Sicurezza delle password: perché il mito dei 90 giorni deve finire (e cosa dice davvero la norma italiana)

cambio-password-90-giorni-mito-normativa-italia

Ne parliamo spesso, forse troppo, eppure è un tema che continua a suscitare scontri anche fra professionisti della sicurezza informatica. Durante un recente audit nel quale ho lavorato, mi sono trovato ancora una volta a dover argomentare sia sulla struttura della password forte, ma soprattutto contro l’imposizione del cambio password ogni 90 giorni, invocato come fosse un comandamento normativo immutabile. Mi ha fatto riflettere e non poco, il fatto che molti specialisti del settore, ben pagati e presumibilmente aggiornati, continuino a ripetere come un mantra le linee guida del NIST del 2003, quelle delle maiuscole, dei caratteri speciali e della scadenza trimestrale, ignorando completamente che Bill Burr ha fatto mea culpa nel 2017 e che il NIST stesso ha fatto marcia indietro. Persino citare l’aggiornamento del NIST del 2017 o il fatto che Microsoft 365 sconsiglia l’attivazione della scadenza password, abbassando lo score di sicurezza se lo fai, non è bastato. Dall’altra parte ci sono io, che non ho una laurea in materia né certificazioni formali come un DPO o un auditor specializzato, ma nel mio lavoro mi occupo concretamente di cybersicurezza e ho svolto anche attività che di norma competono a un DPO. Mi sono autoformato per curiosità e passione, con un’attenzione quasi maniacale alla sicurezza dei dati e forse proprio per questo ho recepito il cambiamento normativo, trovandomi paradossalmente più informato di professionisti con titoli e formazione strutturata che dovrebbero occuparsene a tempo pieno.

Perché scrivo oggi di questo argomento? Perché con il corso sull’intelligenza artificiale che sto seguendo ho ulteriormente alzato il livello con cui la utilizzo, specialmente nella parte dedicata alla cybersicurezza, dove abbiamo affrontato proprio il cambiamento del NIST e il mito dei 90 giorni in Italia, verificando che non esiste alcuna norma specifica che lo imponga. Utilizzando più intelligenze artificiali che operano verifiche incrociate, riducendo allucinazioni ed effetto alone, ho fatto una ricerca mirata per confermare ciò che sapevo: volevo la certezza, perché da autodidatta lascio sempre un margine di dubbio. Non mi sono però limitato a fidarmi dell’output: ho applicato il mio consueto pensiero critico, andando a verificare personalmente le fonti e i documenti originali citati dalla macchina. Quello che segue è quindi una sintesi di ciò che ho imparato negli anni, integrato con informazioni e riferimenti verificati, affinché sia il più possibile oggettivo e non solo una mia opinione soggettiva.

Le origini dell’errore: Bill Burr e il NIST del 2003

L’equivoco parte da lontano, precisamente dal 2003, quando il National Institute of Standards and Technology pubblicò la Special Publication 800-63 Appendix A. L’autore, Bill Burr, non era un esperto di crittografia ma un manager che scrisse quelle regole basandosi sul “buon senso” dell’epoca: password complesse con maiuscole, numeri, caratteri speciali e, appunto, scadenza obbligatoria. L’intento era nobile, rendere la vita difficile agli attaccanti che usavano attacchi brute force, ma il risultato pratico fu disastroso. Queste linee guida divennero uno standard de facto, replicate in tutto il mondo, Italia compresa e incorporate in innumerevoli policy aziendali e normative di settore senza mai essere rimesse in discussione.

Il problema fondamentale di quell’approccio era che ignorava completamente il fattore umano. Quando costringi un essere umano a ricordare stringhe complesse e a cambiarle ogni tre mesi, il cervello cerca scorciatoie: Paword01!diventaPaword01! diventa Paword01!diventaPaword02!, poi Pa$$word03!, in una sequenza facilmente prevedibile per chiunque voglia craccare un account. Uno studio del 2010 della Florida State University dimostrò che il 70% degli utenti, quando obbligati a inserire numeri nella password, li aggiungeva semplicemente all’inizio o alla fine, mentre la maggior parte si limitava a capitalizzare una lettera e ad aggiungere “1” o “!”. Gli hacker hanno da tempo adattato i propri strumenti a questi schemi noti, rendendo queste password tanto complesse quanto inutili.

