L’allarmante stato dell’arte del portale Inps

InfoSec.news del 1 aprile 2020

Quello che si sta consumando durante queste ore, verso i molti contribuenti e i richiedenti misure di sostegno per l’emergenza da COVID-19, sembra quasi un pesce d’aprile.
Oggi il portale d’accesso ai servizi INPS è irraggiungibile per i più. Possiamo forse ritenere che anche il sistema informatico sia stato fin troppo prudente e solerte nell’adottare misure di distanza sociale con interpretazione estensiva nei confronti delle connessioni degli utenti? Dobbiamo forse trovarci ad almeno 1 metro dalla tastiera? O ne fa entrare solo un po’ per volta per evitare assembramenti?
Nota ulteriore: il Presidente dell’INPS afferma in modo rassicurante e al contempo sibillino che l’evento di accesso massivo è “Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri” (fonte: https://www.ansa.it/sito/notizie/topnews/2020/04/01/corsa-a-600-euro-100-domande-al-secondo_30bef854-6c2f-47ce-b1fa-1a516a64bb09.html ). Insomma: i sistemi reggono ma sono al contempo intasati. Affermazione che assume il retrogusto del paradosso di Schrödinger: possiamo dire che i sistemi funzionano perché si sovraccaricano e si intasano inevitabilmente? O, per gli amanti del MCU (Marvel Cinematic Universe): l’intasamento era…“ineluttabile”?
Ancora: molti utenti stanno segnalando su più canali (fra cui Twitter e l’hashtag #INPS) un problema diffuso relativo ad accessi irregolari. Sembra infatti che una volta ottenuto l’accesso, con il refresh (automatico o meno) della pagina portale, alcune utenze si ricolleghino ad un diverso profilo rendendo così possibile la consultazione dei dati di altri contribuenti.
Qualora tutto ciò sia confermato, è un data breach di portata estremamente ampia visto il numero di utenti coinvolti (pari potenzialmente almeno ai profili registrati) e per il volume dei dati (che riguardano aspetti personali, finanziari, relativi alla salute e ad altre categorie particolari di dati), che solleva non poco allarme sulla progettazione dei sistemi di accesso e di gestione del database, soprattutto sotto il profilo della sicurezza e le misure di prevenzione di accessi illeciti o non autorizzati. 
Attendiamo l’apertura di un’istruttoria da parte dell’Autorità Garante per la protezione dei dati personali per ogni chiarimento sulla vicenda, che profila un quanto mai allarmante “stato dell’arte” del portale INPS sotto il piano della progettazione ed implementazione della gestione degli accessi lato utente.
Siamo ancora sicuri che, come alcuni ultimamente stanno invocando, le “regole della privacy” debbano essere sospese in tempi di emergenza? Piuttosto, è bene sostenere che proprio nel contesto emergenziale ed in ragione delle necessità di accelerazione dei processi (per la garanzia di servizi essenziali o d’urgenza) e delle relative attività di trattamento di dati personali i principi debbano trovare un naturale rafforzamento responsabilizzando da un lato gli operatori e portando maggiori e più intense garanzie e tutele per gli interessati. Il tutto sarebbe certamente più facile se il rispondente “stato dell’arte” della cultura di protezione dei dati avesse avuto una diffusione e un rilievo più sostanziale che formale.




Commenti