Fact checking

La fine della storia del sito INPS che faceva entrare nei profili degli altri

neXtQuotidiano 16/05/2020

Oggi un provvedimento del Garante della privacy impone all’INPS di comunicare entro 15 giorni “le violazioni dei dati personali in esame a tutti gli interessati coinvolti” dal data breach dello scorso primo aprile. La violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati

article-post

Vi ricordate? Il primo aprile scorso, nel giorno della richiesta del bonus 600 euro per Partite IVA e professionisti il sito dell’INPS iniziò a sbarellare mostrando a chi si loggava i nomi e i dati sensibili di altri utenti, in quello che resterà alla storia come uno degli eventi più comici dell’emergenza Coronavirus. L’istituto e il suo presidente Pasquale Tridico diedero la colpa agli hacker, non rendendosi evidentemente conto dell’assoluta inadeguatezza della risorsa internet di fronte a quella mole di dati, vera causa dell’accaduto.

La fine della storia del sito Inps che faceva entrare nei profili degli altri

Oggi un provvedimento emanato dall’Autorità garante per la protezione dei dati personali, presieduta da Antonello Soro, impone all’INPS di comunicare entro 15 giorni “le violazioni dei dati personali in esame a tutti gli interessati coinvolti” dal data breach dello scorso primo aprile, quando in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate all’emergenza coronavirus, molti dei richiedenti che avevano tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’Istituto avevano visto esposti i propri dati sul sito.

inps sito down ore 16 1

Premesso che l’istruttoria è tuttora in corso, l’Autorità chiede all’Inps anche di “comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’articolo 157 del Codice, entro il termine di 20 giorni dalla data della ricezione”. Nel testo si ricorda che ai sensi dell’articolo 83, paragrafo 6, del Regolamento della privacy, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Il garante della privacy contro l’INPS per la violazione sul sito

L’Autorità, di fatto, ordina all’Inps di “comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni. Tale comunicazione – precisa il Garante – inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’istituto”. Era stato lo stesso istituto a notificare, l’1 e il 6 aprile, due distinte violazioni dei dati personali “che – si legge nel provvedimento dell’Autorità – hanno comportato rispettivamente:
1. l’accesso ai dati personali di utenti del portale www.Inps.it da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (cosiddetto ‘Bonus Baby Sitting’), con visualizzazione, modifica, cancellazione o invio all’Inps di domande, contenenti dati personali riferiti a minori, anche con disabilita’, da parte di terzi non autorizzati”.

luciano-v-sito-inps-600-euro-1

In ordine alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale www.inps.it, sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonché di ulteriori elementi reperibili in rete “emerge che la violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti”. Sul fronte invece della violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura ‘Bonus Baby Sitting,’ dalle segnalazioni e dai reclami “è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione ‘Consultazione Domande’ della procedura, in data 2 aprile 2020 erano visualizzabili anche domande presentate in data 31 marzo, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’istituto, sarebbe stato possibile presentare le domande”. Alcune segnalazioni e reclami hanno, infine, portato alla luce “ulteriori anomalie”, quali “accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020” e “anomalie riscontrate nell’ambito della procedura Indennità Covid-19.

Leggi anche: Salvini e Meloni, spostateve: il 2 giugno c’è prima il generale Pappalardo

Potrebbe interessarti anche