Il mea culpa e la svolta del 2017

Nel 2017, Bill Burr, ormai in pensione, ammise in un’intervista al Wall Street Journal: “Mi dispiace molto per quello che ho fatto. Alla fine, era troppo complicato per troppa poca utilità”. Quello stesso anno, il NIST pubblicò la Special Publication 800-63B, ribaltando completamente le vecchie raccomandazioni. Le nuove linee guida stabiliscono principi chiari: niente più scadenze arbitrarie delle password, da cambiare solo in caso di evidenza di compromissione; priorità alla lunghezza sulla complessità, perché una passphrase lunga come “IlCavalloMangiaLaCarotaViola” è matematicamente molto più difficile da craccare di “P@55w0rd” ed è anche più facile da ricordare; eliminazione delle regole di composizione assurde, come l’obbligo di caratteri speciali se la password è sufficientemente lunga. L’esempio citato dal fumettista Randall Munroe è emblematico: ci vorrebbero 550 anni per craccare la password “correcthorsebatterystaple” scritta tutta attaccata, contro i soli 3 giorni necessari per “Tr0ub4dor&3”.

Questa inversione di rotta non è stata casuale: il boom di data breach dal 2003 in poi ha fornito ai ricercatori centinaia di milioni di password compromesse da analizzare, permettendo di capire come le persone realmente si comportano quando costrette a seguire regole troppo rigide. Il risultato? La sicurezza reale diminuiva, nonostante l’apparente complessità formale

Il mito dei 90 giorni in Italia: cosa dice davvero la norma

In Italia circola ancora la convinzione che esista un obbligo di legge che imponga il cambio password ogni 90 giorni. È un falso storico. L’obbligo esisteva nell’Allegato B del D.Lgs 196/2003, il cosiddetto Codice Privacy, che imponeva il cambio password ogni sei mesi per tutti e ogni tre mesi per i dati sensibili o giudiziari. Con l’entrata in vigore del GDPR e del D.Lgs 101/2018, che ha adeguato la normativa italiana al regolamento europeo, l’Allegato B è stato espressamente abrogato dall’art. 27, comma 1, lettera b.

Oggi non esiste alcuna norma statale che imponga una scadenza temporale fissa per le password, valida per la generalità delle aziende private e dei professionisti. Il GDPR, all’articolo 32, impone il principio di accountability, responsabilizzando il titolare del trattamento affinché metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Non esiste alcun articolo del GDPR che citi “90 giorni”, la scelta della frequenza è demandata al titolare in base alla propria analisi dei rischi.

Le eccezioni settoriali e gli obblighi residui

Nonostante l’assenza di una norma generale, la regola dei 90 giorni sopravvive in contesti specifici. La Pubblica Amministrazione deve rispettare le Misure Minime di Sicurezza ICT previste dalla Circolare AgID n. 2/2017, che richiede la sostituzione delle password amministrative con “sufficiente frequenza”, senza specificare un numero di giorni. Molte PA hanno tradotto questa espressione generica in “90 giorni” per autotutela, ma si tratta di una scelta amministrativa interna, non di un vincolo di legge.

Per chi gestisce transazioni con carte di credito si applica lo standard PCI-DSS, che nella versione 4.0 richiede ancora il reset delle password ogni 90 giorni. Questo però è un obbligo contrattuale privato tra l’azienda e i circuiti di pagamento come Visa e Mastercard, non una legge italiana e persino questo standard ammette eccezioni se si utilizzano analisi del rischio in tempo reale e autenticazione forte.

Nei settori sanità e telecomunicazioni, dove si trattano dati particolarmente sensibili, i provvedimenti del Garante Privacy richiedono procedure di autenticazione forte. Spesso le aziende mantengono il cambio password frequente per inerzia, ma la vera richiesta normativa odierna per questi dati critici è l’adozione di smart card o autenticazione multifattoriale, non il semplice cambio password trimestrale.

Microsoft 365 e il paradosso dello score di sicurezza

Vale la pena soffermarsi su un aspetto spesso ignorato: Microsoft 365, piattaforma usata da milioni di organizzazioni, ha per impostazione predefinita le password che non scadono mai. Se un amministratore attiva la scadenza periodica, alcune versioni del Microsoft Secure Score raccomandano persino di impostare una durata massima di 60-90 giorni, ma si tratta di raccomandazioni ormai datate che convivono con la documentazione ufficiale di Microsoft, che negli stessi manuali sconsiglia esplicitamente la scadenza arbitraria delle password. Questa contraddizione interna riflette perfettamente lo stato di confusione del settore: da una parte le best practice moderne che convergono verso l’eliminazione della scadenza, dall’altra vecchie metriche di sicurezza mai aggiornate che continuano a penalizzare chi segue le indicazioni più recenti.

