di Cassandra – E’ già iniziato il processo all’Inps. Davvero i disservizi e la condivisione – evento di inaudita gravità – di dati sensibili di altri utenti, rimbalzati sui profili di chi accedeva per chiedere gli agognati 600 euro di aiuto al reddito, sono frutto della manina di un hacker? Subito i vertici hanno difeso l’ente scaricando la responsabilità dell’11 settembre dell’istituto di previdenza su un attacco ipotetico ordito dall’esterno.
Ma come sono andate davvero le cose? Gli esperti fuori dal coro cosa dicono? Si è scatenato il giornalismo del fact-checking, frontiera indigesta per molte istituzioni e soprattutto per i politici, quando si tratta di scandagliare e verificare l’attendibilità di affermazioni e dati. Tra le agenzie più agguerrite in questa specialità giornalistica c’è l’Agi, che ha offerto nel servizio di Arcangelo Rociola e Paolo Fiore uno spaccato possibile degli eventi.
Tutti abbiano letto che per Conte e Tridico si sarebbe trattato di un attacco ma gli esperti interpellati dall’Agi lo ritengono improbabile. Gli italiani se la bevono la versione del baco informatico?
Cosa si cela realmente dietro quel “Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione”?
A ogni tentativo di accesso l’utente veniva reindirizzato alle schede di altri sconosciuti cittadini. Ma tranquilli, come già sappiamo, “Lo Stato c’è”.
Poteva star fuori dalla mischia l’Autorità garante della privacy,? Ovvio che no. “Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l’Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. È importante che ora l’Inps chiuda la falla e metta in sicurezza i dati”.
Appunto, la sicurezza.
Ed ecco nella ricostruzione del fact checking la sequenza delle dichiarazioni. “Il presidente dell’Istituto, Pasquale Tridico, ha spiegato in mattinata – sempre tramite il social network – che “dall’una di notte alle 8.30 circa, abbiamo ricevuto 300 mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri”. Poi al Tg1 chiarisce: “Negli ultimi giorni abbiamo subito diversi attacchi hacker che hanno creato diverse disfunzioni. Stamattina gli attacchi sono proseguiti, con disfunzioni ulteriori”.
Ma Tridico non basta, a calare l’asso arriva anche Conte nel pomeriggio: attacco degli hacker.
L’opposizione ci va a nozze, ma nessuno si preoccupa di interpellare chi è del mestiere. Che dice che….. un attacco è improbabile. Parola di Matteo Flora, imprenditore e informatico che all’AGI spiega le ragioni delle centinaia di segnalazioni arrivate in queste ore da parte di utenti che si sono trovati con moduli già compilati da altri utenti, accedendo cosi’ ai loro dati riservati.
“La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online”, spiega Flora. Una sorta di scorciatoia per alleggerire il sistema dalle centinaia di migliaia di richieste di compilazione dei moduli: “Con la cache, invece di chiedere tutte le volte al server le informazioni per ‘comporre’ le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune ‘parti’ delle richieste e richiamarle per rendere più leggera l’operazione”.
E qui le cose si mettono male, per l’Inps, se è davvero andata così.
Come si spiega quindi che chi accedeva al sito si è ritrovato i moduli compilati da altri? “Qualcuno deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell’Inps o per lo meno le sessioni autenticate – continua Flora -. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l’utente successivo entrando nel sito li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone”.
Si fa strada lo scenario di un errore di programmazione: “Chiunque abbia mai programmato un sistema di cache ha fatto questo errore. Ma si tratta di un errore che generalmente viene fatto e individuato in fase di progettazione del sito, non quando si è online”.
Poi, razionalmente, se ci si sofferma sui fatti…: “Al momento non si hanno notizie di altri attacchi hacker di questo tipo. Anche perché sarebbe un attacco hacker un po’ senza senso: non sono stati stati rubati dei dati, ma si sono esposti dati di utenti ad altri utenti. E poi c’è da dire che tutti i siti sono quotidianamente oggetto di attacchi hacker di qualche tipo, ma sono cose che tutti già mettono ampiamente in conto e hanno sistemi per difendersi”.
E’ tutto un po’ più chiaro? No, l’orizzonte si complica, ma per l’Inps, perché sul tavolo c’è la violazione di dati personali, il cosiddetto leak.
Spiega all’AGI Massimo Simbula, avvocato esperto di digitale. “La violazione dei dati personali è per definizione una problema di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica o la divulgazione non autorizzata di informazioni. È il regolamento europeo sulla privacy a definirlo in questo modo”.
Occhio che si arriva al dunque. E cioè a chi pagherà, una volta accertati i fattu. “Il Gdpr è molto chiaro in proposito: l’Inps deve notificare la violazione al Garante Privacy senza ritardo, spiegando cosa è successo e le azioni intraprese. Se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza – continua l’avvocato-. Qui mi pare che si tratti di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le liberta’ delle persone fisiche, quindi oltre ad avvisare il Garante, per l’Inps sarà necessaria una notifica anche a tutti gli utenti interessati dalla violazione”.
“… il Gdpr stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione ha diritto a ottenere il risarcimento del danno”. Le sanzioni volano fino a
Inoltre sula carta il GDPR prevede sanzioni fino a 20 milioni di euro. “Dopodichè si dovrà verificare se ci sono altri soggetti coinvolti e il grado di responsabilità. Il tempo e’ un fattore importante in queste situazioni e dovrebbero attivarsi quanto prima per delle idonee contromisure”. Soldi che, continua Simbula, probabilmente sarà lo Stato a dover sborsare.
Tranquilli che in questo caso lo Stato siamo noi.
Photo by Aadesh Thapa
