***
Dottor Faggioli, partiamo dai fatti: mettiamo in fila quali sono stati i problemi tecnici dell'operazione
Partiamo dal presupposto che le informazioni in mio possesso sono quelle che ho letto sui media, come tutti. Detto questo, i problemi tecnici che ho compreso sono stati di due tipologie. Il primo è il sovraccarico del sito dell’INPS, che ha causato l’impossibilità ad accedervi. Il secondo è stato la possibilità, per alcuni utenti che riuscivano ad accedere al sito, di avere accesso ai dati di terzi. Quello che posso dire è che i due problemi difficilmente sono collegati: improbabile che l’eccessivo carico abbia causato la fuoriuscita di dati.
Sulla base delle informazioni che sono disponibili, è possibile capire quali sono state le cause dei singoli problemi tecnici?
Per il sovraccarico si tratta naturalmente del tentativo simultaneo di accesso di un volume insostenibile di utenti. Per il data breach ritengo si sia trattato di un errore di configurazione.
Alcuni dei membri dell'INPS hanno ventilato la possibilità che ci sia stato uno o più attacchi hacker. Sempre sulla base delle informazioni disponibili, c'è qualche elemento che può corroborare questa possibilità, o qualche elemento che permette di considerarla improbabile?
Di per sé né l’uno né l’altro, sarà l’autorità ad accertare l’accaduto. Ma provo a dare qualche elemento di contesto. Da un lato, possiamo dire che uno o più attacchi hacker all’INPS sono credibili, non c’è bisogno di “complottismo” per teorizzarli. Dall’altro, occorre specificare che l’accesso ai dati di terzi per utenti che riescono ad accedere alla piattaforma molto difficilmente può essere l’obiettivo di un attacco informatico. È plausibile, sempre in teoria, che questo risultato sia un effetto collaterale dell’attacco, che avrebbe avuto quindi altri obiettivi. A livello probabilistico è più semplice pensare che sia stato un errore interno di programmazione, ma è giusto indagare puntualmente.
C’è qualcosa di concreto che si sarebbe potuto fare per evitare il problema del sovraccarico e la fuoriuscita di dati?
Per quanto riguarda il sovraccarico, la cosa più logica sarebbe stata – e infatti si sta attuando ora – quella di contingentare le richieste secondo qualche criterio, ad esempio sulla base delle iniziali del cognome (quelli con il cognome dalla A alla L possono fare richiesta in un determinato giorno, quelli con il cognome dalla M alla Z possono farlo in un altro giorno). Qui è stato commesso invece un errore di comunicazione piuttosto evidente, perché il sito dell’INPS aveva fatto circolare l’informazione che chi avesse inoltrato prima la richiesta avrebbe avuto più chances di vedersi erogato il denaro.
Per quanto riguarda invece al probabile errore di configurazione che ha portato alla fuoriuscita di dati, ritengo credibile che si sia trattato di un bug rispetto a un attacco hacker, e quindi di un errore umano. Potremmo pensare alla straordinarietà dell’operazione, al poco tempo per organizzarla, alla pressione dettata dal problema di sovraccarico.
In questo momento, chi ha avuto i propri dati personali diffusi può fare qualcosa per tutelarsi, o deve attendere? Ci sono delle previsioni che si possono fare da questo punto di vista?
L’INPS immagino che abbia ottemperato all’obbligo di segnalazione generale della fuoriuscita di dati all’autorità garante – e d’altra parte era inevitabile, visto che la cosa era manifesta. Ora potrebbe scattare un’informativa specifica per gli interessati, sempre dall’INPS. La notifica agli interessati non è sempre obbligatoria, sarà l’INPS a valutare se procedere o meno sulla base del GDPR.
I cittadini, dal canto loro, possono chiedere dei danni se riescono a dimostrare la fuoriuscita dei loro dati personali e il danno derivante da essa. Naturalmente chiedere i danni è un conto, dimostrare di avere effettivamente diritto al risarcimento è un altro.
Infine, l’autorità garante valuterà una possibile sanzione amministrativa per l’INPS: quest’ultima dovrà dimostrare di essere stata vittima di un attacco hacker pur avendo applicato misure di sicurezza adeguate per evitarla, percorso molto tortuoso temo.