Il sito dell’Inps si impalla e viene prima sospeso, infine bloccato. Sarà riaperto il giorno seguente, ma limitando il traffico con un sistema simile a quello delle targhe alterne: la mattina i patronati, il pomeriggio i privati. Domandare il bonus di 600,00 € che il governo ha previsto quale sostegno ai lavoratori autonomi danneggiati dal fermo causato dal Covid-19 sta risultando una vera impresa.
E poiché al peggio non c’è mai fine, oltre ad impallarsi il sito dà di matto e inizia a diffondere dati personali di sconosciuti agli utenti che eseguono l’accesso. Insomma, un data breach (violazione dei dati) in piena regola, una delle più gravi cui l’Ente Previdenziale si sia trovato a far fronte. Da cosa è dipesa questa falla?
Le dita vengono subito puntate sugli attacchi hacker. Pasquale Tridico, presidente dell’Istituto, afferma che il sito è da giorni vittima di attacchi da parte di pirati informatici (i cosddetti hacker) e che nel giorno nero del sito dell’INPS si sono avuti ben tre attacchi in pochi minuti.
La verità, però, è che gli hacker cercano di lavorare nell’ombra, mentre una falla di questa portata si tira addosso mille riflettori. Probabilmente, quindi, la causa del leak (falla) è da ricercare altrove. Forse nell’estremo tentativo di dopare un sito incapace di far fronte allo stress che le oltre mille domande al minuto che pervenivano fino a quel momento gli stavano procurando.
Probabilmente, quindi, per offrire un servizio migliore, i programmatori del sito avranno pensato di modificare il modo in cui il sito gestiva la memoria cache, ovvero quella “veloce” su cui sono registrati i dati di più frequente e recente utilizzo, dando vita ad uno strano effetto collaterale: un utente, accedendo al sito, si trovava di fronte non i propri dati, ma quelli di qualcuno che il sito lo aveva usato in precedenza, come se fossero propri: Nome e cognome, codice fiscale, situazione fiscale, email, pec, ma anche la condizione di “necessità” (per cui si è presentata la domanda di bonus) tutto spiattellato di fronte ad uno sconosciuto. E forse anche con la possibilità di “alterare” i dati che altri avevano conferito.
Il Garante della Privacy, preoccupato per il grave evento, ha dichiarato a Adnkornos: «Avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati». Il garante ha quindi aggiunto: «Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese».
INPS, a questo punto, ha 72 ore per presentare un resoconto sul data breach e spiegare le cause, il numero di persone coinvolte, e le soluzioni poste in essere e, data la gravità dell’evento, contattare singolarmente anche le persone coinvolte.
Qualora, poi, fossero riconosciute responsabilità in capo all’istituto previdenziale, il rischio è quello di dover ristorare i danni materiali e immateriali eventualmente causati agli utenti pagando una sanzione che, secondo il regolamento UE 2016/679 può arrivare alla considerevole cifra di 20 milioni di euro.
