A seguito delle numerose segnalazioni inviate dai cittadini e della grave violazione di dati personali che ha riguardato il sito dell’INPS, il Garante della Privacy ha avviato un’istruttoria. Essa avrà come scopo quello di effettuare le opportune verifiche, valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari volti a tutelare i diritti e le libertà degli interessati.
Il Data Breach del sito INPS
Il 1° aprile 2020, il sito dell’INPS è andato in tilt a cause delle milioni di domande ricevute relative al bonus di indennità Covid-19. L’enorme quantità di richieste (circa 100 domande al secondo) ha infatti generato un vero e proprio crash informatico. Migliaia di cittadini hanno segnalato l’impossibilità di accedere al sito e molte persone (munite di screenshot) hanno anche affermato di essere stati rinviati a pagine in cui figurano nominativi privati, insieme a una serie di informazioni strettamente personali di cui è in possesso l’INPS. Di fronte a queste evidenti violazioni della privacy, il vicepresidente dell’Inps, Luisa Gnecchi, ha dichiarato: “Quello che è successo è gravissimo e non deve succedere e sarà oggetto di verifica”. L’Inps in seguito non ha fornito spiegazioni dell’errore, ma il 3 aprile ha confermato il problema e notificato il databreach al Garante della Privacy.
Possibili cause del data breach
Secondo gli esperti del settore, questa diffusione di dati personali strettamente privati è stata probabilmente causata da un tentativo dei tecnici INPS di alleggerire il carico sul server a fronte della richiesta in massa dei bonus da 600 euro. I tecnici avrebbero infatti staticizzato alcune pagine ma, per un errore ancora da accertare, il risultato è che sono apparsi i profili degli utenti connessi in precedenza.
Un’altra ipotesi riguarda l’attacco hacker. Secondo il presidente dell’Inps, Pasquale Tridico, il caos sul sito dell’Sstituto di Previdenza Sociale sarebbe infatti dovuto a un “attacco hacker violento“. Questa tesi è stata ribadita anche dal presidente del Consiglio Giuseppe Conte e dai Cinque Stelle.
Al momento, non ci sono prove di un attacco hacker né rivendicazioni da parte di hacker. Lo stesso famoso gruppo di hacker Anonymous in un tweet ha dichiarato la sua completa estraneità ai fatti.
Il garante della privacy avvia l’istruttoria
Il Garante della Privacy ha espresso sin da subito la sua preoccupazione per questa grave esposizione di dati personali degli utenti. Dopo le migliaia di segnalazioni, l’Autorità della privacy ha dichiarato: “Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l’Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia”.
Il 2 aprile 2020 (un giorno dopo il data breach del sito INPS), il Gdpr ha avviato un’istruttoria allo scopo di verificare e valutare l’adeguatezza delle contromisure adottate dall’INPS. Egli ha inoltre richiamato l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social e ha chiesto di rivolgersi allo stesso Garante per segnalare eventuali aspetti rilevanti.