Violazione dati INPS, Faggioli (Clusit): “La parola al Garante Privacy”
L’accettazione delle richieste delle indennità di 600 euro da parte dei lavoratori autonomi previste dal decreto “Cura Italia” si è rivelata un incubo epocale per il sito di INPS, che da ieri a mezzanotte è stato travolto dal volume di accessi, che ha dato luogo a ripetute indisponibilità del servizio. Ma soprattutto avrebbe dato luogo a presunti gravissimi data breach, nel senso che molti cittadini hanno denunciato di aver avuto accesso, dopo aver immesso regolarmente i propri login e password, alle pagine personali di altri cittadini, e quindi a informazioni estremamente sensibili come i dati anagrafici, le posizioni previdenziali e le situazioni di invalidità.
I problemi quindi sono stati due. Il primo è che il sito di INPS non è stato in grado di reggere alla mole di richieste contemporanee. Ricordiamo che la platea potenziale è stimata in 5 milioni di persone, e che la stessa INPS aveva comunicato sul sito che le richieste sarebbero state considerate secondo l’ordine cronologico di presentazione, salvo poi cancellare questo dettaglio.
Il Presidente dell’Ente, Pasquale Tridico, sull’account Twitter dell’INPS stamattina ha spiegato che “dall’una di notte alle 8.30 circa, abbiamo ricevuto 300mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri”.
Il secondo problema riguarda i data breach: molte testate d’informazione riportano testimonianze dirette di cittadini che avrebbero avuto accesso involontariamente alle posizioni previdenziali di altri cittadini. A questo proposito stamattina la vicepresidente di INPS Luisa Gnecchi, come riporta l’ANSA, ha sottolineato che il disguido con scambio di identità tra gli utenti è durato cinque minuti, che “è una cosa gravissima che non deve succedere”, e che “sarà oggetto di verifica”.
Sempre ANSA riporta che Tridico ha ricondotto poi entrambi i problemi ad attacchi informatici dall’esterno: “Abbiamo ricevuto nei giorni scorsi, e anche stamattina, violenti attacchi hacker. Questa mattina si sono sommati ai molti accessi e il sito non ha retto. Per questo abbiamo sospeso il sito”.
Successivamente, nel pomeriggio Tridico sempre su Twitter ha dichiarato che “negli ultimi giorni il sito ha ricevuto attacchi hacker che sono continuati anche stamattina, e che abbiamo segnalato alle autorità. Il sito verrà riaperto con modalità diverse: dalle 9 alle 16 potranno accedere consulenti e intermediari, e dopo le 16 gli utenti”.
Il Garante: molto preoccupati, gravissimo data breach
Il data breach è stato definito “gravissimo” dal Garante della Privacy Antonello Soro, che già nel primo pomeriggio ha preso ufficialmente posizione: “Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.
Soro ha aggiunto che “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.
Faggioli: non ci sono precedenti di questo tipo
Su questa vicenda abbiamo chiesto un parere a Gabriele Faggioli, presidente di Clusit, l’associazione italiana per la sicurezza informatica: “Le violazioni sono innegabili e molto gravi, il punto è capire quali sono le cause: un conto è se sono dovute a uno o più attacchi esterni, un altro è sono dovute a manchevolezze nella progettazione della procedura web e delle misure di sicurezza informatica”.
Nel primo caso, spiega Faggioli, non è affatto detto che l’Inps abbia delle responsabilità, se dimostra di avere eseguito tutto ciò che le norme – in questo caso soprattutto il GDPR – prescrivono. “Nel secondo, più che una “class action” o contenziosi individuali, che per essere intentati richiedono di dimostrare di avere subito un danno, il rischio per l’Inps è di subire una sanzione amministrativa dall’Autorità Garante della Privacy, che farà partire una sua istruttoria sull’accaduto”.
Cosa che poi è effettivamente avvenuta, come ha comunicato il Garante, raccomandando che “chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.
Il GDPR, ricordiamo, prevede sanzioni amministrative fino a 20 milioni di euro (e fino al 4% del fatturato annuo per le imprese), “ma in questo caso”, sottolinea Faggioli, “non ha senso fare previsioni perché non si sono ancora precedenti di casi di questo tipo, soprattutto se consideriamo l’eccezionalità della situazione, con procedure che è stato necessario mettere in piedi in pochi giorni”.
“In questo periodo assolutamente eccezionale per aziende e organizzazioni il rischio è che l’emergenza possa spingere a fare le cose troppo in fretta allestendo delle procedure che non raggiungono la qualità minima che assicura la conformità alle norme sulla sicurezza informatica e sulla data protection”, conclude il Presidente del Clusit.