INPS pesce d’aprile. Sito down. Garante della Privacy: Grave violazione, siamo molto preoccupati.

Problemi strutturali e risorse non adeguate hanno portato il sito dell’INPS a non essere più raggiungibile nella giornata di oggi.

La corsa al bonus di 600 euro ha visto l’INPS chiudere velocemente i battenti senza neanche averli aperti.

Il fatto.

È da ieri sera che provo ad accedere al servizio previsto da Cura Italia per tamponare l’emergenza Covid-19 . . . ma  niente. Le pagine rimangono “appese” per diversi minuti e poi arriva l’annuncio del server che non risponde. Vedo su Twitter che l’INPS è  sommersa dai messaggi di protesta e scrive di essere a “conoscenza della problematica.

Ma come . . . si sapeva che ci sarebbe stata una corsa enorme, anche perché provocata dall’algoritmo “chi prima arriva meglio alloggia”.

La circolare sulle modalità di erogazione del bonus pubblicata qualche giorno prima aveva innescato il timore che le domande sarebbero state accettate in ordine cronologico solo fino al raggiungimento del limite dei fondi stanziati (203.4 milioni di euro).

Come non pensare che qualche decina di milioni di italiani si sarebbero collegati al sito quasi contemporaneamente.

Ma la cosa più assurda è il data leak.

Entro nel sito INPS e vedo  i dati di altre persone e non i miei e se continuo  a ricaricare la pagina continuo a vedere i dati di altri .

In pratica sono stati esposti migliaia e migliaia di dati personali di altre persone. E’ una  violazione dei dati personali cosi come riporta il GDPR all’articolo 4.12 : “violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

E quindi.

Beh in base al GDPR  (l’articolo 33 34) a seguito di una violazione occorre procedere velocemente con una notifica al Garante. Poi bisogna provvedere a notificare agli  utenti quanto accaduto in quanto la perdita di questi dati rappresenta, a mio parere,  “un rischio elevato per i diritti e le libertà delle persone fisiche”.

La comunicazione del data breach deve essere dettagliata.

Bisogna fornire le informazioni di sintesi sulla violazione (quando è avvenuta, la natura della violazione, la causa della violazione, le categorie di dati personali oggetto di violazione, il volume dei dati personali oggetto di violazione, le categorie di interessati coinvolti nella violazione, numero di interessati coinvolti). Occorre poi descrivere le informazioni di dettaglio sulla violazione, le possibili conseguenze e gravità della violazione, le misure adottate a seguito della violazione.

Non è quindi una attività da poco per l’INPS considerando che ci sono pesanti sanzioni, che, come da GDPR, possono arrivare fino a 20 milioni di euro.

Ma il problema è “chi la paga”: l’amministrazione statale . . . e cioè  . . . noi?

Il garante della Privacy: “Subito accertamenti, intanto chiudere falla”.

Ed ecco intervenire l’Autorità privacy con una dichiarazione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, che esprime seria preoccupazione per l’esposizione di dati personali degli utenti.

”Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”, dichiara Soro.

”Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è  una questione che si ripropone costantemente, – continua il Garante – segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

Attacco hacker

Il presidente dell’Istituto, Pasquale Tridico, ha sostenuto l’ipotesi di hackeraggio.

Personalmente non ci credo per nulla. Primo perché  un cyber criminale non sferra un attacco il giorno in cui sa che ci saranno milioni di utenti collegati, secondo perché non mostrerebbe ad altri i dati rubati.

Il danno e la beffa.

Da una parte abbiamo il danno creato a milioni di cittadini che avrebbero potuto inoltrare le pratiche per il bonus legato all’emergenza per il coronavirus.

Dall’altro l’INPS ha dovuto subire anche lo sbeffeggiamento (è il vero pesce d’aprile) da parte di Anonymous che hanno twittato così: “Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! “

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Oldest
Newest Most Voted
Inline Feedbacks
View all comments