Al centro del dibattito di questi giorni il “crollo” del sito INPS che, lo scorso 1° aprile, non ha retto le troppe connessioni contemporanee nella procedura di richiesta delle famose “indennità” per i lavoratori autonomi, introdotte per far fronte all’emergenza sanitaria. Come diversi e autorevoli, esperti del settore hanno avuto modo di evidenziare, la cosa più grave non è stata tuttavia l’interruzione di operatività del sito, ma l’accesso non autorizzato a dati personali di altri interessati: molti utenti, collegandosi, si ritrovavano a visualizzare informazioni riferibili ad altri cittadini.
Vi proponiamo, a riguardo, l’intervista rilasciata dal dott. Pierangelo Felici, incentrata sugli adempimenti che l’Inps avrebbe dovuto compiere, conformemente a quanto stabilito dalla normativa in materia.
Il dott. Felici è consulente di direzione sia per enti pubblici che per aziende private, occupandosi di coordinamento di progetti di innovazione, Privacy e Data Protection, nuove tecnologie, ICT e organizzazione e della conseguente formazione del personale ed è un nuovo componente dell’Elenco dei Professionisti della digitalizzazione e dei Professionisti della privacy di ANORC Professioni.
A: Dott. Felici, il Presidente dell’Inps ha attribuito la responsabilità dei fatti a un presunto attacco hacker. Come giudica questa spiegazione?
P: Al di là dei seri dubbi che è logico nutrire riguardo questa spiegazione (illustrati benissimo da Daniele Minotti in questo articolo), credo che il comportamento dell’INPS in questa vicenda possa essere comunque riassunto semplicemente come: “Tutto ciò che NON va fatto, nella gestione di un data breach” prima, durante e dopo l’evento.
A: Ci spieghi meglio, cosa avrebbe dovuto fare l’INPS per evitare, o quantomeno limitare, i danni?
P: In primo luogo, come sappiamo, i casi di data breach vanno – per quanto possibile – prevenuti, ed i relativi rischi ridotti. L’obbligo, per il Titolare, di adottare misure di sicurezza adeguate, deriva dal GDPR (Regolamento UE 679/2016), che all’art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Non entrerò, in questa sede, nell’ambito delle misure tecniche (anche se, secondo il pensiero predominante tra gli esperti di cyber security, quanto accaduto è stato probabilmente causato da un errore di configurazione del sistema di cache, attivato per far fronte all’elevato traffico), ma faccio invece una banale osservazione di tipo organizzativo e comunicativo: se devo approntare un sistema che so essere a rischio, dovrei fare quel che posso per limitare la corsa all’utilizzo, in modo da non portare al limite il sistema stesso. Non è stata una bella idea, quindi, pubblicare sul sito INPS, nei giorni precedenti l’evento, un avviso in cui si diceva che l’indennità sarebbe stata concessa “in base all’ordine cronologico di presentazione delle domande” e “nel limite di spesa complessivo di 203,4 milioni di euro”, con ciò scatenando la corsa al click, inutile e controproducente.
A: Come lei ben sa, il rischio è un fatto ineliminabile e, nonostante gli adempimenti necessari per ridurlo, non si esclude in assoluto la possibilità di subire un attacco informatico. Quali sono state le mancanze dell’Inps nella gestione di questa eventuale violazione?
P: Lo sappiamo, il sistema sicuro al 100% non esiste. E quindi può capitare che, nonostante quanto abbiamo predisposto per ridurne il rischio, ci troviamo improvvisamente un data breach in corso. Cosa fare, dunque, come prima cosa? Non è difficile comprendere che la priorità, se ho una violazione di dati personali in essere, debba essere solo una: interrompere la violazione, fermare il data breach.
E qui emerge il secondo grave errore di INPS: quando già nei social si discuteva, postando segnalazioni e schermate, di quanto stava avvenendo, il sito continuava ad essere accessibile e a permettere ad altri di partecipare inconsapevolmente alla violazione. Il sito è stato finalmente messo offline solo diverse ore dopo, con un colpevole e ingiustificabile ritardo.
A: Cosa è logico fare, quindi, una volta “messo in sicurezza” il sistema?
P: L’art. 33 GDPR prescrive che in caso di violazione dei dati personali, il titolare del trattamento sia tenuto a notificare la violazione stessa all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In primis, è necessario investigare e comprendere cosa sia davvero successo. Sia a livello di modalità, sia a livello di conseguenze per gli interessati. Perché sono queste le informazioni che dovrò notificare al Garante, e che soprattutto mi permetteranno di attivare eventuali contromisure di mitigazione del rischio. Cosa ha fatto invece INPS, tramite il suo Presidente? Si è affrettato semplicemente a dichiarare che la colpa è “degli attacchi hacker”, con il rischio di una dichiarazione falsa, oltretutto.
A: Si chiede alle vittime di fornire prova di quanto subìto, ma il GDPR non stabilisce esattamente questo…
P: Il GDPR prescrive che se dal data breach deriva un rischio elevato per i diritti e le identità degli interessati, il Titolare è tenuto, oltre alla notifica all’Autorità, a comunicare quanto accaduto agli interessati i cui dati siano stati oggetto di violazione. Cosa ha fatto invece INPS? Due giorni dopo (il 03 aprile 2020) ha pubblicato un avviso sul sito in cui si invitano “i soggetti i cui dati siano stati interessati dalla violazione” a segnalarlo “allegando eventuali evidenze documentali”. Cioè si chiede alle vittime di rendersi conto autonomamente di aver potenzialmente subito una situazione pregiudizievole, e di fornirne anche prova.
Ho l’impressione pertanto che questo evento, nel prima, nel durante e nel dopo, diventerà l’emblema di quanto un corretto sistema di protezione dei dati personali non può e non deve fare. E tutti – negli enti e nelle aziende – dovrebbero rendersi conto che la protezione dei dati non è un adempimento inutile e fastidioso, ma un modo di processare correttamente ciò che ha e avrà sempre più valore: le informazioni.
Sosteniamo la Croce Rossa Italiana
ANORC Mercato, ANORC Professioni e il Team di Digital&Law Department vi invitano a “fare comunità” e sostenere la Croce Rossa Italiana: condividiamo, tutti, gli hashtag #attentialletruffe e #donacontroilvirus, indicando nei post il link ufficiale della Croce Rossa Italiana dove poter effettuare una donazione in favore di chi sta combattendo per noi, ogni giorno, una battaglia contro il tempo.