato al trattamento (v. nota del 5 novembre 2021, pp. 28-30).
4.8. Valutazione d’impatto sulla protezione dei dati
Alla luce di quanto emerso dall’attività istruttoria, risulta accertato che InfoCert ha violato l’art. 35 del Regolamento in quanto alcuni trattamenti effettuati per la gestione del servizio PEC, che presentano un rischio elevato per i diritti e le libertà degli interessati, non sono stati oggetto di una valutazione d’impatto, e quella fornita da InfoCert nel corso dell’istruttoria (v. all. 5 al verbale del 1° agosto 2019, p. 3, e allegato alla nota del 23 settembre 2019), concernente i restanti trattamenti relativi al servizio PEC, non conteneva gli elementi essenziali richiesti dal par. 7 del predetto articolo (v. par 2.5. del presente provvedimento).
In particolare, anche in ragione dell’incompletezza del registro delle attività di trattamento e dell’inadeguata metodologia adottata dalla Società, la valutazione d’impatto non è stata condotta sui trattamenti relativi alla trasmissione dei messaggi, alla gestione del servizio di trasmissione, conservazione dei log certificati, e alla attivazione copia messaggi su cartella clone , che comportano il trattamento di dati, su larga scala (la Società gestisce milioni di caselle PEC), appartenenti a categorie particolari o relativi a condanne penali e reati (anche solo in considerazione del fatto che la Società offre il servizio a centinaia di migliaia di avvocati che utilizzano la PEC nell’ambito delle diverse tipologie di processo telematico), alcuni dei quali, oltre che all’interno dei messaggi PEC, sono contenuti anche nel relativo oggetto che viene, peraltro, conservato a norma di legge nel log certificato.
Inoltre, la valutazione d’impatto effettuata da InfoCert era focalizzata principalmente su aspetti meramente tecnici del trattamento, risultando prevalentemente un documento di valutazione dei rischi di natura informatica, con evidenti carenze nella descrizione sistematica dei trattamenti e degli impatti sui diritti e sulle libertà degli interessati derivanti dai diversi scenari di rischio, nonché delle misure previste per affrontarli e i meccanismi per garantire la protezione dei dati e la dimostrazione della conformità al Regolamento.
Con riferimento alla contestazione in esame, nelle proprie memorie difensive, InfoCert, dando prova delle misure intraprese in seguito alla contestazione dell’Autorità, ha trasmesso copia della valutazione di impatto integrata con gli elementi mancanti (v. nota del 5 novembre 2021, pp. 26-27 e anche p. 34).
5. Conclusioni
Alla luce delle predette valutazioni, si rileva che le dichiarazioni rese dalla Società nel corso dell’istruttoria sopra richiamate ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare gran parte dei rilievi contestati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, fatto salvo quanto rappresentato nel par. 4.3.3.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da InfoCert, per aver effettuato il trattamento di dati personali in questione in violazione degli artt. 5, par. 1, lett. a) e f) e par. 2, 12, 25, 28, 30, 32, 33, par. 5, 34 e 35 del Regolamento.
[OMISSIS]
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da InfoCert S.p.A. per violazione degli artt. 5, par. 1, lett. a) e f), e par. 2, 12, par. 1, 25, 28, 30, 32, 33, par. 5, 34 e 35 del Regolamento, nei termini di cui in motivazione;
[OMISSIS]
DISPONE
[OMISSIS]
l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 9 maggio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
