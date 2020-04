– a cura dell’ing. Giancarlo Di Lieto –

Ciò che è capitato al sito di INPS al primo giorno in cui è stato possibile fare richiesta del bonus di sostegno per determinate categorie di lavoratori è solo l’ennesimo episodio, magari ancor più eclatante, di quanto in generale la sicurezza informatica non sia presa in debita considerazione nella realizzazione dei sistemi IT da parte delle aziende sia pubbliche che private.

L’incidente verificatosi sul sito INPS non è stato solo un problema di incapacità di reggere il carico di un numero eccessivo (ma prevedibile) di utenti connessi contemporaneamente ma, cosa ben più grave, ha determinato una palese violazione di dati personali di un certo numero di utenti che hanno visto i propri dati resi pubblici, non solo su quel sito ma divulgati in pochissimo tempo facendo il giro della Rete.

Non sono ancora note le cause di una siffatta debacle, verosimilmente dovute ad un crash del sistema per il sovraccarico piuttosto che ad un attacco hacker che avrebbe sfruttato delle vulnerabilità del sito web, fatto sta che gli utenti che si sono collegati al sito, si sono ritrovati ad accedere ai dati personali, in alcuni casi anche sensibili, di altri utenti con una logica del tutto casuale e sconcertante.

Data breach

Questo spiacevole episodio, che vedremo nei prossimi giorni se porterà conseguenze legali all’Ente a causa di denunce per data breach (ai sensi dell’art 33 del GDPR), ha messo ancora più in evidenza quanto la sicurezza costituisca un elemento imprescindibile nella fase di progettazione di qualsiasi sistema informatico, soprattutto quando ne va di mezzo la tutela dei dati personali dei cittadini.

I principi sanciti dal GDPR relativi alla protezione dei dati fin dalla progettazione (Privacy by Design) e protezione per impostazione predefinita (Privacy by Default), l’adozione di misure di sicurezza adeguate per garantire la mitigazione dei rischi (Security by Design) che insorgono maggiormente in siffatte situazioni di particolare stress dei sistemi informatici, avrebbero potuto sicuramente evitare l’incidente di sicurezza.

Ancora una volta, però, la fretta forse di raggiungere il traguardo in tempi brevi (anche giustificabile vista la finalità dell’obiettivo) ha visto sacrificare il rispetto di questi principi che, invece, devono costituire le fondamenta obbligatorie di qualsiasi sistema che tratta dati personali, a maggior ragione quando è un servizio essenziale per milioni di cittadini.

