L'APPROCCIO CORRETTO

Stampanti e GDPR: mettere in sicurezza le (vecchie) periferiche per proteggere i nostri dati

Nei documenti che passano attraverso le stampanti sono contenute moltissime informazioni e dati personali che devono essere opportunamente protetti per innalzare i livelli di sicurezza di un’azienda. Ecco come rispettare le prescrizioni del GDPR anche con stampanti non di ultima generazione

30 Apr 2019
R
Alessandro Ronchi

Digital and data protection lawyer – Studio RonchiLegal

È importante rispettare le prescrizioni del GDPR anche con le stampanti, soprattutto quelle non di ultima generazione. Ogni qualvolta si manda in stampa un documento, infatti, vengono elaborate (e spesso archiviate) moltissime informazioni riservate e dati personali che devono essere opportunamente protetti.

Nonostante ciò, le stampanti sono generalmente oggetto di scarsa attenzione nell’analisi dei rischi delle imprese, pur rappresentando uno dei punti più vulnerabili negli attacchi informatici sferrati sempre più spesso a danno delle aziende.

Qualsiasi dispositivo in grado di connettersi alla rete aziendale centrale – il cosiddetto endpoint – è, infatti, un potenziale punto di ingresso per le minacce alla sicurezza informatica e deve, di conseguenza, essere protetto in modo efficace per non costituire l’anello debole della sicurezza di rete.

In un cortometraggio di qualche anno fa con protagonista Christian Slater (nella parte di “the wolf”), l’attore violava una rete aziendale attraverso una semplice stampante d’ufficio e, mentre realizzava il proprio disegno criminoso, dichiarava: “prima ho ottenuto il controllo delle stampanti, poi il controllo della rete, infine il controllo dei loro dati… E grazie a quanto ho rubato qui, queste persone stanno per passare una gran brutta giornata”.

Stampanti e GDPR: le criticità per la sicurezza dei dati

Oltre ad essere un tassello importante delle reti IT, le stampanti conservano anche moltissimi dati: alcune includono funzionalità per la scansione e la stampa da remoto; la maggior parte è dotata di hard disk simili a quelli dei PC, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e, naturalmente, anche stampati.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Molte aziende non sono consapevoli che i dati personali vengono trasferiti in modo visibile, e non cifrato, sulla rete, per essere stampati; oppure vengono salvati in chiaro sui server (o, addirittura, sui dischi delle stampanti); spesso non vengono definiti workflow alternativi che rappresenterebbero uno strumento fondamentale per evitare che informazioni, anche molto sensibili, possano finire nelle mani sbagliate. Senza workflow alternativi, ogni dato personale può, potenzialmente, essere inviato a stampanti non sicure. Senza contare, poi, che anche un documento dimenticato nel cassetto di uscita di una stampante costituisce un caso di dati non protetti in modo adeguato.

È, d’altra parte, quasi superfluo ricordare che nei documenti che passano attraverso le stampanti sono contenuti moltissime informazioni e dati personali: nomi e informazioni varie sui dipendenti, numeri di carte di credito, copie di documenti di identità, cartelle sanitarie e documenti riservati di ogni genere e tipo.

Se consideriamo le dimensioni medie delle nostre aziende, è sicuramente più facile che le nostre imprese siano dotate di una o più stampanti, piuttosto che di sofisticati dispositivi IoT: quindi, anche in assenza di sofisticati strumenti tecnologici, proteggere le stampanti diventa una parte fondamentale dell’innalzamento dei livelli di sicurezza di un’azienda.

Ma quali sono i punti deboli nella sicurezza di stampa? Ve ne sono di vario genere: da problematiche di natura squisitamente tecnologica fino a banali errori umani.

Da una recente statistica a livello globale è emerso che il 61% delle organizzazioni ha segnalato almeno una violazione dei dati correlata alle stampanti, collegata a uno o più dei seguenti fattori:

  • i dispositivi forniti da alcuni produttori non offrono impostazioni di sicurezza appropriate;
  • le aziende non applicano gli aggiornamenti per la protezione, che spesso richiedono l’installazione manuale;
  • la protezione della stampante non viene attivata per banale noncuranza o sottovalutazione del rischio;
  • le stampanti si trovano all’esterno del firewall di rete;
  • i documenti vengono intercettati da un hacker;
  • gli hacker controllano in remoto la stampante, interferendo con la protezione aziendale.

Alcuni dei più comuni indici, rivelatori di un problema alle stampanti, possono essere:

  • modifiche impreviste/non autorizzate alle impostazioni di configurazione;
  • i dispositivi richiedono più tempo del normale per funzionare o occupano più larghezza di banda di rete del consueto;
  • i timestamp non sono allineati o risultano apparentemente illogici;
  • si manifesta un aumento anomalo delle comunicazioni con IP o indirizzi email sconosciuti.

Cosa prevede il GDPR

L’art. 25 del Regolamento UE 679/2016 (GDPR) prevede che “il titolare del trattamento (debba) mette(re) in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”

Il principio sopra riportato di privacy by default – fondato sull’idea che le misure di sicurezza prescelte dal titolare del trattamento devono essere predisposte in via preventiva per garantire la selezione dei soli dati realmente necessari da trattare per il conseguimento delle finalità stabilite – imporrà, nel futuro, a tutti i produttori di pensare e creare stampanti “più virtuose” di quelle attuali, già nella fase di progettazione.

