Per garantire un’adeguata tutela dei dati personali e per limitare il rischio di furti d’identità, la trasmissione di dati personali durante la navigazione degli utenti su un sito web deve essere protetta con protocolli crittografici. Il Certificato SSL (Secure Sockets Layer) e il Protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) proteggono i siti web e i loro visitatori che inviano informazioni tramite la compilazione di form, pagamenti effettuati attraverso l’utilizzo di carte di credito e qualsiasi forma di interazione che prevede l’invio di dati personali e sensibili.
La protezione di un sito web tramite certificato SSL e connessione sicura sotto HTTPS è importante per la sicurezza dei dati veicolati contro gli attacchi man in the middle (attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro), per il posizionamento sui motori di ricerca e per il miglioramento della user experience; ma è anche fondamentale per evitare sanzioni gravose, pari anche a migliaia di euro.
A conferma di questo, riportiamo di seguito la recente decisione del Garante Privacy: “Per scongiurare il rischio di furti d’identità e garantire un’adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici”
Questa disposizione è la conseguenza di una sanzione erogata nei confronti di un’azienda fornitrice di servizi idrici a cui è stato imposto il pagamento di 15 mila euro per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web, dopo aver verificato – a seguito di un reclamo – che l’accesso ai servizi online messi a disposizione tramite il suddetto sito veniva effettuato tramite il protocollo di rete HTTP, non crittografato e non sicuro come avviene con HTTPS.
Sulla base di quanto dichiarato dal Garante, sono stati violati alcuni principi sanciti dal Regolamento sulla privacy “come, per esempio, quello di integrità e riservatezza dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di protezione dei dati fin dalla progettazione” secondo il quale occorre mettere in atto, fin dall’inizio, le misure tecniche e organizzative adeguate a tutelare i dati personali degli utenti ed effettuare successivamente delle revisioni periodiche delle misure di sicurezza adottate; sottolineando inoltre che questi obblighi si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento, risalente al 25 maggio 2018, e che ne sono quindi assoggettati tutti i siti web che prevedono il trattamento dei dati personali.
Cos’è il certificato SSL?
Il certificato SSL è un protocollo crittografico utilizzato per proteggere i dati tra due macchine attraverso l’uso della crittografia; assicura che qualsiasi dato trasferito tra due sistemi rimanga illeggibile nel caso in cui venisse intercettato. Può essere considerato come una sorta di contratto o dichiarazione tra un server e un client che deve essere rispettato per tutta la durata della comunicazione: da quando si raggiuge il server digitando l’indirizzo nella barra degli URL a quando si interrompe il flusso comunicativo. È visualizzabile nella barra degli indirizzi del browser: se installato su un server web, attiva il protocollo HTTPS – più sicuro rispetto a HTTP perchè permette di instaurare un canale di comunicazione che assicura non soltanto la cifratura dei messaggi ma anche l’autenticazione tra i soggetti comunicanti – e il “lucchetto chiuso”.
È fondamentale in varie casistiche:
- Siti che richiedono procedure di log-in
- Siti contenenti form che richiedono e raccolgono dati personali
- Siti che permettono transazioni con carte di credito
E contiene diverse informazioni:
- Il nome del dominio per cui è stato emesso il certificato
- Il nome della persona o dell’organizzazione a cui è stato rilasciato
- L’autorità di certificazione che l’ha rilasciato
- La forma digitale dell’autorità di certificazione
- Il nome dei sottodomini associati
- La data di rilascio e la data di scadenza del certificato
- La chiave crittografica pubblica
Il protocollo HTTPS, grazie quindi all’utilizzo di un certificato SSL, permette di proteggere i dati criptandoli prima di inviarli e fornisce tre livelli protezione:
- INTEGRITÀ DEI DATI: i dati non possono essere modificato o corretti durante il trasferimento, intenzionalmente o meno
- CRITTOGRAFIA: i dati sono crittografati e quindi al sicuro da chi cerca di rubare le informazioni
- AUTENTICAZIONE: dimostra che gli utenti stanno comunicando con il server previsto e protegge il client da eventuali attacchi di impersonificazione (un tentativo di ottenere un accesso non autorizzato ai sistemi informatici mascherandosi da utenti autorizzati)
Come si effettua il passaggio da HTTP a HTTPS?
Questo passaggio consiste in una procedura semplice che si effettua in questi pochi passaggi:
- Acquistare un certificato SSL
- Assicurarsi che tutti i link interni del proprio sito Web vengano cambiati da HTTP a HTTPS, in modo che non smettano di essere raggiungibili dopo il passaggio a HTTPS
- Installare il certificato SSL sull’host del proprio sito Web
- Impostare i reindirizzamenti 301 da HTTP a HTTPS
Infine, HTTPS e SSL svolgono un ruolo importantissimo per far aumentare il ranking SEO (Search Engine Optimization): il processo che influisce sulla visibilità di un sito Web o di una pagina Web nei risultati di un motore di ricerca. La SEO permette ad un sito Web di essere trovato nei motori di ricerca in base a parole – keyword – e/o frasi pertinenti a ciò che questo offre. Più un sito web è sicuro più guadagnerà punteggio all’interno del ranking.
