Ieri sera e nuovamente stamane accedendo al sito INPS, molti utenti hanno riscontrato una strana anomalia: la visualizzazione della pagina e dei dati personali di altre persone: nome, cognome e documenti personali. Siamo di fronte a un Data Breach? Vediamo di capire cosa è successo. A seguito del login regolare con nome utente e password, comparivano pagine con anagrafica e documenti riferiti ad altri utenti e ad ogni click sul menù, l'utente visualizzato cambiava. Non è chiaro il numero di persone coinvolte, ne se il bug si sia limitato a far visualizzare dati diversi o ne abbia permesso anche la modifica od operazioni che possono potenzialmente aver danneggiato l'interessato, ne si ha certezza se i dati visualizzati fossero reali o anagrafiche di test non reali, ma la specificità dei contenuti (codici fiscali, recapiti telefonici), non fa ben sperare in merito. Il Garante Privacy ha lanciato subito un monito: "assoluta urgenza che Inps chiuda la falla e metta in sicurezza i dati". Problemi tecnici e falle della sicurezza dei sistemi o attacco hacker? Il click day per il bonus Covid ha portato a centinaia di migliaia di utenti connessi, questo esubero contemporaneo, può aver portato ad esempio il server ad un crash, con conseguente incrocio di dati "impazzito"; le ipotesi possono essere molte, tanti utenti hanno inoltre segnalato che l'accesso al sito INPS appariva consentito anche senza la digitazione della password, il che renderebbe ulteriormente rilevante e grave la situazione, perché non si avrebbe la tracciabilità del profilo di accesso, che consentirebbe almeno di ricostruire chi ha visto cosa. Al momento il sito è stato messo offline. In serata il Presidente del Consiglio Conte e l'Inps hanno attribuito agli hacker i problemi riscontrati, questo punto di vista non ha però convinto molti esperti, né la stessa Anonymous, che ha subito replicato negando le proprie responsabilità e scrivendo: "Caro@INPS_IT, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento!" Cosa rischia INPS Titolare del trattamento pubblico, laddove fosse accertata la responsabilità dell'ente nell'adozione di misure di sicurezza inadeguate e nel mancato principio di integrità e riservatezza: una multa fino a 20 milioni di euro e possono configurarsi pesanti responsabilità individuali. Gli investimenti in cybersecurity devono essere oggi più che mai prioritari e strategici, nell'ordine del giorno di tutti, specie dei CDA degli enti pubblici.