GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/336/inps2.jpg

Dettaglio news
Cosa ci insegna la falla sul portale INPS


sabato 4 aprile 2020
Una privacy approssimativa alla base di un disastro, come dimostra l'immagine allegata. Di Alessandro Papini



Probabilmente, come è costume nel nostro paese, si sta cercando di dimenticare in fretta quello che è successo al portale INPS e tornare a parlare d’altro. Agli addetti ai lavori invece, questa falla ha riportato alla memoria un concetto preciso che riassumo con questa equazione che può sembrare esagerata ma che rende perfettamente l'idea:  Amministratore delegato = Amministratore di rete.

Tutti e due amministrano l’azienda, uno nel mondo reale e l’altro nel mondo digitale. Senza nulla togliere all’importante ruolo di AD, il cui compito, tra gli altri, è quello di pensare alle migliori strategie operative, dare la linea a quelle di marketing e comunicazione, viaggiare, fare accordi, joint venture, partnership, aggiornarsi continuamente e infine, a cascata, dare mansioni ai relativi direttori e responsabili di reparto che attueranno e faranno attuare a loro volta tutte le istruzioni ricevute creando così quel magico connubio che rende un'azienda vincente sul mercato, operativa, dinamica e produttiva. E' chiaro che certe cariche hanno responsabilità decisionali enormi, vivono in condizioni di stress pauroso e giustamente devono essere remunerate con assegni a parecchi zeri.

Ma, se qualcuno non se ne fosse accorto, viviamo anche in un mondo parallelo, sempre meno virtuale e sempre più digitale, dove troviamo le stesse dinamiche, le stesse situazioni, gli stessi pericoli e le stesse scelte strategiche da prendere come nel mondo reale. Solo che qui l'Amministratore delegato, i direttori di reparto e i responsabili non sono in grado di creare strategie operative, di marketing, di comunicazione, di fare accordi, partnership e joint venture, perché non sanno niente di protezioni perimetrali di cyber sicurezza, di ridondanza, spesso scambiando un computer con un server: in poche parole non hanno le basi adeguate.

Questa è materia degli Amministratori di rete, di esperti IT, di sviluppatori e di Data Protection Officer. Loro dovrebbero scegliere le strategie migliori, le protezioni più efficaci, le partnership e le collaborazioni per rendere il sistema virtuale sempre più impenetrabile e sicuro. Ma la realtà è ben diversa e, nella maggioranza dei casi, un Amministratore di Rete, un IT, uno sviluppatore, un DPO non possono prendere decisioni in autonomia ma, piuttosto, farsi piacere quelle già prese dall’Ad o dal board o comunque dai piani più alti; spesso non hanno autonomia, non possono viaggiare per aggiornarsi e accrescere il loro know-how, per contaminarsi con altri esperti e sopratutto non possono disporre degli stessi assegni a parecchi zeri.

Ma una cosa ce l'hanno in comune con gli Ad: vivono in condizioni di stress continuato e costante. In pratica rinunciano al meglio prendendo il peggio e assumendosi pure la colpa di errori (l'INPS ne sarà la prova) non dovuti certo a scelte loro.

Il concetto, di cui stiamo discutendo da tempo, è che fino a quando un Amministratore di rete, un esperto IT che presidia portali con dati sensibili, uno sviluppatore che crea applicativi importanti e un DPO che tutela e vigila sulla filiera dei dati di importanti aziende non saranno messi nelle condizioni di avere autonomia decisionale, non verranno retribuiti con compensi di fascia alta e sopratutto non avranno sufficienti budget annuali da investire in miglioramento di tecnologie e aggiornamenti professionali, faremo sempre i conti con portali lacunosi che non sanno erogare un servizio semplicissimo, con applicativi pubblici che verranno messi alla berlina dagli hacktivisti e con database pieni di dati sensibili oggetto di rapine con conseguente rivendita degli stessi nel dark web. In queste condizioni tutto viene preso in modo approssimativo.

Volete la prova?
Io stesso mi sono collegato che le mie credenziali sul portale INPS per richiedere le agevolazione del “Cura Italia”; ho fatto tutte le dichiarazioni del caso e in fondo mi è apparsa questa schermata:


Un’informativa sul trattamento dei miei dati sensibili che ho appena inserito, che fa riferimento all’art. 13 del decreto legislativo n 196 del 2003 con un chiaro riferimento ai miei diritti “previsto dall’art. 3 del codice”.

Non si può solo puntare il dito verso il consulente privacy e il DPO dell’INPS, ma, piuttosto, dobbiamo riflettere su quanto scritto in precedenza ricordandoci che Covid o non Covid l’art. 82 del GDPR (e non della 196/03) dice che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

A buon intenditor….


Alessandro Papini
Presidente Accademia Italiana Privacy




CONDIVIDI QUESTA PAGINA!