VIOLAZIONE DEI DATI PERSONALI A CARICO DELL’INPS.
Segnalazione dell’INPS al Garante della Protezione dei dati per avvenuto Data Breach.
Il 14 maggio 2020 l’istituto nazionale di previdenza sociale (INPS) ha
subito presso i propri server, diverse violazioni dei protocolli di
sicurezza cibernetica. L’accaduto è stato segnalando al Garante della
protezione dei dati personali come previsto dall’art. 33 del GDPR che
ne dispone i temi e i modi di segnalazione.
Le violazioni dei dati personali a danno dell’INPS si è concretizzata,
nell’accesso non autorizzato di utenti al sito principale
(www.inps.it) con relativa visualizzazione di dati personali
appartenenti a soggetti terzi.
Questo “bang” è avvenuto, a causa dalla grande richiesta dei cittadini
italiani, per l’erogazione del bonus per l’acquisto di servizi di
baby-sitting (c.d. “Bonus Baby Sitting”) e per la richiesta di
prestazioni a sostegno del reddito, legate alla situazione
emergenziale da COVID19, previste dal d.l. 18/2020.
In merito a questo, l’istituto, al fine di garantire adeguati livelli
di fruibilità dei servizi e protezione da eventuali attacchi DDOS,
aveva deciso di fare ricorso ad un servizio di CDN (Content Delivery
Network), ritenuto “idoneo per la gestione di questo modello di
erogazione di servizi.
Viene anche coinvolta la società Leonardo la quale fornisce il
supporto sistemistico formando di fatto un “tavolo tecnico” tra Inps,
Microsoft e quest’ultima.
In aggiunta a ciò, l’istituto si servirà dell’offerta tecnologica di
Microsoft, in tema di distribuzione dei contenuti, basato sulla
tecnologia Akamai. Tutte queste contromisure si riveleranno però
inadeguate per fronteggiare il flusso di richieste.
A fronte dello scoppio dell’emergenza l’INSP ha, in maniera drastica,
optato per una temporanea chiusura del proprio sito internet. Tale
decisione e stata necessaria per effettuare le ottimizzazioni del
portale www.inps.it e il contingentamento del traffico proveniente
dagli intermediari e dai cittadini.
Ulteriore misura di tutela per l’Istituto, al fine di limitare la
diffusione dei dati personali, è stato quello di creare una apposita
casella violazionedatiGDPR@inps.it, per consentire di inviare
segnalazioni ed evidenze in merito al data breach.
Dalle varie segnalazioni, si è arrivati a comprendere, che i dati
visualizzati da parte di soggetti terzi riguardavano, principalmente,
dati anagrafici, di residenza e contatti telematici, riscontrato da un
numero di soggetti non superiore a 819 persone.
A tal proposito l’INPS ha dichiarato che “tenuto conto della tipologia
dei dati visualizzati e nella considerazione che la possibilità di
visualizzazione è avvenuta in modo del tutto casuale e limitata nel
tempo da parte di soggetti che appaiono privi di qualunque legame e
interesse con quelli coinvolti, […] ritiene che la violazione non sia
tale da rappresentare un rischio elevato per i diritti e le libertà
delle persone fisiche” .
Non di poco conto, le ulteriori anomalie emerse da tale analisi anche
se non collegate direttamente al portale dell’istituto come ad
esempio, l’accessi non autorizzati a dati personali occorsi già nella
giornata del 31 marzo 2020 e anomalie riscontrate nell’ambito della
procedura Indennità COVID-19.
In conclusione, il Garante Privacy ai sensi dell’art. 58, par. 2,
lett. e) del Regolamento, ingiunge l’INPS di comunicare, senza
ritardo, le violazioni dei dati personali in esame a tutti gli
interessati coinvolti. Inoltre, si richiede all’INPS di comunicare
quali iniziative siano state intraprese al fine di risoluzione del
problema e di fornire un riscontro adeguatamente documentato ai sensi
dell’art. 157 del Codice, entro il termine di 20 giorni dalla data
della ricezione del provvedimento.
Questo ci deve far riflettere di come i nostri dati siano sempre
potenzialmente a rischio se non evidenziamo in default tutte le
possibili criticità.
Dott. Giuseppe Gorga