Dettaglio news
Intervento del Garante sul breach subito dal sito dell'INPS


mercoledì 20 maggio 2020
di Avv.Gianni Dell'Aiuto



 

Puntuale come era da aspettarsi, il Garante è intervenuto con una decisione significativa sul Data Breach subito dall’INPS quando i suoi siti sono letteralmente collassati nel momento in cui milioni di utenti hanno presentato, o perlomeno ci hanno provato, le domande per la concessione degli aiuti a seguito dell’emergenza Covid 19. I fatti sono noti e le debolezze del sito erano state evidenziate, con interventi a dir poco beffardi, da parte di alcuni noti gruppi hacker, che avevano declinato ogni responsabilità per accessi abusivi in quanto loro stessi hanno evidenziato le debolezze del sistema.

L’INPS, questo diamone doverosamente atto, aveva segnalato gli accessi da parte di sconosciuti al sito sia di utenti “ordinari” che di molti altri nel momento in cui chiedevano gli aiuti per il bonus “baby sitting”, accedendo in quest’ultimo caso ai dati di minori e anche soggetti con disabilità. Oltre alle segnalazioni dell’INPS giungevano anche numerose segnalazioni di utenti che, oltre a lamentare dette violazioni, ponevano in evidenza le gravi violazioni di diritti e libertà fondamentali delle persone.

Immediata l’attivazione del Garante per chiedere delucidazioni all’INPS, che rispondeva dando le spiegazioni del caso e sottolineava di avere anche richiesto la rimozione di tutti i contenuti che erano stati diffusi indebitamente sul social Twitter. E’ questo uno degli aspetti più sensibili della vicenda, purtroppo non sufficientemente preso in considerazione. L’Istituto ha poi indicato le tipologie di violazioni che riguardano “semplicemente” tutti i dati presenti nella pagina “Anagrafica” all’interno della sezione MyINPS: quelli anagrafici, identificativi e di contatto. Tuttavia, dato il tempo di esposizione e il numero limitato di Interessati esposti, l’INPS ha ritenuto che la violazione non fosse tale da rappresentare rischio elevato per i diritti e la libertà delle persone.

Nel provvedimento del Garante sono poi state passate in esame le altre violazioni rilevate e le giustificazioni addotte: per quanto riguarda in particolare le violazioni per il bonus baby sitting, ne sarebbero emerse 773.

Nelle sue valutazioni il Garante ha osservato come, dalle segnalazioni e reclami, si rendessero evidenti ulteriori violazioni, tali da richiedere approfondimenti; ha inoltre rilevato come il numero delle violazioni fosse superiore a quello dichiarato dall’INPS e come in, non pochissimi casi, alcuni utenti avessero avuto accesso a dati di terzi. Ha poi rilevato come il comportamento dell’INPS che aveva deciso di non dare notizia agli interessati, non fosse conforme con lo spirito della norma e come la valutazione effettuata dall’ente ( che ha ritenuto le violazione effettuate non gravi al punto da doverne avvertire gli interessati), fosse erroneo. Da questo punto di vista, il provvedimento del Garante dà all'INPS 15 giorni di tempo per comunicare il breach agli interessati e non oltre 20 giorni dalla data di emissione del provvedimento per fornire documentazione che testimoni la messa in atto delle disposizioni previste dal provvedimento stesso. 

Nella comunicazione agli interessanti, oltre a informare della violazione, dovrà essere indicata la natura delle violazioni e le possibili conseguenze: dovranno essere indicati anche i dati di contatto del Responsabile della Protezione dei dati personali. Un lavoro non da poco a ben pensarci, considerato anche il temine di quindici giorni previsto. Inoltre è stato disposto il prosieguo dell’istruttoria che, molto verosimilemnte, porterà all’irrogazione di sanzioni economiche.

 

 




CONDIVIDI QUESTA PAGINA!