Sito INPS, privacy violata col boom di accessi per le domande del bonus 600 euro. Interviene il Garante: al via le indagini, nel frattempo nessuno utilizzi e diffonda i dati personali che sono fuoriusciti. Ma dall'Istituto, a parte qualche dichiarazione sugli attacchi hacker, nessuna comunicazione ufficiale è arrivata sul data breach.
Sito INPS, privacy violata col boom di accessi per le domande del bonus 600 euro. Gli utenti, i più fortunati, che nella mattinata del 1° aprile hanno potuto navigare sulle pagine del portale si sono trovati difronte a una sorpresa: l’identità di altre persone con tutto il pacchetto di dati personali che la piattaforma contiene, dal codice fiscale alla mail.
Si tratta di un data breach, una fuoriuscita di dati, e mentre l’Istituto indica l’origine della crepa che si è aperta sulla sicurezza dei dati personali negli attacchi hacker, il Garante per la privacy, con la notizia pubblicata il 2 aprile, informa: sono già partite le indagini.
Sito INPS, privacy violata col boom del bonus 600 euro: interviene il Garante
Il sito INPS continua ad andare in tilt da giorni: non solo per le domande del bonus 600 euro, anche per la cassa integrazione, per le domande di congedo, per le altre misure previste dal DL Cura Italia gli utenti stanno affollando le pagine del portale.
Ma senza dubbio la prova più difficile per le infrastrutture informatiche è stata la mattinata del 1° aprile, complice anche l’equivoco sul click day, gli aspiranti beneficiari dell’indennità si sono trovati numerosissimi contemporaneamente sulla piattaforma.
Ma non tutti hanno potuto navigare, e non tutti con la loro identità. L’infrastruttura informatica non ha retto il peso e si è aperta una crepa nella privacy.
Sia intermediari che singoli cittadini, senza neanche aver inserito le proprie credenziali sul sito INPS, si sono trovati difronte a nomi e cognomi di altri, provando a spostarsi tra le pagine web del portale sono venuti a contatto con intere e diverse schede anagrafiche: una violazione della tutela dei dati personali che ha fatto scattare subito l’allarme.
Con un tweet, l’INPS si è giustificato:
“Negli ultimi giorni il sito ha ricevuto attacchi hacker che sono continuati anche stamattina, e che abbiamo segnalato alle autorità. Il sito verrà riaperto con modalità diverse: dalle 9 alle 16 potranno accedere consulenti e intermediari e dopo le 16 gli utenti”.
Ma sulla questione, un episodio di data breach gravissimo per usare le parole del presidente del Garante Antonello Soro, c’è da vedere chiaro. E l’Autorità per la protezione dei dati personali sta già indagando, come si legge nella comunicazone pubblicata il 2 aprile:
“A seguito delle numerose segnalazioni pervenute e della notifica di data breach effettuata dall’INPS, in relazione alla violazione di dati personali che ha riguardato il suo sito istituzionale, il Garante per la protezione dei dati personali ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati”.
Sito INPS, privacy violata: l’allarme del Garante e il silenzio dell’Istituto
Nel frattempo la notizia del data breach e gli stessi dati degli interessati, protagonisti della violazione, hanno viaggiato in rete, ben oltre gli schermi di tutti coloro che, increduli, si sono trovati sul sito INPS a presentare domanda per il bonus 600 euro a nome di altre persone.
E proprio su questo aspetto collaterale, ma tutt’altro che marginale, si esprime l’Autorità Garante per la protezione dei dati personali:
“Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.
Un monito necessario, ma che non può avere effetti retroattivi. Nomi, cognomi, indirizzi fisici e contatti mail hanno già fatto un lungo percorso, superando i confini del sito INPS.
Anche per questo le sanzioni previste dal GDPR, regolamento comunitario a tutela della privacy, sono molto pesanti. Sul portale dell’Autorità per la protezione dei dati personali si legge:
“Il Garante può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale”.
Dall’Istituto, però, ancora nessun comunicato stampa ufficiale è arrivato sul tema, oltre al tweet in cui il presidente Pasquale Tridico parla degli attacchi hacker ricevuti.
L’ultimo comunicato stampa diffuso è del 2 aprile con i dati che riguardano le domande di prestazioni del DL Cura Italia: in totale 1.996.670 per 4.448.630 beneficiari.
Numeri importanti, ma prevedibili. D’altronde lo stesso Istituto il 19 marzo 2020 scriveva:“L’Inps è pronto a dare attuazione a tutte le misure del Decreto Cura Italia”.
Articolo originale pubblicato su Informazione Fiscale qui: Sito INPS, privacy violata col boom del bonus 600 euro: interviene il Garante