Sito INPS e violazione della privacy, arrivano le indicazioni: data breach notificato all'Autorità Garante per la tutela dei dati personali e un mail per le segnalazioni degli interessati coinvolti in prima persona. I dettagli nella comunicazione del 3 aprile, arrivata dopo giorni di silenzio sul tilt del portale dovuto al boom di domande per il bonus 600 euro.
Sito INPS e violazione della privacy, l’Istituto ha notificato al Garante per la protezione dei dati personali l’episodio di data breach e ha attivato un indirizzo mail per tutti gli interessati coinvolti in prima persona che sono invitati a inviare la loro segnalazione.
Con la notizia del 3 aprile 2020, e dopo l’intervento dell’Autorità, l’INPS si esprime con una comunicazione ufficiale sulla fuoriuscita di informazioni personali dovuta al boom di domande per ottenere il bonus 600 euro.
Sito INPS e violazione della privacy: un indirizzo mail per le segnalazioni
Nella mattinata del 1° aprile, primo giorno utile per richiedere l’indennità prevista dal DL Cura Italia, sul portale INPS c’è un grande traffico di potenziali beneficiari, preoccupati anche dall’equivoco sul clickday.
L’affluenza mette a dura prova il sito. Tanti non riescono ad accedere al portale, alcuni ci riescono, ma si trovano difronte a una sorpresa: navigano con l’identità di altri utenti avendo accesso a nome, cognome, mail, codice fiscale e a tutte le altre informazioni della scheda anagrafica.
Si verifica un data breach, una fuoriuscita di informazioni, che si traduce in una violazione dei dati personali degli interessati, alcuni utenti registrati al portale INPS.
Dopo un primo tweet in tempo reale in cui il presidente Pasquale Tridico parla di alcuni “attacchi hacker” subiti nei giorni precedenti, la comunicazione ufficiale sul data breach arriva con la notizia del 3 aprile, in cui l’Istituto fornisce anche alcune indicazioni pratiche da seguire:
“In tale ambito è istituita la seguente casella di posta elettronica [email protected] utilizzabile dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, allegando eventuali evidenze documentali.
L’Istituto si impegna a verificare tutte le segnalazioni ricevute e ad adottare ogni ulteriore misura tecnica e organizzativa adeguata di protezione dei dati personali che dovesse rendersi necessaria”.
Chiunque sia stato coinvolto nella violazione può scrivere all’indirizzo dedicato [email protected] allegando immagini o documenti che possano documentare l’accaduto.
Sito INPS e violazione della privacy: la notifica al Garante
Con la notizia del 3 aprile, inoltre, l’INPS avverte di avere “prontamente notificato il data breach” al Garante per la protezione dei dati personali.
E assicura:
“Fin dal momento in cui si è avuta conoscenza della possibilità che vi sia stata violazione di dati personali, sta assumendo tutte le misure atte a porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone fisiche”.
La notifica è un passaggio fondamentale e che deve sempre avvenire in maniera tempestiva, entro 72 ore, in linea con quanto stabilito dal GDPR, regolamento UE sulla protezione dei dati personali.
E proprio l’Autorità Garante per la privacy, il 2 aprile, è intervenuta sul caso del sito INPS, sottolineando che sono già in corso le indagini e invitando a non utilizzare e diffondere i dati personali che sono fuoriusciti.
Un monito necessario, ma che difficilmente avere effetti retroattivi, ripreso anche dall’INPS:
“Si richiama il contenuto dell’avviso del Garante in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”.
Articolo originale pubblicato su Informazione Fiscale qui: Sito INPS e violazione della privacy: un indirizzo mail per le segnalazioni