Sito dell'Inps in tilt, improbabile l'attacco hacker. L'istituto notifica il data breach, ma non aveva il Dpo.Istruttoria del Garante Privacy

Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. E' accaduto all'Inps nel giorno in cui era possibile inviare le richieste di bonus e congedi. Provando ad accedere a uno dei tre servizi previsti dal Cura Italia per tamponare l'emergenza Covid-19, il sito provava a caricare le pagine per diversi minuti prima di annunciare che il server non rispondeva. Via Twitter, l'Inps, sommersa dai messaggi di protesta, aveva informato di essere a "conoscenza della problematica", scrivendo: "Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione".

Nel frattempo, come previsto dall'art.33 del Gdpr, l'istituto ha provveduto ad eseguire la notifica del data breach, ma da notizie attendibili è emerso che il Dpo sarebbe andato in pensione il 30 marzo 2020 senza essere sostituto da nessuno. Intanto il Garante per la protezione dei dati personali ha prontamente avviato l'istruttoria.

Numerosi gli utenti che, dopo aver inserito le proprie credenziali, avevano segnalato che il sito dell'Inps rimandava alle sezioni riservate e ai dati di altri utenti. Con tanto di nomi, anagrafe, codice e posizione fiscale, Pec. Non un errore isolato, a quanto pare. Molti utenti hanno segnalato che a ogni tentativo di accesso sono stati reindirizzati alle schede di altri cittadini a caso.

Sulla questione si è acceso subito anche il faro dell'Autorità garante della privacy, che ha espresso seria preoccupazione per l'esposizione di dati personali degli utenti. "Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l'Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. E' importante che ora l'Inps chiuda la falla e metta in sicurezza i dati".

Cercando in qualche modo di giustificare l'accaduto, il presidente dell'Istituto, Pasquale Tridico, ha affermato: "Negli ultimi giorni abbiamo subito diversi attacchi hacker che hanno creato diverse disfunzioni. Stamattina gli attacchi sono proseguiti, con disfunzioni ulteriori".

Anche se l'accesso al sito è rimasto sospeso a lungo, il presidente dell'Inps ha poi assicurato che sarebbe stato presto riaperto, sebbene "con una modalità diversa: la mattina, dalle 8 alle 16, a patronati e consulenti, dalle 16 in poi anche ai cittadini". Successivamente anche il premier Giuseppe Conte ha affermato che la piattaforma è stata oggetto di attacchi hacker.

Tuttavia, secondo Federico Bottino, esperto di comunicazione digitale e referente della comunicazione del Partito Pirata Italiano, le cose potrebbero essere andate non proprio così,  come ha spiegato all'Adnkronos: "Non penso che il problema sia stato un hacker da fuori ma la totale mancanza di hacker (esperti di sicurezza informatica) dentro. Ricordiamoci poi che nel 2020 denunciare un attacco hacker significa denunciare le proprie lacune in ambito cybersecuirty, quindi - anche fosse effettivamente stato un attacco doloso - la scusa non è assolutamente un'attenuante", ha sottolineato l'esperto.

Anche il giorno successivo al caos, la situazione non sembrava essersi ancora normalizzata. Mentre l'Inps faceva sapere che le domande per il bonus sono circa un milione e mezzo, si è messo in azione il Garante per la privacy, che nel frattempo ha ricevuto da parte dell'istituto la notifica del data breach, come previsto dall'art.33 del Gdpr per le violazioni dei dati personali.

Ma ad aggravare la situazione di fronte al Garante, sarebbe il fatto che al momento dell’incidente informatico l’Inps non avrebbe avuto neanche il Responsabile per la Protezione dei Dati (il cosiddetto Data Protection Officer), figura obbligatoria per tutte le pubbliche amministrazioni ai sensi dell’art.37 del Regolamento UE 2016/679. Come riferisce infatti la testata Wired, l’ultimo a ricoprire questo ruolo, nominato il 21 marzo del 2018, è andato poi in pensione il 30 marzo 2020, senza essere sostituito da nessuno.

Sull proprio sito istituzionale, l'Autorità per la protezione dei dati personali informa di aver "avviato un'istruttoria allo scopo di effettuare opportune verifiche e valutare l'adeguatezza delle contromisure adottate dall'Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati". Al fine "di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l'Autorità richiama l'attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti".

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Responsabili Privacy e Dpo, formazione di spessore per non sprecare tempo e soldi
Next Stop all'incetta di nomine di data protection officer

Presentazione libro Privacy, protezione e trattamento dei dati personali

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo