Segnalazione dell’INPS al Garante della Protezione dei dati per avvenuto Data Breach
Il 14 maggio 2020 l’istituto nazionale di previdenza sociale (INPS) ha subito presso i propri server, diverse violazioni dei protocolli di sicurezza cibernetica. L’accaduto è stato segnalando al Garante della protezione dei dati personali come previsto dall’art. 33 del GDPR che ne dispone i temi e i modi di segnalazione.
Le violazioni dei dati personali a danno dell’INPS si è concretizzata, nell’accesso non autorizzato di utenti al sito principale (www.inps.it) con relativa visualizzazione di dati personali appartenenti a soggetti terzi.
Questo “bang” è avvenuto, a causa dalla grande richiesta dei cittadini italiani, per l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”) e per la richiesta di prestazioni a sostegno del reddito, legate alla situazione emergenziale da COVID19, previste dal d.l. 18/2020.
In merito a questo, l’istituto, al fine di garantire adeguati livelli di fruibilità dei servizi e protezione da eventuali attacchi DDOS, aveva deciso di fare ricorso ad un servizio di CDN (Content Delivery Network), ritenuto “idoneo per la gestione di questo modello di erogazione di servizi.
Viene anche coinvolta la società Leonardo la quale fornisce il supporto sistemistico formando di fatto un “tavolo tecnico” tra Inps, Microsoft e quest’ultima.
In aggiunta a ciò, l’istituto si servirà dell’offerta tecnologica di Microsoft, in tema di distribuzione dei contenuti, basato sulla tecnologia Akamai. Tutte queste contromisure si riveleranno però inadeguate per fronteggiare il flusso di richieste.
A fronte dello scoppio dell’emergenza l’INSP ha, in maniera drastica, optato per una temporanea chiusura del proprio sito internet. Tale decisione e stata necessaria per effettuare le ottimizzazioni del portale www.inps.it e il contingentamento del traffico proveniente dagli intermediari e dai cittadini.
Ulteriore misura di tutela per l’Istituto, al fine di limitare la diffusione dei dati personali, è stato quello di creare una apposita casella violazionedatiGDPR@inps.it, per consentire di inviare segnalazioni ed evidenze in merito al data breach.
Dalle varie segnalazioni, si è arrivati a comprendere, che i dati visualizzati da parte di soggetti terzi riguardavano, principalmente, dati anagrafici, di residenza e contatti telematici, riscontrato da un numero di soggetti non superiore a 819 persone.
A tal proposito l’INPS ha dichiarato che “tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”[1].
Non di poco conto, le ulteriori anomalie emerse da tale analisi anche se non collegate direttamente al portale dell’istituto come ad esempio, l’accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020 e anomalie riscontrate nell’ambito della procedura Indennità COVID-19.
In conclusione, il Garante Privacy ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge l’INPS di comunicare, senza ritardo, le violazioni dei dati personali in esame a tutti gli interessati coinvolti. Inoltre, si richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di risoluzione del problema e di fornire un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del provvedimento.
Questo ci deve far riflettere di come i nostri dati siano sempre potenzialmente a rischio se non evidenziamo in default tutte le possibili criticità.
Dott. Giuseppe Gorga
[1] Provvedimento sui data breach INPS: comunicazione agli interessati coinvolti – 14 maggio 2020 [9344061]