Ci risiamo: l'utilizzo da parte degli enti pubblici di tecnologie insufficienti per erogare i servizi ha mietuto com'era prevedibile un'altra vittima eccellente : L'INPS.

Infatti nel giorno della richiesta di accessione al contributo di 600 euro alle Partite Iva, l'intero sistema è andato in tilt: i dati di tutti i richiedenti che apparivano in chiaro, pagine che non si trovavano, disservizi vari. Finché non è giunta la spiegazione direttamente dalle parole del presidente dell’Inps, Pasquale Tridico: "Abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker",  "abbiamo dovuto sospendere temporaneamente il sito dell’istituto" aggiungendo che "nei giorni scorsi abbiamo informato le autorità di sicurezza nazionale, polizia e ministri vigilanti". In pratica il portale dell'INPS è stato temporaneamente chiuso per mezza giornata.

Prendiamo atto delle dichiarazione di Tridico con paio di  riserve, una teorica e una pratica. Da un punto di vista pratico non possono essere stati certo Hacker e tutto il resto dei criminali informatici che pullulano in rete, perché non si capisce per quale motivo avrebbero fatto entrare i singoli utenti nelle aree protette di altri utenti: un simile atteggiamento senza lucro o possibilità di mercanteggiare i dati non è da hacker e sul dark web non c'è traccia dei dati del portale INPS.

Rimangono quindi gli hacktivisti di Anonymous o LulzsecIta, con un incursione volta a dimostrare quanto poco al sicuro siano i dati dei cittadini. Ecco, questa potrebbe essere la spiegazione perche rientra "nelle corde" dei due gruppi. Peccato che puntualmente LulzsecIta e Anonymous abbiano comunicato la loro posizione:

“Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento!”.

Smentendo pubblicamente i vertici dell'INPS con una immagine ancor più caustica che dice “Il nuovo decreto ‘Cura Inps’ firmato quest’oggi da Anonymous Italia e Lulzsecita prevede un versamento di 600 euro da parte delle partite Iva alle casse dell’Inps. Per contribuire alle spese di gestione dei propri dati personali”.

Da un punto di vista pratico vi spiego, da sviluppatore web, quello che può essere successo: un banalissimo sovraccarico di banda, avvenuto perché chi dovrebbe bilanciare le risorse di accessibilità con le previsioni di accesso non è stato messo nelle condizioni di valutare quello che sarebbe successo, causando un collo di bottiglia colossale. Qualche pagina di codice scritto in fretta e furia senza il necessario debug e qualche utente smanettone che ha fatto un paio di click in più sul portale hanno fatto il resto, lasciando nel caos uno dei portali piu importanti della pubblica amministrazione italiana e facendo fare una figura meschina ai suoi vertici.

E d'altra parte con una variabile chiamata pippo cosa dobbiamo aspettarci???

Un valzer di bugie, menzogne false accuse e mezze verità che mette in risalto ancora una volta l’insufficiente gestione digitale italiana, che ancora oggi è dannatamente inadeguata.

Ciò che c’è di vero è invece lo sconforto del nostro Garante Antonello Soro che ha chiarito  "Siamo molto preoccupati per questo gravissimo data breach. Abbiamo preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati"

Possibili conseguenze? Sanzioni nei confronti dell’INPS che, specialmente in questo momento, sarebbero a dir poco catastrofiche e inopportune, specialmente se pensiamo quale è la fonte di introiti dell’INPS. Altra grave conseguenza per gli utenti. In questo caso oltre alle comunicazioni agli utenti viene da chiedersi cosa possa derivare se i dati entrassero nella disponibilità di qualcuno malintenzionato sul Darkweb.

Non vorremmo ripeterci: i dati personali altrui vanno protetti senza se e senza ma, con adeguate soluzioni perimetrali, con personale adeguatamente formato e dotato delle migliori tecnologie, e predisponendo anche gli strumenti giuridici necessari per far fronte a situazioni del genere che potrebbero ripetersi a breve. E le casse private o di altri enti sono ancora più a rischio.

Quando l’emergenza del Covid-19 sarà finita ci piacerebbe ripartire dall’articolo 82 del GDPR. Chissà, e in che misura, sarà tenuto al risarcimento dei danni per milioni di danneggiati. Gli enti si saranno cautelati con procedure interne adeguate e lettere di incarico che abbiano definito le responsabilità individuali?

Alessandro Papini - Presidente di Accademia Italiana Privacy
Avv. Gianni Dell'Aiuto - Comitato Scientifico