https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040 E di dicembre 2018, ma la scopro solo ora grazie ad Enrico Ferraris, di cui riporto la ottima sintesi: https://twitter.com/ebobferraris/status/1235934792497139715 Il Garante Privacy con provvedimento correttivo d'urgenza del 18/12/19 ha ingiunto al gestore ArubaPEC l'adozione di misure correttive, con particolare riferimento alla gestione delle password e l'accesso ai log. - fino al 25/09/19 le password iniziali (di 8 caratteri) erano trasmesse in chiaro dalle società partner sulle caselle di posta ordinaria dei titolari delle PEC, senza obbligo di modifica al primo accesso; - al 20/11/19 risultavano 559.151 caselle con la password iniziale; - attraverso un'applicazione *web* un numero indefinito di soggetti coinvolti a vario titolo nella gestione del servizio poteva consultare ed esportare, con credenziali condivise, i log (30 mesi) relativi a tutti i messaggi inviati/ricevuti da circa 6,5 milioni di caselle; - nei log dell'applicazione *web* "Area Clienti" erano memorizzate *in chiaro* le credenziali di autenticazione di utenze tecniche, nonché dati personali dei soggetti per cui era stata richiesta l'attivazione, da parte di un Partner, di una casella PEC. Giacomo