La notizia dell’attacco hacker diffusa dal Presidente di INPS e da alcuni esponenti del Governo si è rivelata un clamoroso autogol, non solo dal punto di vista della comunicazione: dichiarare di aver già subito, nei giorni precedenti al primo aprile, numerosi attacchi hacker e, di fronte all’evidenza della violazione, continuare a consentire il funzionamento del sito, ha reso ancora più palesi sia i limiti strutturali dei sistemi informatici dell’Istituto e sia la mancanza di misure tecniche e organizzative adeguate, imposte dal Regolamento europeo in materia di protezione dei dati personali (GDPR)[1].
L’istruttoria del Garante
A rendere il quadro ancora più pesante hanno contribuito coloro che nel tentativo nobile di denunciare quanto stava avvenendo sul sito INPS, hanno divulgato i dati personali altrui sui social (e non solo), tanto da indurre il Garante ad “avviare un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati”, richiamando l’attenzione “sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.
A parte ogni ipotesi sulle cause del data breach – ancora da chiarire – è il caso di ricordare che, secondo il GDPR, una violazione di dati personali si sostanzia in una “violazione di sicurezza che comporta accidentalmente o in modo illecito la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”[2]. Un evento quindi che, se non affrontato in modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali, come la perdita del controllo dei propri dati personali, il furto o l’usurpazione di identità, perdite finanziarie, pregiudizio alla reputazione, o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.[3] Tutte conseguenze drammaticamente verosimili della violazione subita dagli utenti registrati sul sito dell’INPS, i cui dati personali sono stati resi indebitamente accessibili a un numero imprecisato di soggetti che, loro malgrado, sono stati dirottati sul profilo sbagliato.
Si è appreso che l’INPS ha prontamente notificato al Garante per la protezione dei dati personali la violazione, entro le 72 ore previste, chiarendone la natura, l’entità e le probabili conseguenze sui diritti e le libertà degli interessati coinvolti. Considerata la gravità e la portata del data breach, la stessa INPS ha di poi fornito una comunicazione in modo trasparente agli interessati coinvolti, anche attraverso il proprio sito istituzionale[4], attivando altresì una casella di posta elettronica (violazionedatigdpr@inps.it) utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, alle quali allegare eventuali evidenze documentali.
L’Istituto si è impegnata così a verificare tutte le segnalazioni ricevute e ad adottare ogni ulteriore misura tecnica e organizzativa adeguata di protezione dei dati personali che dovesse rendersi necessaria.
Nella notifica, inoltre, INPS – come di dovere – avrà senz’altro provveduto a descrivere le misure adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e per attenuarne i possibili effetti negativi[5].
Conclusioni
Infine, dichiarare che l’incidente occorso al sito Inps nella mattinata del primo aprile – giorno di apertura della “corsa” alle richieste di indennità previste dal Decreto “Cura Italia” (D.L. 17 marzo 2020, n. 18) – fosse stato causato da un non meglio precisato attacco hacker, è apparso – non solo agli esperti in campo informatico, ma anche a molti commentatori di buon senso – come un maldestro tentativo di tergiversare sulla natura e sulla gravità dell’accaduto, che integra, con tutta evidenza, una grave violazione dei dati personali.
Siamo nell’epoca della comunicazione liquida e le cosiddette “fake news” rappresentano una forma di distorsione e manipolazione dell’informazione che compromette la percezione della realtà, al di fuori di ogni regola di trasparenza e corretta informazione. Se, poi, queste fake news ipoteticamente dovessero provenire da un Ente pubblico e dovessero essere amplificate dalle dichiarazioni di esponenti del Governo, allora si verificherebbe un corto circuito che arriverebbe a minare alle radici la credibilità e la fiducia nelle istituzioni democratiche.
Nessun sistema informatico può dirsi sicuro e inviolabile. È innegabile, però, che l’INPS fosse in condizione di prevedere i rischi e adottare le misure tecniche e organizzative adeguate a evitarli e probabilmente la presenza di un DPO formalmente nominato avrebbe aiutato ad affrontare i problemi in modo più risoluto ed efficace[6]. Non è difficile immaginare che le ripercussioni di questa vicenda saranno tutt’altro che trascurabili, soprattutto in un momento storico di profondo turbamento sociale, economico e morale.
________________________________________________________________
- Lo scenario dell’attacco hacker peraltro non è ancora stato del tutto abbandonato dalle istituzioni, tanto che almeno fino al 2 aprile, il Ministro del Lavoro Catalfo ha dichiarato ai microfoni di Rtl che “stamattina, all’una, le domande pervenute erano già 517.529, e contemporaneamente il sito, sino a mezzanotte, ha subito un ulteriore attacco molto importante ma è riuscito comunque a rimanere in piedi”. Scenario che se dovesse risultare non veritiero – almeno ipoteticamente – potrebbe portare all’apertura di un procedimento penale con l’accusa di simulazione di reato ai sensi dell’art. 367 c.p. ↑
- Cfr. art. 4, par. 1, n. 12, GDPR. ↑
- Cfr. Cons. n. 85, GDPR. ↑
- Cfr. art. 34, GDPR. ↑
- Cfr. art. 33, GDPR. ↑
- Infatti, si è appreso che al momento dell’incidente informatico l’Inps non aveva un responsabile per la protezione dei dati in carica (e il DPO andrebbe anche indicato nella notificazione al Garante…). ↑
