Violazione dei dati personali a carico dell’INPS
Il 14 maggio 2020 l’istituto nazionale di previdenza sociale (INPS) ha subito, presso i propri server, diverse violazioni dei protocolli di sicurezza cibernetica. L’accaduto è stato segnalato al Garante della protezione dei dati personali, come previsto dall’art. 33 del GDPR che ne dispone i temi e i modi di segnalazione.
Le violazioni dei dati personali a danno dell’INPS si è concretizzata nell’accesso non autorizzato di utenti al sito principale (www.inps.it) con relativa visualizzazione dei dati personali appartenenti a soggetti terzi.
Questo “bang” è avvenuto a causa dalla grande richiesta dei cittadini per l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”) e per la richiesta di prestazioni a sostegno del reddito, legate alla situazione emergenziale da COVID-19, previste dal d.l. 18/2020.
In merito a questo, l’istituto, al fine di garantire adeguati livelli di fruibilità dei servizi e protezione da eventuali attacchi DDOS, aveva deciso di fare ricorso a un servizio di CDN (Content Delivery Network), ritenuto:
“Idoneo per la gestione di questo modello di erogazione di servizi”.
Viene anche coinvolta la società Leonardo, la quale fornisce il supporto sistemistico formando di fatto un “tavolo tecnico” tra Inps, Microsoft e quest’ultima. In aggiunta a ciò, l’istituto si servirà dell’offerta tecnologica di Microsoft, in tema di distribuzione dei contenuti, basato sulla tecnologia Akamai. Tutte queste contromisure si riveleranno, però, inadeguate per fronteggiare il flusso di richieste.
A fronte dello scoppio dell’emergenza, l’INSP ha optato – in maniera drastica – per una temporanea chiusura del proprio sito internet. Tale decisione è stata necessaria per effettuare le ottimizzazioni del portale www.inps.it e il contingentamento del traffico proveniente dagli intermediari e dai cittadini.
Ulteriore misura di tutela per l’Istituto, al fine di limitare la diffusione dei dati personali, è stata quello di creare un’apposita casella ([email protected]) per consentire l’invio di segnalazioni ed evidenze in merito al data breach.
Dalle varie segnalazioni, si è arrivati a comprendere che i dati visualizzati da parte di soggetti terzi riguardavano, principalmente, dati anagrafici, di residenza e contatti telematici, riscontrato da un numero di soggetti non superiore a 819 persone.
A tal proposito l’INPS ha dichiarato che:
“Tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche” .
Non di poco conto, le ulteriori anomalie emerse da tale analisi anche se non collegate direttamente al portale dell’istituto, come ad esempio gli accessi non autorizzati ai dati personali occorsi già nella giornata del 31 marzo 2020 e anomalie riscontrate nell’ambito della procedura Indennità COVID-19.
In conclusione, il Garante Privacy – ai sensi dell’art. 58, par. 2, lett. e) del Regolamento – ingiunge l’INPS di comunicare, senza ritardo, le violazioni dei dati personali in esame a tutti gli interessati coinvolti. Inoltre, si richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di risolvere il problema e di fornire un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del provvedimento.
Questo ci deve far riflettere di come i nostri dati siano sempre potenzialmente a rischio se non evidenziamo in default tutte le possibili criticità.
Dott. Giuseppe Gorga (AIDR)
