Data breach e falla del sistema
Pasquale Tridico, presidente dell’Inps, parla di hackeraggio per spiegare il blocco del sito dell’Inps nel giorno in cui doveva cominciare a ricevere le richieste per il bonus di 600,00 €, ma sembrerebbe più probabile che la piattaforma Inps si sia rivelata inadeguata.
Dalla notte del primo aprile, data di avvio delle richieste del bonus fino alle 8.30 della mattina sono pervenute 300 mila domande senza problemi.
Nella mattinata di ieri gli accessi sono aumentati e il sito ha cominciato a dare segnali di difficoltà nella gestione della mole di traffico che si stava generando fino ad andare in tilt.Ma in tarda mattinata si è evidenziata anche una situazione di data breach e numerosi utenti hanno avuto la disponibilità di dati, anche ‘sensibili appartenenti ad altri utenti.
Il disservizio che ha coinvolto utenti che cercavano di accreditarsi attraverso lo SPID – per intenderci, quel codice utente che consente di gestire l’FSE (Fascicolo Sanitario Elettronico) – fa dubitare che sia questo ad essere stato ‘bucato’.
Se questo fosse vero, sarebbe di una gravità inaudita perché appunto è lo strumento di accesso alle informazioni sanitarie.
Il Garante è intervenuto anticipando che verranno effettuati tutti i controlli utili a capire se si sia trattato di hackeraggio o di inadeguatezza della piattaforma, perché qualche dubbio è legittimo: gli hackeraggi hanno normalmente l’obiettivo di entrare in possesso dei dati, non di renderli disponibili per altri utenti, ignari e interessati esclusivamente ad attivare il prima possibile la propria procedura.
Visto dal di fuori dunque, il brutto pasticcio di ieri sembrerebbe più motivato dalla non tenuta del sistema che da un attacco hacker.
Ad ogni modo sarà necessario verificare il livello di sicurezza di progettazione by default e by design della piattaforma, capire le conseguenze, anche gravi, per gli utenti i cui dati sono stati diffusi indebitamente, vedere quali correttivi verranno adottati dall’Inps.
Soprattutto, mi aspetterei che, finita l’emergenza, la principale attività dell’ufficio del Garante sia quella di verificare gli aspetti privacy di tutti i siti che fanno capo ad organismi istituzionali.
Quello che tutti stiamo imparando con il Paese bloccato, è la necessità di strumenti, piattaforme, siti assolutamente sicuri ed efficienti per poter operare nelle attuali condizioni.
Ebbene, proprio i siti istituzionali ad oggi risultano non sicuri, privi di privacy policy o con documentazioni non aggiornate al nuovo Regolamento, e questo lascia intendere che non abbiano gestito un adeguamento al GDPR, un’analisi dei trattamenti e degli strumenti utilizzati, una valutazione del rischio.
Insomma: c’è un sacco di lavoro da fare…Qualche esempio?
Riporto di seguito le home page dei siti del Parlamento, del Senato e del Ministero della salute dove si può osservare nella URL la dicitura “Non sicuro”:
Si cita il Regolamento del Senato, e non il Regolamento UE 679/2016 – dominante in quanto tale rispetto a qualsiasi legge di ogni Paese appartenente alla UE – e non ci sono richiami al D. Lgs. 101/2018 – Codice privacy.
Simona Bia – Data Protection Officer
Il sito INPS invece è formalmente adeguato.
Ad ogni modo, per quanto occorso ieri, è possibile per gli interessati esercitare i diritti previsti dal Regolamento UE presentando istanza oltre a doveroso reclamo al Garante:
(…) Gli Interessati, inoltre, hanno il diritto di chiedere, nelle forme previste dall’ordinamento, la rettifica dei dati personali inesatti e l’integrazione di quelli incompleti; nei casi indicati dal Regolamento UE, fatta salva la speciale disciplina prevista per alcuni trattamenti, possono altresì chiedere la cancellazione dei dati, decorsi i previsti termini di conservazione, o la limitazione del trattamento; l’opposizione al trattamento, per motivi connessi alla loro situazione particolare, è consentita salvo che sussistano motivi legittimi per la prosecuzione del trattamento. (…)
Informazioni sul trattamento dei dati personali degli utenti dell’INPS, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679