Ha fatto molto parlare di sé la “falla” verificatasi sul sito dell’INPS il primo aprile scorso, quando cioè migliaia di italiani hanno cercato di loggarsi per poter richiedere i bonus legati all’emergenza sanitaria e si sono trovati davanti ai dati di altri utenti. Scoperta la falla, l’INPS si è trovato costretto a chiudere il sito, spiegando poi che questa anomalia era dovuta ad un errore di caching: praticamente, gli utenti che accedevano continuavano a vedere dati altrui che erano stati inseriti dai diretti interessati.
Come da procedura prevista dal GPDR, è stato lo stesso INPS a notificare la violazione al Garante, segnalando così che si era verificato l’indebito accesso a dati personali altrui, compresa la visualizzazioni di informazioni personali di utenti che avevano chiesto il “bonus baby sitter”. L’Istituto ha quindi fornito al Garante una serie di chiarimenti, specificando la causa del malfunzionamento, dovuto, secondo l’INPS, allo “stress” a cui è stato sottoposto il sito, che ha imposto alcuni correttivi, evidentemente non adeguati; ha chiarito inoltre che il data breach ha coinvolto prevalentemente dati non sensibili, con la sola eccezione relativa alle domande per il bonus baby sitter, che invece contengono dati personali sicuramente più delicati, quali quelli relativi al figlio minore.
Il Garante, tuttavia, non è rimasto soddisfatto da questi chiarimenti. In particolare, l’Autorità ha riscontrato alcuni profili non adeguatamente evidenziati dall’INPS, ovvero:
– il malfunzionamento del caching ha reso visibili a soggetti non autorizzati i dati personali di “almeno 42 soggetti”;
– i dati così visibili non erano semplici dati “di contatto” (nome, cognome…) ma comprendevano anche le domande che l’interessato aveva rivolto all’INPS;
– i dati erano visibili anche se chi accedeva al portale non inseriva le proprie credenziali di autenticazione;
– gli accessi abusivi risultano iniziati già nella giornata del 31 marzo, ovvero prima che fosse possibile accedere per presentare la domanda;
– per quanto riguarda il bonus baby sitter, sono stati riscontrate 68 visualizzazioni, 17 modifiche e 81 cancellazioni, tutte non autorizzate;
– alcuni utenti hanno riscontrato indebite modifiche effettuate alle domande da loro presentate.
Alla luce di ciò, secondo il Garante il data breach verificatosi appare più rilevante, sotto un profilo quantitativo e qualitativo, rispetto a quanto rappresentato dall’INPS. Soprattutto, le violazioni accertate rappresentano un “rischio elevato per i diritti e le libertà delle persone fisiche”, circostanza che obbliga l’INPS a comunicare ai singoli interessati quanto è successo. In altre parole: come previsto dal GDPR (art. 34), secondo il Garante questo data breach è così grave che l’INPS dovrà ora individuare le singole persone che hanno subito una violazione ai propri dati personali e informarli di quanto successo.
Qui il link a provvedimento del Garante.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale