La vicenda
Poco dopo il lancio del servizio per l’ottenimento dell’indennità, a causa di un incidente di sicurezza numerosi utenti che hanno provato ad autenticarsi nel portale INPS hanno avuto – per errore – accesso ai profili di altri individui.
Si tratta di un data breach, cioè una violazione dei dati personali degli utenti le cui informazioni sono state indebitamente esposte a soggetti non autorizzati e che non dovevano avere accesso a quei dati personali.
Un data breach è un evento molto serio che può comportare rischi significativi per i soggetti i cui dati sono esposti, come ad esempio un furto di identità o attacchi di social engineering.
La normativa privacy prevede che in caso di violazione dei dati personali, il titolare del trattamento, cioè il soggetto che ha il controllo dai dati, è tenuto a notificare tale evento al Garante della privacy attraverso un modello disponibile sul sito dell’Autorità senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In determinate circostanze inoltre il titolare può essere tenuto a dare comunicazione dell’accaduto anche a tutti i soggetti coinvolti.
La notifica e l’intervento del Garante
Il 3 aprile, l’INPS ha pubblicato una comunicazione sul proprio sito, per spiegare di aver effettuato la notifica e per tranquillizzare gli utenti, mettendo a disposizione un indirizzo email per effettuare segnalazioni e dichiarando di aver intrapreso le azioni necessarie al fine di porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone coinvolte.
A seguito della notifica di data breach effettuata dall’INPS, e delle numerose segnalazioni ricevute, il Garante privacy ha avviato un’istruttoria per effettuare le opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
”Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’INPS e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.
Così si è pronunciato Antonello Soro, il Presidente dell’Autorità Garante per la protezione dei dati personali.
Perché è inutile sparare sulla croce rossa
Ad oggi non è chiaro se il data breach sia stato causato da un attacco hacker o da un errore di configurazione del portale, che non ha retto l’incredibile picco di accessi al servizio appena lanciato. Quello che è invece chiaro è che una volta effettuati i dovuti accertamenti sull’evento verificatosi, spetta al Garante il compito di individuare gli interventi necessari, che in caso di violazione del GDPR, potranno comportare anche sanzioni molto salate.
Una violazione dei dati personali è un evento molto grave e per prevenire tali eventi i titolari del trattamento devono assolutamente adottare tutte le misure di sicurezza sin dalla fase di progettazione dei propri servizi e prodotti, a maggior ragione se si prevede di dover gestire un numero elevato di utenti e quindi di dati personali.
In queste situazioni tuttavia è molto importante sapere come comportarsi in caso di data breach, per evitare di aggravare la situazione.
Immediatamente dopo i primi casi di accessi ai profili sbagliati, moltissimi utenti hanno iniziato a postare foto sui social network per denunciare l’accaduto, condividendo screenshot degli account in cui erano entrati per errore, e finendo così per moltiplicare inutilmente i rischi legati al databreach (oltre che rischiando di incorrere in eventuali illeciti).
Come sottolineato dal Garante privacy sul proprio sito infatti, in questi casi è assolutamente necessario “che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti.”
In certi casi, segnalare l’accaduto alle autorità competenti è più utile, e più sicuro, che condividere il proprio sdegno online.
Foto di copertina di Markus Spiske on Unsplash
Leggi anche:
- Cam4.com, il sito di sesso via webcam che ha esposto i dati sensibili di 4,9 milioni di utenti italiani
- Coronavirus, il fondatore fuoriuscito da Anonymous: «Col sito Inps in tilt gli hacker non c’entrano nulla» – L’intervista
- Coronavirus, il sito dell’Inps di nuovo in tilt al secondo giorno di assalto per i bonus. Ed è una pioggia di polemiche
- Coronavirus. La cassa integrazione in deroga si scontra con il diritto in emergenza
- Coronavirus. Con la circolare Inps al via le domande per la cassa integrazione
- La falsa circolare dell’Inps e le pensioni al 50% ad aprile per colpa del coronavirus
- Privacy: l’80% delle aziende non è “a norma”
- Facebook, pubblicati online i dati di 267 milioni di utenti
- Capitano cacciato dal Pentagono per aver chiesto di «salvare i suoi marinai dal Coronavirus»: in migliaia firmano la petizione per reintegrarlo
- Freniamo la sbornia digitale prodotta dal “lavoro casalingo”
