Data Breach INPS
2 Aprile 2020
Immaginate di dover fare una richiesta ad un Ente pubblico. Immaginate di collegarvi al sito e inserire le credenziali per accedere alla vostra area riservata. Bene, immaginate adesso che invece di veder comparire i vostri dati, vi appaiano quelli di uno sconosciuto, il tutto a cavallo tra il 31 marzo e il 1° aprile…
Qualcuno potrebbe pensare ad uno scherzo messo a punto per i soliti creduloni, purtroppo invece il fatto è successo davvero e a farne le spese è stato l’INPS che in questi giorni è preso d’assalto da migliaia di utenti che inoltrano richieste per ottenere bonus, agevolazioni o congedi legati all’emergenza Covid-19.
Sicuramente non è stata una buona nottata per il Presidente INPS Pasquale Tridico che al risveglio si è difeso sostenendo la teoria di un attacco hacker e che segnala ulteriori tentativi di attacchi anche nelle ore seguenti.
La cosa però non convince del tutto gli addetti ai lavori a cui sembra in realtà un’anomalia senza precedenti che non ha portato a furto di dati personali ma solo la loro esposizione a terzi. A rafforzare questa tesi arriva anche il comunicato del gruppo Anonymous che vorrebbe prendersi volentieri il merito dell’azione ma incolpa di incapacità i vertici e i responsabili della sicurezza informatica dell’Ente.
La causa ipotizzata dagli esperti è che si sia verificato un errore di programmazione del sistema di cache che sarebbe dovuto servire ad aiutare il portale a stare online nei momenti di punta, evitando di chiedere tutte le volte le informazioni di compilazione degli utenti tenendole in memoria.
La cosa ha portato così alla visualizzazione dei dati inseriti da utenti precedenti: un errore, grave, che di solito viene risolto in fase di progettazione e non quando si è già online con il servizio.
Scoperto il problema il sito è stato messo off line per qualche ora e rimesso on line nella giornata del 2 aprile con una segmentazione degli utenti: Intermediari e Patronati potranno accedere alle compilazioni dalle 8.00 alle 16.00 mentre i cittadini avranno accesso dalle ore 16.00 alle ore 8.00.
Aspetti GDPR del Data Breach INPS
A livello privacy il Presidente del Garante Antonello Soro ha dichiarato che verranno attivate subito verifiche: “Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.
Commentando il caso del sito dell’Inps con AdnKronos Soro aggiunge:
”Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.
Lo scenario che si prospetta è di un Data Breach di proporzioni enormi ed il GDPR in merito alle attività da svolgere è molto chiaro:
- notifica di violazione all’Autorità entro 72 ore;
- segnalazione agli Interessati dato il rischio elevato per i diritti e le libertà dei soggetti;
- possibile sanzione con massimale da 20 milioni di euro.
Per non parlare poi di eventuali conseguenze e azioni di rivalsa da parte dei cittadini coinvolti nella violazione dei dati.
Che il sito INPS non fosse GDPR compliant era intuibile dal fatto fossero ancora presenti informative legate alle compilazioni on line che riportavano il D. Lgs. 196/03 come norma di riferimento. Considerando l’entrata in vigore del Regolamento Europeo il 24 maggio 2018, questo suonava quanto meno strano…
Come spesso succede però si chiude la stalla quando sono scappati i buoi. In molti casi sono proprio le grandi istituzioni ad avere falle e purtroppo a subirne le conseguenze sono i soliti cittadini inermi.