Le linee guida ACN e Garante Privacy del 2023

A dicembre 2023, l’Agenzia per la Cybersicurezza Nazionale e il Garante Privacy hanno pubblicato congiuntamente le Linee Guida sulla Conservazione delle Password. Queste linee guida si concentrano sulle funzioni crittografiche da utilizzare per conservare le password in forma criptata nei database, raccomandando gli algoritmi di password hashing più sicuri. È significativo che in questo documento, che rappresenta lo stato dell’arte della sicurezza informatica in Italia, non venga reintrodotto alcun obbligo di cambio periodico. Il focus è sulla robustezza tecnica della conservazione, non sulla rotazione temporale, confermando l’evoluzione dell’approccio normativo dal controllo burocratico alla sostanza tecnica.

La soluzione che funziona: passphrase lunghe e autenticazione multifattoriale

Per rispettare davvero l’articolo 32 del GDPR e aumentare la sicurezza reale, l’approccio moderno da sostituire alla vecchia regola dei 90 giorni prevede password molto lunghe, meglio se passphrase composte da almeno 12-14 caratteri, che non scadono mai salvo evidenza di compromissione o sospetto attacco. Ancora più importante è l’abilitazione obbligatoria dell’autenticazione a due fattori, tramite app authenticator, token hardware o altri meccanismi. Anche se un hacker indovinasse la password, che potrebbe non cambiare da un anno, non potrebbe comunque accedere senza il secondo fattore, tipicamente il telefono dell’utente. Questo livello di protezione è infinitamente superiore al cambiare una password debole ogni tre mesi.

L’utilizzo di password manager aziendali completa il quadro: l’utente deve ricordare soltanto una master password robusta, mentre il software genera e gestisce tutte le altre con 20 o più caratteri casuali. Questo elimina alla radice il problema della memorizzazione multipla e dei post-it sotto la tastiera, preparando il terreno per tecnologie ancora più avanzate..

Oltre la password: l’evoluzione verso le passkey

La sicurezza sta compiendo un ulteriore salto in avanti con l’adozione delle passkey, l’evoluzione dello standard FIDO2 che punta a superare definitivamente le password tradizionali. Sempre più servizi stanno integrando questa tecnologia: negli ultimi mesi anche piattaforme di massa come Aliexpress chiedono agli utenti se vogliono attivare le passkey al momento dell’accesso. Non è un caso isolato. Microsoft si sta orientando verso questa direzione, permettendo di integrare in Windows soluzioni di terze parti per la gestione delle passkey, tra cui proprio Bitwarden, il password manager che abbiamo citato. Le passkey utilizzano la crittografia asimmetrica eliminando il rischio di phishing e data breach: non esiste una “password” da rubare, ma solo una coppia di chiavi crittografiche di cui quella privata non lascia mai il tuo dispositivo. Quando un sito viene compromesso, gli attaccanti non trovano credenziali da vendere nel dark web, ma solo chiavi pubbliche inutilizzabili senza la corrispondente chiave privata. Se il servizio che utilizzi ti propone di attivare le passkey, valuta seriamente questa opzione: rappresenta il futuro prossimo dell’autenticazione digitale.

Consigli pratici per una sicurezza reale

Creare una password forte: la tecnica della passphrase

La base di una buona sicurezza informatica parte dalla password, ma non quella che abbiamo imparato a creare negli anni 2000. Dimentica le regole di “almeno una maiuscola, un numero e un carattere speciale”: quello che conta veramente è la lunghezza. Una passphrase è una sequenza di parole concatenate che forma una frase facile da ricordare ma difficilissima da craccare. Invece di “P@55w0rd!”, prova “CaneVerdeCorrevaNelBosco2024” oppure “LibroRossoSullaTavolaBlu”. Più lunga è la frase, più aumenta esponenzialmente il tempo necessario per decifrarla: ogni carattere aggiuntivo moltiplica le possibili combinazioni, rendendo l’attacco brute force praticamente impossibile. L’utente medio ricorda facilmente una frase di senso compiuto rispetto a stringhe criptiche, eliminando la tentazione di scriverla su un post-it.

