Il decreto legislativo n. 196, denominato "Codice in materia di protezione dei dati personali" ai più noto come legge a tutela della privacy, prevede, per chi fà trattamento di dati personali, l'entrata in vigore di una serie di obblighi nella gestione della sicurezza informatica. Tralascio di elencarli tutti, tipo aggiornamenti software, univocità dello username, obbligo di non comunicare a terzi le proprie credenziali, e mi soffermo su quanto previsto per la gestione delle password. Riporto di seguito cosa prevede l'allegato B. del decreto, allegato denominato "Disciplinare tecnico in materia di misure minime di sicurezza": La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.