Sito Inps in tilt: il data breach non è stato un pesce d’aprile

Lo scorso 1° aprile sul sito dell’INPS è stato lanciato il servizio online per la richiesta dell’indennità COVID-19 di 600 euro. Il giorno stesso, dopo un’escalation di disservizi e malfunzionamenti, il sito è stato reso inaccessibile a causa di un databreach che ha esposto i dati degli utenti. Immediatamente sui social si è scatenato il panico. Vediamo perché.

La vicenda

Poco dopo il lancio del servizio per l’ottenimento dell’indennità, a causa di un incidente di sicurezza numerosi utenti che hanno provato ad autenticarsi nel portale INPS hanno avuto – per errore – accesso ai profili di altri individui. Si tratta di un data breach, cioè una violazione dei dati personali degli utenti le cui informazioni sono state indebitamente esposte a soggetti non autorizzati e che non dovevano avere accesso a quei dati personali. Un data breach è un evento molto serio che può comportare rischi significativi per i soggetti i cui dati sono esposti, come ad esempio un furto di identità o attacchi di social engineering


La normativa privacy prevede che in caso di violazione dei dati personali, il titolare del trattamento, cioè il soggetto che ha il controllo dai dati, è tenuto a notificare tale evento al Garante della privacy attraverso un modello disponibile sul sito dell’Autorità senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In determinate circostanze inoltre il titolare può essere tenuto a dare comunicazione dell’accaduto anche a tutti i soggetti coinvolti. 

La notifica e l’intervento del Garante

Il 3 aprile, l’INPS ha pubblicato una comunicazione sul proprio sito, per spiegare di aver effettuato la notifica e per tranquillizzare gli utenti, mettendo a disposizione un indirizzo email per effettuare segnalazioni e dichiarando di aver intrapreso le azioni necessarie al fine di porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone coinvolte. 

La comunicazione pubblicata sul sito dell’INPS

A seguito della notifica di data breach effettuata dall’INPS, e delle numerose segnalazioni ricevute, il Garante privacy ha avviato un’istruttoria per effettuare le opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati. 

Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’INPS e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”

Così si è pronunciato Antonello Soro, il Presidente dell’Autorità Garante per la protezione dei dati personali. 

Perché è inutile sparare sulla croce rossa

Ad oggi non è chiaro se il data breach sia stato causato da un attacco hacker o da un errore di configurazione del portale, che non ha retto l’incredibile picco di accessi al servizio appena lanciato. Quello che è invece chiaro è che una volta effettuati i dovuti accertamenti sull’evento verificatosi, spetta al Garante il compito di individuare gli interventi necessari, che in caso di violazione del GDPR, potranno comportare anche sanzioni molto salate. 

Una violazione dei dati personali è un evento molto grave e per prevenire tali eventi i titolari del trattamento devono assolutamente adottare tutte le misure di sicurezza sin dalla fase di progettazione dei propri servizi e prodotti, a maggior ragione se si prevede di dover gestire un numero elevato di utenti e quindi di dati personali. 

In queste situazioni tuttavia è molto importante sapere come comportarsi in caso di data breach, per evitare di aggravare la situazione. Immediatamente dopo i primi casi di accessi ai profili sbagliati, moltissimi utenti hanno iniziato a postare foto sui social network per denunciare l’accaduto, condividendo screenshot degli account in cui erano entrati per errore, e finendo così per moltiplicare inutilmente i rischi legati al databreach (oltre che rischiando di incorrere in eventuali illeciti). 

Come sottolineato dal Garante privacy sul proprio sito infatti, in questi casi è assolutamente necessario “che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”. In certi casi, segnalare l’accaduto alle autorità competenti è più utile, e più sicuro, che condividere il proprio sdegno online.

Foto di copertina di Markus Spiske on Unsplash

Leggi anche: