INPS, data breach e prospettive di digitalizzazione

E’ stato pubblicato sulla rivista CyberLaws il mio nuovo articolo, che potrete trovare anche qui di seguito.

Avv. Paolo Palmieri


Il Decreto Cura Italia (d.l. n. 18 del 17.3.2020), com’è noto, ha stabilito una misura di sostegno una tantum in favore dei lavoratori autonomi (liberi professionisti non iscritti a casse private, co.co.co., commercianti, artigiani, coltivatori, lavoratori dello spettacolo, ecc.) che abbiano ridotto o cessato la propria attività a causa del Coronavirus.

Tale misura consiste in un bonus di € 600,00 da richiedere a partire dal 1 aprile 2020 tramite un’istanza telematica sul sito dell’INPS.

Ci sono vari modi per accedere al sito dell’INPS: con il famoso PIN, con SPID, con la Carta d’Identità Elettronica, e con la Carta Nazionale dei Servizi.

Nonostante sia il metodo meno “smart”, la gran parte degli accessi al portale dell’INPS avvengono tramite il PIN, un codice consegnato in parte digitalmente, ed in parte a mezzo raccomandata. Eccezionalmente, però, vista la situazione, l’INPS ha spiegato che sarebbe stato possibile richiedere il bonus indennità anche attraverso un PIN semplificato, ossia un PIN rilasciato per intero tramite SMS.

Nella forma, il 1 aprile non sarebbe dovuto essere un click day, ma nella sostanza l’Istituto previdenziale aveva comunicato che avrebbero evaso le istanze sulla base del criterio della precedenza nella presentazione delle stesse.

Sito INPS inaccessibile

Nei fatti, dunque, si poteva immaginare un enorme numero di accessi al sito per richiedere l’indennità (oltre al bonus baby-sitter e congedi) e così è stato. Il 1 aprile il sito dell’INPS ha registrato una media di 100 domande al secondo ed è immediatamente risultato inaccessibile.

Secondo il Presidente dell’INPS Tridico, l’Istituto avrebbe subito un violento attacco di DDoS (c.d. “Distribuited Denial of Service“) che ha reso il portale completamente inservibile, ma molti hanno notato delle incongruenze con questa versione (peraltro smentita dai collettivi di hacker più famosi).

Infatti, è stato evidenziato “…come in molte parti della giornata, quando ancora il sito era navigabile, la navigazione in tutto il resto del portale fosse relativamente fluida mentre, solo sulla pagina per la richiesta d’indennità del COVID-19, ci fossero problemi” (Edoardo Limone).

Quello che poteva essere fatto

Il problema dell’enorme numero di accessi simultanei su di un sito esiste da “sempre”.

Per evitarlo, da diversi anni ormai, proprio per gestire i picchi di richieste, esistono soluzioni che consentono di distribuire le risorse su più server distribuiti.

Alcuni autori hanno sottolineato che l’INPS non era (e non è) preparata a questi numeri, nonostante fossero ampiamente prevedibili; anche perché non si è mai posta il problema di aggiornare la parte infrastrutturale per consentire la scalabilità in occasioni come queste.

In altri termini, nonostante le ingenti risorse spese negli ultimi anni per il reparto ICT dell’Istituto, il sito non è ancora progettato per poter aumentare rapidamente le risorse.

Eppure le soluzioni potevano essere tante: si poteva progettare sin da subito un sito ad hoc per la presentazione di questa istanza (come poi l’INPS è stata costretta a fare, vedi il sito https://www.inps.it/nuovoportaleinps/home.htm);  si poteva inserire davanti al sito un meccanismo che rallentasse di accessi; si potevano scaglionare gli accessi per ordine alfabetico ed ideare un meccanismo di sorteggio per la liquidazione dell’indennità (come in parte, poi, è stata costretta a fare).

Il grosso pasticcio del data breach

Oltre all’inaccessibilità del portale INPS, però, si è verificata anche una massiccia violazione dei dati personali di tantissimi utenti registrati sul sito.

Infatti, tra il 31 marzo e il primo aprile 2020, dal sito web dell’Inps è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti. Un’importante violazione di dati personali che ha comportato la visualizzazione in chiaro di migliaia di dati personali.

Il problema sarebbe legato ad una non corretta progettazione della cache di sistema.

Quello che è accaduto è un chiaro esempio di data breach.

Il Reg. UE n. 2016/679 (GDPR) definisce la violazione dei dati personali come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, par. 1, n. 12 GDPR).

Rientra nei doveri del titolare del trattamento dei dati personali, in questo caso l’INPS, mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ed essere capace di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente. E’ il c.d. dovere di accountability, introdotto dal GDPR all’art. 32, che nonostante la sua astrattezza, si manifesta con chiarezza in circostanze come queste.

Ai sensi dell’art. 33 del GDPR, in caso di data breach, il titolare il titolare del trattamento è tenuto a notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento. L’INPS ha notificato immediatamente la violazione al Garante (che ha prontamente risposto con un comunicato) e non avrebbe potuto fare altrimenti, stante il clamore suscitato.

Infine, il titolare ha l’obbligo di comunicare la violazione agli interessati senza ingiustificato ritardo, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’Istituto di previdenza, come anticipato, ha fatto entrambe le cose. Ha anche attivato una casella di posta elettronica (violazionedatiGDPR@inps.it) per le segnalazioni da parte dei soggetti i cui dati siano stati interessati dalla violazione.

Spetterà, poi, al Garante valutare se l’INPS abbia adottato o meno tutte le contromisure tecniche e organizzative idonee ad evitare la violazione dei dati personali, a seguito dell’istruttoria che ha già comunicato di aver avviato (e che potrebbe concludersi con l’irrogazione di una sanzione).

I danni possono essere risarciti?

A tale riguardo va premesso che la sola circostanza che i dati siano stati trattati in modo illecito o scorretto non è idonea di per sé a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale.

Recente giurisprudenza della Cassazione, comunque legata alla normativa precedente all’entrata in vigore del GDPR, chiarisce che “Il danno non patrimoniale risarcibile … non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” … sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni … ma solo quella che ne offenda in modo sensibile la sua portata effettiva” (Cass. n. 14242/2018).

Detto questo, nella vigenza del Codice Privacy pre-GDPR, si riteneva che i danni cagionati per effetto del trattamento dei dati personali fossero assoggettati alla disciplina di cui all’ art. 2050 c.c. (e non a quella meno favorevole per il danneggiato di cui all’art. 2043 c.c.), ossia la disciplina della responsabilità per l’esercizio di attività pericolosa; con la conseguenza che il danneggiato era tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spettava al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno.

Insomma, la presunzione del danno in re ipsa poteva essere vinta solo nel caso in cui il danneggiante avesse dimostrato che non vi fossero state conseguenze non patrimoniali o che si fosse trattato di un danno irrilevante o bagatellare.

Il nuovo art. 82 del GDPR consente a chiunque subisca un danno materiale o immateriale, causato da una violazione del regolamento, di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento; i quali sono esonerati dalla responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

Nel caso di specie potrebbe essere piuttosto agevole ottenere un risarcimento dei danni non patrimoniali subiti, nei confronti dell’INPS, da parte di coloro che possono quantomeno provare che la propria area personale sia stata visualizzata da altre persone o, ancora peggio, che i loro dati siano finiti in rete.

Per chi non ha questa possibilità di prova, né con allegazione e né con presunzioni (e che probabilmente non sa neppure se il proprio profilo sia stato visualizzato o meno da altre persone), invece, potrebbe essere più complicato ottenere un risarcimento, in quanto in un ipotetico giudizio il giudice sarà sempre tenuto a valutare la tollerabilità dell’esposizione dei dati personali e l’effettivo danno subito.

Un’occasione sprecata

Un altro tema da affrontare riguarda le credenziali ai servizi della Pubblica Amministrazione.

È stato autorevolmente sostenuto che l’accesso al portale INPS tramite il PIN sia stato (e continui ad essere) un grosso ostacolo all’utilizzazione di SPID, il sistema pubblico per l’identità digitale.

Come si legge dal sito http://www.spid.gov.it, SPID è la soluzione prescelta dal legislatore per accedere ai servizi online della Pubblica Amministrazione e dei soggetti privati aderenti con un’unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone.

È uno dei pilastri delle varie Agende digitali che si sono susseguite negli anni, perché consente di accedere a molteplici servizi con un unico account.

Ebbene, non si comprende perché sia ancora consentito accedere al portale dell’INPS con uno strumento “obsoleto” come il PIN, quando si dovrebbe incentivare SPID (che peraltro può essere rilasciato anche a distanza).

Fino ad ora sono state rilasciate “solo” poco meno di sei milioni e mezzo di identità digitali SPID.

Sarebbe stato preferibile indirizzare i richiedenti verso questa piattaforma, piuttosto che verso il PIN. Anche perché il PIN è solamente una firma elettronica avanzata, mentre SPID è una identità digitale multiservizi, che a breve potrà essere utilizzata anche come firma al pari della firma digitale, con piena prova ai sensi dell’art. 2702 del Codice Civile.

Recentemente, infatti, sono state emanate le Linee Guida AgID per la firma tramite SPID ai sensi dell’art. 20, comma 1-bis, del Codice dell’Amministrazione Digitale.

Forse sarebbe stato improvvido costringere i beneficiari a dotarsi di SPID per richiedere l’indennità di € 600,00 in queste circostanze; però è quantomeno discutibile che si sia preferito indirizzare gli utenti verso la creazione di un PIN semplificato via SMS, e non verso un’infrastruttura nazionale strategica come SPID.


Fonti:

Reg. UE n. 679/2016

Cassazione, ord., Sez. 1, n. 14242 del 4 giugno 2018.

Cass., sentenza n. 18812/2014

Linee Guida AgID – Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell’art. 20 del CAD

Data breach Inps: la lezione da imparare per evitare nuovi casi – Valeria Cerocchi e  Vincenzo Colarocco https://www.agendadigitale.eu/sicurezza/privacy/data-breach-inps-la-lezione-da-imparare-per-evitare-nuovi-casi/

INPS, cos’è avvenuto il 1 aprile? – Edoardo Limone https://www.edoardolimone.com/blog/2020/04/03/inps-cosa-e-accaduto-il-1-aprile/

Pin Inps semplificato e identità digitali: ecco lo scenario nazionale – Eugenio Prosperetti https://www.agendadigitale.eu/documenti/pin-inps-semplificato-e-identita-digitali-ecco-lo-scenario-nazionale/

Sito Inps inaccessibile, ecco tutti gli errori fatti e come rimediare – Vittorio Bertola https://www.agendadigitale.eu/infrastrutture/sito-inps-inaccessibile-ecco-tutti-gli-errori-fatti-e-come-rimediare/

Lascia un commento