Attivare sempre l’autenticazione a due fattori (2FA/MFA)

Se c’è una sola cosa che devi fare oggi per proteggere i tuoi account, è attivare l’autenticazione a due fattori ovunque sia disponibile. La 2FA, o MFA quando prevede più di due fattori, aggiunge un secondo livello di verifica oltre alla password: anche se qualcuno scopre le tue credenziali, non potrà accedere senza il codice temporaneo generato dal tuo telefono o da un token hardware. La maggior parte dei servizi online ormai offre questa funzionalità, dalle email ai social network, dai servizi bancari alle piattaforme di lavoro. Preferisci le app authenticator come Google Authenticator, Microsoft Authenticator o Authy rispetto agli SMS, perché questi ultimi sono vulnerabili ad attacchi di SIM swapping. Dove possibile, utilizza chiavi di sicurezza hardware come YubiKey per un livello ancora superiore di protezione.

Utilizzare un password manager

Gestire decine di password diverse, tutte lunghe e complesse, è impossibile senza un aiuto. I password manager sono strumenti progettati proprio per questo: memorizzano in modo crittografato tutte le tue credenziali, richiedendoti di ricordare soltanto una master password robusta. Tra le soluzioni più affidabili ci sono KeePass, completamente gratuito e open source, che conserva il database delle password in locale sul tuo dispositivo o sincronizzato su un cloud di tua scelta, garantendoti il controllo totale dei dati. È la soluzione ideale per chi ha dimestichezza con l’informatica e vuole la massima autonomia. Bitwarden rappresenta un ottimo compromesso: open source con codice verificabile su GitHub, multipiattaforma con integrazione perfetta su sistemi operativi desktop e mobile, include strumenti di verifica per data breach e offre un piano gratuito molto generoso. La crittografia AES-256 bit con architettura zero-knowledge garantisce che nemmeno Bitwarden possa accedere ai tuoi dati. Attenzione importante: durante la registrazione a Bitwarden, assicurati di selezionare il server EU per mantenere i tuoi dati all’interno dell’Unione Europea, garantendo la piena conformità al GDPR e maggiore controllo sulla giurisdizione. Per l’utente medio meno pratico, Google Password Manager, integrato nativamente in Chrome e Android, offre la massima semplicità d’uso con un livello di sicurezza cresciuto notevolmente negli ultimi anni, includendo anch’esso funzioni di verifica per data breach e alert automatici. Qualunque soluzione tu scelga, l’importante è iniziare a usarne una: il salto qualitativo nella sicurezza è immediato.

Conservare i codici di recupero in modo sicuro

Quando attivi la 2FA su un account, il servizio ti fornisce solitamente dei codici di backup o di recupero da utilizzare come ultima spiaggia se perdi l’accesso al dispositivo di autenticazione. Questi codici vanno conservati in un luogo sicuro e il password manager stesso è il posto ideale: crea una nota cifrata dedicata dove archivi tutti i codici di emergenza dei tuoi account principali. Considera che il numero di telefono è diventato una vera e propria chiave di sicurezza, legato a moltissimi servizi: se lo perdi o ti viene rubata la SIM, quei codici di backup potrebbero essere l’unico modo per rientrare nei tuoi profili. Alcuni servizi permettono di generare più chiavi di recupero o di designare contatti fidati per l’accesso di emergenza: valuta queste opzioni per gli account davvero critici, quelli da cui dipende la tua identità digitale o il tuo lavoro.

Riflessione finale: la burocrazia contro la sostanza

Quello che emerge da questa analisi è un quadro sconfortante, nel quale molti professionisti della sicurezza si limitano a replicare prassi consolidate senza verificarne la validità attuale, confondendo il rispetto formale di procedure obsolete con la protezione reale dei dati. Il paradosso è che chi si forma autonomamente e segue l’evoluzione degli standard internazionali finisce per essere più informato di chi dovrebbe occuparsene per mestiere. Non è polemica, è una constatazione: se durante un audit del 2025 mi viene chiesto di implementare il cambio password ogni 90 giorni invocando una norma non specificata e citare il NIST 2017 non basta a smuovere quella posizione, significa che c’è un problema sistemico di aggiornamento professionale. La sicurezza informatica è una disciplina che evolve rapidamente, chi si ferma alle certezze del 2003 non sta proteggendo nessuno, sta solo alimentando un teatro della sicurezza che fa sentire tutti più tranquilli senza aumentare di un millimetro la protezione effettiva.