INPS: grave data breach o pesce d’aprile?

Inps protagonista di grave violazione dei dati personali degli utenti

Il 01 aprile, giorno notoriamente associato al c.d. “pesce d’aprile”, corrisponde, per uno scherzo del caso, alla data indicata dall’Istituto Nazionale per la Previdenza Sociale, per la presentazione, rigorosamente on-line, delle domande per accedere all’ormai noto bonus dei 600 euro.

Fin dalle prime ore il sito risultava “impossibile da raggiungere” e a tale disguido si è aggiunto l’attacco hacker di cui ha dato notizia il premier Conte.

In un contesto di estrema difficoltà si è verificato, forse, uno dei più grandi data breach (“un incidente nella sicurezza durante il quale si assiste all’accesso a delle informazioni senza autorizzazione”) della storia.

Invero chi è riuscito ad accedere alla piattaforma dell’Istituto si è trovato di fronte l’anagrafica (e rispettivi dati attinenti pensioni, assegni di invalidità, prestazioni assistenziali) di un altro utente.

La gravità di tale situazione impone l’obbligo di notifica della violazione dei dati personali (data-breach) all’autorità di controllo, come disciplinato all’art. 33 del GDPR 679/2016

Si tratta di un atto dovuto da parte del Titolare del Trattamento ed infatti la violazione dei dati personali può comportare danni economici o sociali per gli interessati, in particolare rispetto alla vita privata e familiare, al pregiudizio per la reputazione, alla perdita di riservatezza dei dati personali protetti da segreto personale, fino al furto di identità.

Quanto accaduto quest’oggi è un evento gravissimo, così come denunciato tempestivamente dal Garante della Privacy, Soro, il quale ha dichiarato “avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.

Il Titolare del trattamento infatti ha l’obbligo di mettere in atto tutte le misure tecnologiche e organizzative adeguate, ciò al fine di tutelare le parti più deboli, ovvero gli utenti.

La causa principale di tali “breach” è dovuta all’azione di una mano criminale. Gli hacker, provano spesso a rubare le credenziali di accesso ai sistemi, con diversi stratagemmi: tramite il dark web, negli uffici (attenzione alle fotografie che pubblichiamo sui social dall’ufficio) oppure usano dei software per la generazione automatica di password. Effettuato l’accesso, gli hacker possono poi raccogliere tutte le informazioni che vogliono e lanciare altri attacchi ai sistemi.

Possiamo serenamente affermare quanto prevedibile fosse l’elevato accesso alla piattaforma e l’eccezionale traffico che si sarebbe prodotto, non potendo far altro che constatare l’inevitabile disorganizzazione che caratterizza la nostra nazione soprattutto in materia di privacy “segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.