I produttori, cioè, dovranno garantire che le loro stampanti, per impostazione definita, siano in grado di applicare in modo rigoroso il principio di minimizzazione previsto dal GDPR in relazione a qualsiasi loro utilizzo da parte dell’utente, così da impedire ex ante, al di là del comportamento specifico del singolo individuo, la massima protezione possibile dei dati personali che vengono trattati tramite questo strumento, impedendo, ad esempio, che la traccia delle copie realizzate resti memorizzata all’infinito nei processori di stampa.

In attesa di questa nuova generazione di macchine, il GDPR impone, comunque, fin da ora alle imprese l’adozione di misure tecniche ed organizzative idonee a mitigare il rischio, soprattutto in presenza di stampanti di uso quotidiano non ancora progettate secondo i predetti canoni di privacy by default.

Stampanti e GDPR: le misure tecniche e organizzative adottabili

Come possiamo, quindi, tutelare i dati personali in possesso delle aziende da indebite diffusioni (interne e/o esterne) tramite le nostre attuali stampanti?

Sotto il profilo tecnico, per garantire un’adeguata protezione, le aziende dovrebbero, perlomeno, ottimizzare il loro “parco stampanti” sulla base dei criteri seguenti:

  1. le stampanti devono sempre trovarsi dietro il firewall aziendale;
  2. i dispositivi non aziendali non devono essere autorizzati, in linea generale, alla connessione per la stampa (a meno che il responsabile IT abbia autorizzato la stampa dopo aver verificato l’assenza di rischi);
  3. pianificare la revisione e l’implementazione degli aggiornamenti del firmware delle stampanti;
  4. le opzioni di configurazione della protezione contro gli attacchi informatici offerte dal dispositivo di endpoint devono essere attentamente riesaminate nel corso del tempo e, cioè, sia in fase di acquisto sia in fase di manutenzione periodica della periferica, implementando le protezioni ogni volta che sia possibile.

Sotto il profilo organizzativo, dovranno essere tenute in attenta considerazione soprattutto le minacce interne all’azienda, sempre possibili a causa dell’uso distratto e/o inconsapevole che gli utenti, di norma, fanno di queste macchine.

Un documento stampato senza accorgimenti di sicurezza, magari dimenticato per lungo tempo nel vassoio di una stampante accessibile a tutti, può divenire una seria ipotesi di data loss ad alto rischio, soprattutto se il documento contiene informazioni confidenziali e/o particolari.

Per minimizzare il rischio connesso a queste situazioni, è opportuno (se non, addirittura, imprescindibile) che l’azienda adotti un’adeguata policy che specifichi in modo dettagliato quali siano le corrette modalità di utilizzo delle proprie stampanti (e, naturalmente, anche degli altri strumenti ICT).

Il titolare del trattamento, in base alle concrete modalità di svolgimento del lavoro nella propria azienda, dovrà stabilire:

  1. quando si può stampare fuori dall’orario di lavoro?
  2. cosa si può stampare?
  3. chi può stampare determinate tipologie di file?
  4. cosa fare dei documenti abbandonati nelle stampanti a fine giornata?

Sarà, comunque, indispensabile porre in atto una serie di misure di protezione dei dati contenuti nei documenti stampati, prevedendo quantomeno che:

  1. non si possa procedere alla stampa immediata, dotando la stampante di un sistema di holding che impedisca il rilascio del documento fino a che l’utente non si sia autenticato davanti alla macchina, ad esempio con un pin personale (che deve, naturalmente, essere custodito dall’utente e non divulgato a terzi);
  2. la stampante identifichi in modo univoco l’utente aziendale che ha proceduto ad una determinata stampa;
  3. il sistema tenga traccia, per un tempo ragionevole ma non eccessivo, di tutti i lavori di stampa degli utenti (chi ha stampato, nome del documento, pc utilizzato, stampante di output, data e timestamp della stampa, etc.), elevando, in questo modo, anche la responsabilità dell’individuo che immette l’input di stampa in merito alla effettiva opportunità di stampare quel documento;
  4. vi sia la possibilità per il responsabile IT di disporre del controllo degli accessi alle stampanti e di visualizzare i record delle vecchie stampate;
  5. si possano proteggere ulteriormente i documenti attraverso sistemi avanzati di identificazione quali il watermarking (che consente di inserire una filigrana al momento della stampa con le informazioni dell’utente che ha stampato, la data e l’ora e la stampante utilizzata) o la firma digitale;
  6. si provveda, sia durante il periodo di utilizzo sia all’atto della dismissione della macchina, a fare dei reset della memoria della stampante, ripulendola dai vecchi contenuti.

Solo adottando queste basilari misure di sicurezza di natura tecnica ed organizzativa si potrà ambire a rispettare le prescrizioni del GDPR anche con stampanti non di ultima generazione, tutelando gli interessati anche nell’esercizio dei propri diritti garantendo ad esempio, la cancellazione dalle memorie delle stampanti di tutti i dati non più necessari o attuali o pertinenti con le finalità per le quali erano stati oggetto di trattamento.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr