IL RETROSCENA
ROMA Leggerezza dell'Inps o attacco hacker? Restano altre 48 ore per stabilire cosa sia accaduto ieri al sito web dell'ente previdenziale italiano. Vale a dire per capire come mai il portale non solo è andato in tilt per le migliaia di accessi di autonomi e partite Iva, ma anche perché ha iniziato a reindirizzare centinaia di utenti sulle pagine di altre persone, sconosciute, consentendogli di accedere ai loro numeri e ai dati personali. In poche parole un caos enorme nonché la più grande violazione dei dati personali della storia italiana su cui bisogna fare chiarezza subito. Come stabilito dal Gdpr, il regolamento europeo per la protezione dei dati personali, e spiegato da Massimo Simbula, avvocato specializzato in nuove tecnologie, «Inps dovrà comunicare in maniera dettagliata al Garante per la privacy cosa è successo, perché e quali contromisure sono state messe in atto non oltre le 72 ore dal momento della violazione». Intanto, in attesa del chiarimento ufficiale, le versioni sono due. La prima è quella dell'Inps che attraverso il presidente Pasquale Tridico sostiene come l'inaccessibilità del sito sarebbe stata causata da un'ondata di «violenti attacchi hacker», séguito di quelli già «ricevuti nei giorni scorsi». Eventualità che, pur confermata ieri mattina da Giuseppe Conte alle opposizioni riunite a Palazzo Chigi, è stata però smentita da Anonymous Italia, il più importante gruppo di pirati informatici attivo nella Penisola. «Cara Inps - si legge in un post sul loro profilo Twitter ufficiale - vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento!». Un dubbio, quello sull'errore umano dei tecnici, che è proprio il nucleo centrale della seconda versione della vicenda. Secondo diversi esperti del settore dietro a questo pasticcio ci sarebbe un errore legato ad una configurazione sbagliata del portale www.inps.it. In pratica, per far fronte all'ondata di accessi e provare ad evitare che il sito finisse fuori uso, i tecnici avrebbero programmato in maniera errata il meccanismo di cache. Vale a dire un sistema di memoria temporanea per cui un portale web piuttosto che ricreare una pagina ogni volta che viene richiesta dall'utente, replica una versione precedente della stessa. È un sistema utilizzato abitualmente per velocizzare il caricamento di un sito internet e snellire il traffico. Solo che, stavolta, come modello per la cache sarebbero state utilizzate le pagine autenticate di alcuni utenti. Si tratta però solo di un'ipotesi. Per il momento non è dato sapere cosa sia avvenuto con certezza e lo stesso Garante per la privacy Antonello Soro, sta lavorando «per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti di una problematica di portata più ampia». Ciò che è noto invece, come spiega Simbula, è che «Inps dovrà informare tutti gli utenti coinvolti, che potrebbero rivalersi sull'ente, sulle possibilità e i rischi causati da questa violazione». Il paradosso che potrebbe crearsi infatti, soprattutto se il Garante dovesse valutare che Inps non ha reagito in maniera adeguata, è che potrebbe incappare in una «sanzione pecuniaria da 10 fino a 20 milioni di euro». Sanzione che, data la «responsabilità patrimoniale dell'ente», fatta salva la possibilità di rivalersi poi su dipendenti e dirigenti, dovrebbe pagare proprio Inps.
Francesco Malfetano
© RIPRODUZIONE RISERVATA
© RIPRODUZIONE RISERVATA ROMA Leggerezza dell'Inps o attacco hacker? Restano altre 48 ore per stabilire cosa sia accaduto ieri al sito web dell'ente previdenziale italiano. Vale a dire per capire come mai il portale non solo è andato in tilt per le migliaia di accessi di autonomi e partite Iva, ma anche perché ha iniziato a reindirizzare centinaia di utenti sulle pagine di altre persone, sconosciute, consentendogli di accedere ai loro numeri e ai dati personali. In poche parole un caos enorme nonché la più grande violazione dei dati personali della storia italiana su cui bisogna fare chiarezza subito. Come stabilito dal Gdpr, il regolamento europeo per la protezione dei dati personali, e spiegato da Massimo Simbula, avvocato specializzato in nuove tecnologie, «Inps dovrà comunicare in maniera dettagliata al Garante per la privacy cosa è successo, perché e quali contromisure sono state messe in atto non oltre le 72 ore dal momento della violazione». Intanto, in attesa del chiarimento ufficiale, le versioni sono due. La prima è quella dell'Inps che attraverso il presidente Pasquale Tridico sostiene come l'inaccessibilità del sito sarebbe stata causata da un'ondata di «violenti attacchi hacker», séguito di quelli già «ricevuti nei giorni scorsi». Eventualità che, pur confermata ieri mattina da Giuseppe Conte alle opposizioni riunite a Palazzo Chigi, è stata però smentita da Anonymous Italia, il più importante gruppo di pirati informatici attivo nella Penisola. «Cara Inps - si legge in un post sul loro profilo Twitter ufficiale - vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento!». Un dubbio, quello sull'errore umano dei tecnici, che è proprio il nucleo centrale della seconda versione della vicenda. Secondo diversi esperti del settore dietro a questo pasticcio ci sarebbe un errore legato ad una configurazione sbagliata del portale www.inps.it. In pratica, per far fronte all'ondata di accessi e provare ad evitare che il sito finisse fuori uso, i tecnici avrebbero programmato in maniera errata il meccanismo di cache. Vale a dire un sistema di memoria temporanea per cui un portale web piuttosto che ricreare una pagina ogni volta che viene richiesta dall'utente, replica una versione precedente della stessa. È un sistema utilizzato abitualmente per velocizzare il caricamento di un sito internet e snellire il traffico. Solo che, stavolta, come modello per la cache sarebbero state utilizzate le pagine autenticate di alcuni utenti. Si tratta però solo di un'ipotesi. Per il momento non è dato sapere cosa sia avvenuto con certezza e lo stesso Garante per la privacy Antonello Soro, sta lavorando «per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti di una problematica di portata più ampia». Ciò che è noto invece, come spiega Simbula, è che «Inps dovrà informare tutti gli utenti coinvolti, che potrebbero rivalersi sull'ente, sulle possibilità e i rischi causati da questa violazione». Il paradosso che potrebbe crearsi infatti, soprattutto se il Garante dovesse valutare che Inps non ha reagito in maniera adeguata, è che potrebbe incappare in una «sanzione pecuniaria da 10 fino a 20 milioni di euro». Sanzione che, data la «responsabilità patrimoniale dell'ente», fatta salva la possibilità di rivalersi poi su dipendenti e dirigenti, dovrebbe pagare proprio Inps.
Francesco Malfetano
© RIPRODUZIONE RISERVATA
