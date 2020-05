IL CASO

ROMA Fino a 20 milioni di euro di multa. È il conto salatissimo che tra 15 giorni l'Autorità Garante per la Privacy potrebbe presentare all'Inps per il pasticcio del primo aprile scorso. Vale a dire quando sul portale web dell'ente guidato da Pasquale Tridico - che allora si difese incolpando «violenti attacchi hacker» - si è compiuta una delle più gravi violazioni di dati personali della storia italiana.

LA RICOSTRUZIONE

A più di un mese dall'episodio, nonostante «l'istruttoria sia ancora in corso», è proprio l'Authority a ricostruire i fatti e a far emergere nuovi dettagli in un provvedimento a firma di Antonello Soro. Si scopre ad esempio che alcune domande per i bonus sono state presentate il 31 marzo, prima dell'apertura ufficiale delle richieste. La vicenda è però molto più articolata e ufficialmente prende il là dalla mezzanotte del 1 di aprile. Cioè dal termine fissato dal Governo per accedere al sito dell'Inps e richiedere l'indennità di 600 euro per gli autonomi oppure il bonus babysitter per i genitori. In poche ore la mole di traffico generata dagli italiani si moltiplica e il portale web, che pure era corso ai ripari integrando i sistemi di Microsoft e Leonardo, va in tilt. Gli utenti provano ad accedere al proprio profilo previdenziale e vengono reindirizzati sulle pagine di altre persone. Possono accedere ai dati personali di estranei e, spesso, scattano delle foto delle schermate che finiscono sui social moltiplicando gli effetti della violazione. Non solo. Il sistema consente anche di agire sulle 773 pagine private del sito diventate accessibili a chiunque. Così 160 di queste domande per i bonus vengono modificate, eliminate oppure inviate da parte di sconosciuti.È il caos. Al Garante arrivano migliaia di segnalazioni. Alla fine 42 cittadini - l'Inps ne aveva dichiarati prima 8 e poi 23 - risultano essere vittime ufficiali del data breach. Sono diventati di pubblico dominio non solo nomi, cognomi, date di nascita e indirizzi (i dati anagrafici) ma soprattutto le informazioni sensibili. Codici fiscali, numeri di telefono, email, nomi di figli, presenza o meno di disabilità, stato di disoccupazione. Un pasticcio del quale, confida un fonte dal Garante, è ancora impossibile definire i contorni. «Non sappiamo quanti sono i soggetti coinvolti o quanti minori ci siano tra loro né quanti dati per ogni domanda sono stati sottratti». Per il momento ci sono dei numeri ma sono provvisori perché «l'Inps non è stata in grado di chiarire molti dettagli». Sotto accusa ci sono «aspetti legati al sistema informatico» più che gli attacchi hacker che pure erano stati certificati dal premier Giuseppe Conte nelle ore successive alla breccia. Ad esempio non è chiaro, si legge dal provvedimento, per quale motivo accedendo «alla procedura Bonus Baby Sitting in data 2 aprile 2020 erano visualizzabili anche domande presentate in data 31 marzo 2020». Vale a dire 24 ore prima dell'avvio ufficiale per le richieste. Bisognerà approfondire. Intanto nei documenti presentati al Garante dopo la violazione, l'ente ha ammesso che tra le 773 domande «potenzialmente accessibili da terzi» 68 sono state visualizzate, 81 cancellate, 17 modificate e 62 inviate. Solo le ultime due categorie hanno però beneficiato dell'intervento dei tecnici per riparare al danno. E solo nel caso delle domande inviate l'Inps ha ritenuto di dover informare gli interessati direttamente. Un altro errore. In pratica l'ente avrebbe minimizzato sostenendo che il data breach non abbia rappresentato «un rischio elevato per i diritti e le libertà delle persone». Le visualizzazioni sarebbero state frutto della «casualità» perché in gran parte effettuate da «residenti in altre regioni» e comunque senza la possibilità di «fare ricerche mirate». L'Autorità però la vede in maniera diversa. Da un lato sostiene che l'esposizione abbia comportato un «rischio elevato» e dall'altro che le anomalie siano state più ampie e ed estese di quelle segnalate dall'Inps. Le indagini quindi continuano per «definire le responsabilità» ed adottare «i provvedimenti correttivi». Per ora il Garante ha obbligato l'ente, entro 15 giorni, ad informare tutti gli interessati dell'accaduto e dei rischi a cui potrebbero andare incontro. Se ciò non avverrà, in ottemperanza alla normativa sulla privacy europea, l'Inps rischia fino a 20 milioni di euro di sanzioni. Uno scenario che al momento appare inverosimile ma, garantiscono da Piazza Venezia, «le sanzioni arriveranno».

Francesco Malfetano

© RIPRODUZIONE RISERVATA

© RIPRODUZIONE RISERVATA