L’istituto notifica il data breach all’Autorità Garante Privacy, ma non aveva il Dpo (Responsabile Protezione Dati).
Il Garante Privacy informa di aver avviato un’Istruttoria per effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente.
Come se non fosse già abbastanza grave l’incidente, si aggiunge il fatto (altrettanto grave) che al momento dell’incidente l’Inps non aveva neanche il Dpo, che sarebbe andato in pensione il 30 marzo 2020 senza nomina di alcun sostituto.
Il fatto:
nel tentativo di accedere alla propria sezione MyInps, numerosi gli utenti erano stati reindirizzati dal sito dell’Inps alle sezioni riservate e ai dati di altri utenti.
Non un errore isolato, molti utenti hanno segnalato di aver acceduto alle schede di altri cittadini a caso.
La versione dell’Ente:
a detta del presidente dell’Inps, Pasquale Tridico, il sito avrebbe subito ripetuti attacchi hacker, che avrebbero creato diverse disfunzioni.
Secondo i più noti esperti di Cybersecurity nazionale, la versione dell’Ente appare molto improbabile. Si crede invece che l’incidente sia riconducibile con ogni probabilità a problemi e carenze tecniche (errori di configurazione).
Possibile un attacco, non si può escludere che ci sia stato (anche quello). Ma chi di Sicurezza informatica se ne intende, crede ad un più probabile errore tecnico.
In ogni caso la negligenza non si può giustificare. Quando si tratta di fughe di dati un problema tecnico non può essere un’attenuante.