Sicurezza

Per la privacy italiana/GDPR non esiste più una regola fissa tipo “cambio password ogni 3 mesi” valida per tutti.

Oggi il principio corretto è: il titolare deve adottare misure tecniche e organizzative adeguate al rischio. Il Garante richiama l’art. 32 GDPR e chiarisce che non ci sono più obblighi generalizzati di “misure minime” uguali per tutti: la valutazione va fatta caso per caso.

Ogni quanto cambiare la password?

Regola pratica consigliata oggi

Per utenti normali/client aziendali:

non obbligare il cambio periodico ogni 30/60/90 giorni, salvo casi particolari.

Il cambio password va imposto quando:

1. c’è sospetto o certezza di compromissione;
2. un dipendente lascia l’azienda o cambia mansione;
3. una password è stata condivisa;
4. un account è stato usato da più persone;
5. c’è stato malware, phishing, accesso anomalo o data breach;
6. è una password iniziale/temporanea;
7. è una password debole o riutilizzata.

Questa impostazione è coerente anche con le linee guida moderne NIST: non richiedere cambi periodici arbitrari, ma forzare il cambio se ci sono evidenze di compromissione.

Quindi il cambio “ogni 90 giorni” è sbagliato?

Non è sempre sbagliato, ma oggi è considerato una pratica vecchia se applicata in modo automatico a tutti.

Il problema è che il cambio frequente porta spesso gli utenti a usare password prevedibili:

• Password01
• Password02
• Estate2026!
• Primavera2026!

Oppure a scriverle su fogli, post-it o file Excel.

Configurazione consigliata per un’azienda

Per un normale ambiente aziendale con PC Windows / dominio / Microsoft 365, noi impostiamo così:

Tipo account	Cambio periodico	Consiglio
Utenti normali	No, non forzato	Cambiare solo se compromessa o sospetta
Password temporanea	Sì	Cambio obbligatorio al primo accesso
Amministratori	Sì, più controllato	Meglio MFA + password lunghe + account separati
Account condivisi	Da evitare	Se inevitabili, rotazione documentata
Account di servizio	No cambio casuale	Password lunga, protetta, rotazione pianificata
Utenti esterni/clienti	No forzatura frequente	MFA e recupero password sicuro

Come devono essere le password

Impostazione consigliata:

• almeno 12 caratteri per utenti normali;
• meglio 14–16 caratteri per amministratori;
• evitare password già usate;
• bloccare password comuni o compromesse;
• non usare nome azienda, anno, stagione, nome utente;
• usare MFA dove possibile;
• preferire frasi lunghe, ad esempio:
  MioCaneCorreNelParco2026!

In sintesi: per il GDPR non serve dimostrare che cambi password ogni 90 giorni; serve dimostrare che hai adottato misure adeguate al rischio. Il cambio periodico può restare sensato per sistemi molto critici o dati particolarmente delicati, ma dovrebbe essere un’eccezione motivata, non una regola generale per tutti.

Vulnerabilità critica e compromissione supply chain Notepad++

Identificativi:

• CVE-2025-49144 – Escalation di privilegi con esecuzione di codice arbitrario
• Supply Chain Attack – Compromissione del sistema di aggiornamento da parte di attori nation-state

Gravità: ALTA – CVSS 7.3/10.0

Periodo di compromissione: giugno – dicembre 2025

Di cosa si tratta

Tra giugno e dicembre 2025, il meccanismo di aggiornamento automatico di Notepad++ è stato compromesso da attori sponsorizzati dallo stato cinese (gruppo identificato come Violet Typhoon / APT31). Gli attaccanti hanno ottenuto accesso al server di hosting condiviso che ospitava il sistema di aggiornamento, reindirizzando selettivamente gli utenti verso server malevoli che distribuivano un eseguibile infetto (AutoUpdater.exe) mascherato da aggiornamento legittimo.

Parallelamente, la CVE-2025-49144 consente a un attaccante di sfruttare una vulnerabilità di escalation di privilegi per eseguire codice arbitrario con privilegi elevati sul sistema target.

Sistemi potenzialmente interessati

• Tutte le installazioni di Notepad++ con versione precedente alla v8.8.9
• In particolare, sistemi che hanno utilizzato l’aggiornamento automatico nel periodo giugno–dicembre 2025

Perché è particolarmente grave

• L’attacco è stato condotto da attori nation-state con capacità avanzate e ha portato ad attacchi hands-on keyboardpresso le organizzazioni colpite
• Il targeting era selettivo, con focus su organizzazioni con interessi nell’Asia orientale, in particolare nei settori telecomunicazioni e servizi finanziari
• Notepad++ è uno strumento estremamente diffuso tra sviluppatori, amministratori di sistema e ingegneri DevOps, con centinaia di milioni di installazioni a livello globale
• Il malware distribuito effettuava ricognizione di sistema ed esfiltrazione di dati verso server esterni

Azioni raccomandate

1. Censire tutte le installazioni di Notepad++ presenti nella vostra infrastruttura (postazioni di lavoro e server)
2. Aggiornare immediatamente alla versione v8.9.1 o successiva, scaricandola manualmente dal sito ufficiale (non tramite l’updater automatico delle versioni precedenti)
3. Valutare la disinstallazione completa laddove non strettamente necessario, in conformità con il principio di riduzione della superficie d’attacco
4. Verificare eventuali indicatori di compromissione sui sistemi che hanno utilizzato l’aggiornamento automatico nel periodo interessato (presenza di file AutoUpdater.exe anomali, connessioni verso temp.sh, file denominati a.txtin directory temporanee)
5. Monitorare i log di rete per eventuali connessioni sospette riconducibili all’attività di ricognizione del malware