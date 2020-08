LO SCENARIO

ROMA Non è la prima istruttoria che il Garante della Privacy apre nei confronti dell'Inps. E non è nemmeno la prima inchiesta su questioni legate al bonus Covid-19. Di fatto il 14 maggio l'Autorità garante per la protezione dei dati personali chiedeva spiegazioni su una fuga di dati, i nomi di tutta una serie di comuni cittadini, che avevano richiesto il contributo di 600 euro, erano divenuti pubblici. Insomma era già capitato che informazioni sensibili, nella disponibilità dall'Inps, divenissero di dominio pubblico. Condizione che avrebbe dovuto spingere i vertici dell'istituto a un maggiore controllo. E invece questo non è accaduto e si è riproposto con il caso dei parlamentari che hanno incassato il bonus Covid. Una fuga di notizie che - per i renziani e molti dem - ha tanto il brutto sapore del dossieraggio politico per favorire M5S in vista del sì al referendum sul taglio del parlamentari. Un quesito a cui è chiamato a dare una risposta l'istruttoria del Garante. Authority che aveva già messo nel mirino l'Inps ad aprile sulla stessa materia.

LA PRIMA INDAGINE

Il sito internet dell'istituto previdenziale era andato in tilt. Si era trattato di un data breach. Perciò capitava spesso che chi apriva una pratica si ritrovava con i dati di un altro utente. Ebbene, a giugno, l'Istituto nazionale di previdenza non aveva soddisfatto il Garante con la documentazione inviata per giustificare quel blackout. Perciò l'Authority ha spedito una nuova missiva all'Inps guidata da Pasquale Tridico. Questa volta, però, meno conciliante. Toni perentori. Il Garante chiede un'integrazione di documentazione per comprendere meglio cosa sia accaduto quel primo aprile, giorno in cui il sito è andato in panne, e soprattutto le misure adottate per evitare una nuova fuga di dati. Nel caso le risposte non siano soddisfacenti si valuteranno sanzioni economiche.

LA SECONDA INCHIESTA

La prima bocciatura sulla mancata collaborazione dell'Inps nell'invio di una giustificazione credibile e di garanzie per evitare fughe di dati arriva quasi contemporaneamente all'avvio della seconda istruttoria. Inchiesta che per certi aspetti coincide con la prima. In comune persegue lo stesso fine. Ma se il primo aprile si era trattato di un errore della macchina, il sito era sovraccarico, per quanto concerne le indicazioni fornite ai giornali sui beneficiari dei 600 euro che siedono in Parlamento, si tratterebbe più di un errore umano. Anche se la manina che ha dato la soffiata non l'ha fatto certo per negligenza.

Ad ogni modo l'Inps riceverà a breve la lettera del Garante sulla questione politici-bonus covid-19. Da quel momento l'Istituto avrà solo venti giorni per poter, da un lato spiegare cosa è accaduto, e dall'altro fornire anche delle garanzie affinché non si verifichi lo stesso problema. Certo è singolare che le due istruttorie si accavallino.

Nello specifico l'Authority chiede all'Inps di conoscere: quale sia la base giuridica del trattamento effettuato sui dati personali dei soggetti interessati; l'origine e i tipi di dati personali trattati, riferiti alla carica di parlamentare e amministratore locale e regionale; le modalità con cui è stato effettuato il trattamento, con specifico riguardo all'operazione di raffronto dei dati personali dei soggetti richiedenti o beneficiari del bonus, con quelli riferiti alla carica di parlamentare e amministratore locale e regionale; l'ambito del trattamento ed eventuali comunicazioni a terzi di tali dati. Per adesso la procura di Roma non ha aperto un fascicolo sulla vicenda. Il Garante, fino ad ora, non ha inviato nessun esposto a piazzale Clodio.

Il data breach del primo aprile avrebbe dovuto insegnare qualche cosa ai vertici dell'Inps in merito ai pericoli di diffusione dei dati personali. Cosa era accaduto appena cinque mesi fa?

Informazioni sensibili degli utenti erano state indebitamente esposte a soggetti non autorizzati. Un data breach è un evento estremamente serio che può comportare rischi significativi per i soggetti i cui dati sono diffusi, come ad esempio un furto di identità o attacchi di social engineering.

Ad oggi non è chiaro se il blackout sia stato causato da un attacco hacker o da un errore di configurazione del portale, che non ha retto l'incredibile picco di accessi al servizio appena lanciato.

Giuseppe Scarpa

