Hacker o no. La violazione dei dati sul sito dell'Inps è un pericoloso precedente
Quanto accaduto sulla gestione delle informazioni sensibili da parte dell'Istituto preoccupa in una fase in cui si dibattono le modalità di tracciamento digitale dei contagi da coronavirus
Se degli hacker hanno attaccato il sito dell’Inps è un fatto grave. Ma se il sito dell’istituto è crollato senza un attacco esterno malevolo forse è ancora più grave.
Tecnicamente, quella che si è verificata sul sito dell’Inps è una violazione di dati personali definita dal Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) nei termini della perdita di riservatezza. Non ci è ancora dato conoscerne le cause ma è partito l’accertamento di rito da parte del Garante per la protezione dei dati personali, al quale non sfugge che le grandi banche dati pubbliche – e l’Inps è sicuramente tra le maggiori – sono un colabrodo di sicurezza e organizzazione.
Lo testimonia il fatto che la stessa autorità avesse inserito nel proprio piano ispettivo di fine 2019 proprio la verifica sulle banche dati di rilevanti dimensioni nel settore pubblico, sebbene non fosse poi giunta (non ancora, almeno) all’emanazione di provvedimenti correttivi e sanzionatori. Questa potrebbe essere l’occasione di un intervento correttivo più incisivo da parte dell’autorità.
Che potrebbe però aggravare, più che migliorare, la già precaria posizione dell’Inps.
Il crollo del sito Inps segnala infatti deficit tecnici e organizzativi più profondi della mera violazione delle norme privacy europee. Intanto perché quanto accaduto vìola anche i requisiti di sicurezza previsti dalla normativa cybersecurity nonché le misure di sicurezza minime per la PA adottate dall’AgID – l’Agenzia per l’Italia Digitale - con una Circolare del 18 aprile 2017, n. 2/2017.
Ma soprattutto perché fa trasparire l’inadeguatezza dei processi di digitalizzazione di un ente che gestisce oltre 300 miliardi di euro l’anno di prestazioni assistenziali e previdenziali ma non sa come sostenere un afflusso straordinario di utenti o, peggio, difendersi da un attacco esterno.
A mancare, oltre i processi e le misure tecniche, sono soprattutto le competenze.
E anche questo è un fatto noto, tanto che AgID ha pubblicato, due giorni fa, i risultati di un’indagine sui fabbisogni formativi digitali delle PA centrali e periferiche. Si legge sul sito dell’autorità che “l’indagine evidenzia che il compito sentito di gran lunga come più urgente in termini di interventi formativi è quello di favorire lo sviluppo e la diffusione delle competenze digitali all’interno dell’Amministrazione, indicato come molto rilevante dal 72% dei partecipanti”.
A guardare tra le pieghe del bilancio preventivo 2020 dell’Inps si scopre che l’istituto ha appostato per il 2020 e 2021 circa 50.000 euro per la formazione GDPR degli informatici, e forse è un po’ poco ed è troppo piccolo il target.
Su tutto si è poi innestata anche una certa dose di sfortuna, dal momento che l’Inps si è trovata a dover gestire uno dei peggiori data breach della storia recente con un responsabile per la protezione dei dati – altra figura prevista obbligatoriamente dal GDPR – che aveva più di un piede fuori dalla porta; dal sito dell’Inps si apprende infatti che il dirigente designato aveva concluso il mandato lo scorso 29 febbraio ed era rimasto in regime di prorogatio fino al 1 aprile. Con il risultato che l’istituto, a data breach in corso, si è trovato a dover gestire anche un avvicendamento di personale in una funzione chiave.
Sul futuro digitale dell’istituto pesano dunque molte incognite, alle quali potrebbe aggiungersi il carico di azioni risarcitorie per danno da violazione della privacy iniziate dagli utenti o, per loro conto, da enti del terzo settore.
Quello dell’Inps non è un precedente rassicurante in una fase in cui si dibattono le modalità di tracciamento digitale dei contagi da coronavirus da parte delle istituzioni pubbliche preposte al governo della pandemia. Se parte il contact tracing dei positivi al Covid-19, la Protezione Civile e le Asl, ma anche le forze di polizia, si troveranno a gestire una banca dati di enorme complessità con dati sensibili dei cittadini; senza protezioni tecniche e legali adeguate, il contrasto digitale alla pandemia può trasformarsi in una violazione di diritti su larga scala.