Con il 70% delle aziende italiane ancora lontane dalla conformità, è fondamentale parlare degli strumenti necessari a garantire la sicurezza dei dati, senza perdere di vista fidelizzazione e accesso ai servizi

GDPR e Data Protection Officer

Secondo una recente ricerca, il 70% delle aziende italiane non si sono ancora adeguate al GDPR, entrato ufficialmente in vigore lo scorso 25 Maggio. A fronte di questo dato allarmante Partner Data, attiva nel settore dei prodotti per la sicurezza IT, protezione del software e sistemi di identificazione, è tornata a parlare del tema, evidenziando l’importanza di controllare l’accesso ai dati, in particolar modo attraverso l’utilizzo di smart card, token e impronte digitali, per assicurare la riservatezza dei dati stessi, come richiesto dall’art. 32 del GDPR. Di cosa si tratta esattamente, e cosa sono questi strumenti che garantiscono non solo sicurezza ma anche fidelizzazione e accesso ai servizi, considerati i supporti tutt’ora esistenti con il più alto livello di protezione?

Innanzitutto è importante ricordare che si tratta di strumenti che possono essere utilizzati in un’infinita gamma di settori, come telecomunicazioni, sanità, scuola e istruzione, trasporti, finanza, amministrazione.

I campi di applicazione sono poi innumerevoli e vanno dai pagamenti elettronici alle carte sanitarie, dalla registrazione dei consumi all’uso sicuro del computer, dal controllo delle presenze all’accesso a servizi vari, dall’autenticazione dei messaggi e transazioni alla firma elettronica. Molti sono inoltre i programmi di fidelizzazione: benzine, compagnie aeree, catene in franchising ma anche singoli negozi, palestre, bar (buoni pasto), internet point e molto altro ancora.

Smartcard e token USB, però, sebbene prodotti dall’utilizzo simile sono in realtà strumenti che possiedono alcune differenze: una smart card è una carta di plastica delle dimensioni di una carta di credito, con inserito un chip elettronico. Il token è invece una chiavetta USB con inserito il chip della smartcard. I token USB non sono nient’altro che smartcard crittografiche che non necessitano del lettore.

Non dimentichiamo poi i token OTP (One Time Password), quelli cioè che forniscono una password sempre diversa e che sono utilizzati estensivamente dalle banche ma anche da sempre più da aziende che vogliono garantire l’autenticazione sicura a dati, applicazioni e pagine web.

Le smart card rappresentano un utile mezzo per memorizzare dati in modo sicuro e conveniente. Inoltre, le carte più potenti possono offrire possibilità di autenticazione, di crittografare e decodificare dati, oltre alla possibilità di firmare digitalmente.

L’utilizzo delle smart card nel mondo continua a crescere a ritmi esponenziali, a maggior ragione in questo momento storico in cui, anche grazie al GDPR, si è evidenziato molto il concetto di sicurezza informatica. Tra i vari utilizzi delle smart card ricordiamo: firma digitale, applicazioni di tipo bancario e commercio elettronico, programmi di fidelizzazione, telecomunicazioni (SIM GSM), trasporti (biglietti elettronici), sanità (carte regionali), servizi governativi e comunitari (carta d’identità elettronica, passaporto…), sicurezza nell’accesso ai computer e autenticazione, crittografia di messaggi, file, email, immagini, utilizzo controllato e remunerato di servizi quali accesso ad Internet, banche dati, distributori automatici (benzina, alimenti, film in cassetta, ecc).

Cos’è meglio utilizzare per proteggere gli accessi, le smart card o i token? I token USB presentano alcuni vantaggi sulle smartcard: sono più robusti, non necessitando di altri dispositivi (lettore), si agganciano a un portachiavi; inoltre sono disponibili versioni con aggiunta di flash memory. I token disponibili oggi sul mercato hanno chip a processore crittografico e sono generalmente usati per l’autenticazione in rete, il controllo degli accessi logici, la firma digitale.

Dall’altro lato, le smartcard sono più economiche, possono stare in un portafoglio e possono essere graficamente personalizzate, con marchi, loghi, foto, ecc. e quindi possono diventare, a differenza del token, anche uno strumento di identificazione a vista (badge) o un media per veicolare pubblicità.

La smartcard, inoltre, permette l’inserimento di una antenna più ampia rispetto al token e quindi si presta meglio a soluzioni di prossimità (smart card contactless). Se poi si utilizzano le impronte digitali, per accedere al chip in sostituzione del PIN, la smartcard è favorita in quanto nel mercato esistono lettori di impronta e smartcard. Da un punto di vista economico, in applicazioni dove ad ogni smartcard deve corrispondere uno stesso numero di lettori, il token può dimostrarsi più conveniente. Viceversa se allo stesso PC (un lettore solo) accedono più utenti (più smartcard), il costo della soluzione lettore + smartcard può essere più vantaggioso.

Che si utilizzi però una smartcard o un token, crittografico o OTP, con PIN o impronta digitale, l’importante è avvalersi sempre di dispositivi validi ad alta sicurezza che consentano di proteggere in maniera completa i dati personali. Non si tratta più, infatti, di una questione di buon senso, ma con l’entrata in vigore del GDPR è ormai divenuto un vero e proprio obbligo legale, che si spera tutti inizino a rispettare e a prendere sul serio.