EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
01/04/2020 Agi: Sito dell'Inps in tilt. "Attacco hacker". Ma gli analisti lo escludono

CORONAVIRUS

Sito dell'Inps in tilt. "Attacco hacker" - Ma gli analisti lo escludono

Piattaforma bloccata nel giorno delle richieste per i bonus. Molti utenti hanno segnalato di aver avuto accesso ai dati di altri iscritti. Garante della Privacy: "Grave violazione, siamo molto preoccupati". Per XXX e XXX è stato un attacco ma gli esperti interpellati dall'Agi lo ritengono improbabile.

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. Nel giorno in cui è possibile inviare le richieste di bonus e congedi, l'Inps si blocca. Il presidente dell'ente, XXX, parla di un attacco hacker, tesi sostenuta anche dal presidente del Consiglio, XXX. Gli esperti informatici interpellati XXX escludono però questa pista.

Cosa è successo

Provando ad accedere a uno dei tre servizi previsti dal Cura Italia per tamponare l'emergenza Covid-19 (la richiesta di bonus baby-sitter, quella di congedo parentale e l'indennità di 600 euro per gli autonomi), il sito prova a caricare le pagine per diversi minuti prima di annunciare che il server non risponde. Troppo traffico in entrata. Via Twitter, l'Inps, sommersa dai messaggi di protesta, scrive di essere a "conoscenza della problematica": "Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione".

Intanto decine di utenti hanno segnalato - anche all'AGI - che, inserendo le proprie credenziali, l'Inps rimanda alle sezioni riservate e ai dati di altri utenti. Con tanto di nomi, anagrafe, codice e posizione fiscale, Pec. Non un errore isolato, a quanto pare. Molti utenti segnalano che, a ogni tentativo di accesso vengono reindirizzati alle schede di altri cittadini a caso.

Il Garante della Privacy: "Gravissimo data breach"

Sulla questione si accende anche il faro dell'Autorità garante della privacy, che esprime seria preoccupazione per l'esposizione di dati personali degli utenti. "Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l'Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. È importante che ora l'Inps chiuda la falla e metta in sicurezza i dati".

Il presidente dell'Istituto, XXX, ha spiegato in mattinata - sempre tramite il social network - che "dall'una di notte alle 8.30 circa, abbiamo ricevuto 300 mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell'Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri". Poi al Tg1 chiarisce: "Negli ultimi giorni abbiamo subito diversi attacchi hacker che hanno creato diverse disfunzioni. Stamattina gli attacchi sono proseguiti, con disfunzioni ulteriori".

Al momento l'accesso al sito è sospeso, ma XXX ha assicurato che sarà presto riaperto, sebbene "con una modalità diversa: la mattina, dalle 8 alle 16, a patronati e consulenti, dalle 16 in poi anche ai cittadini". Nel pomeriggio anche il premier XXX ha detto che la piattaforma è stata oggetto di attacchi hacker.

Le critiche dalla politica

Immediate le reazioni politiche. In una nota il dipartimento Economia della Lega ha criticato i malfunzionamenti alla piattaforma denunciando violazioni di privacy e ritardi: "Non solo il governo ha previsto una cifra ridicola per gli autonomi, ma ora è anche iniziata anche l'odissea per ricevere il misero bonus". Sulla stessa linea XXX che parla di "preoccupante situazione in termini di sicurezza dei dati e di privacy degli utenti".

"Oltre al danno di ricevere poco più di un'elemosina - scrive il presidente di Fratelli d'Italia - ora migliaia di lavoratori rimasti senza reddito sono costretti a subire un vero e proprio calvario digitale per avere dallo Stato i pochi euro che il Governo ha stanziato. Purtroppo non è un pesce d'aprile, ma una drammatica verità". Mentre su Twitter il vicepresidente di Forza Italia XXX chiede di "fare in fretta" per risolvere i problemi.

Critiche arrivano anche da Italia Viva, con il deputato XXX che su Facebook accusa l’Inps di commettere “la più grande e clamorosa violazione di dati sensibili della storia d’Italia” e chiede all’istituto di fermare quello che definisce “un disastro senza precedenti”, mettendo in sicurezza i dati degli italiani. La vicepresidente dei senatori di Forza Italia XXX stigmatizza invece “l’incapacità e il pressappochismo del governo nella gestione dell’emergenza”, che, sottolinea “stanno generando rabbia da parte dei cittadini”.

Perché un attacco hacker è improbabile

È poco probabile che i problemi del sito dell'Inps siano stati causati da un attacco hacker, anche perché di attacchi hacker di questo tipo finora non ce n'è mai stata traccia. Più facile invece che si sia trattato di un errore di programmazione della memoria cache del sito. Ne è convinto XXX, imprenditore e informatico che all'AGI spiega le ragioni delle centinaia di segnalazioni arrivate in queste ore da parte di utenti che si sono trovati con moduli già compilati da altri utenti, accedendo cosi' ai loro dati riservati.

"La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online", spiega Flora. Una sorta di scorciatoia per alleggerire il sistema dalle centinaia di migliaia di richieste di compilazione dei moduli: "Con la cache, invece di chiedere tutte le volte al server le informazioni per 'comporre' le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune 'parti' delle richieste e richiamarle per rendere più leggera l'operazione".

Come si spiega quindi che chi accedeva al sito si è ritrovato i moduli compilati da altri? "Qualcuno deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell'Inps o per lo meno le sessioni autenticate - continua XXX -. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l'utente successivo entrando nel sito li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone".

Un errore di programmazione quindi, e anche piuttosto comune, spiega l'informatico: "Chiunque abbia mai programmato un sistema di cache ha fatto questo errore. Ma si tratta di un errore che generalmente viene fatto e individuato in fase di progettazione del sito, non quando si è online".

XXX infine ritiene poco probabile che quel genere di problemi possano essere stati causati da un attacco hacker, pur non potendo escludere che un qualche tipo di attacco ci sia stato: "Al momento non si hanno notizie di altri attacchi hacker di questo tipo. Anche perché sarebbe un attacco hacker un po' senza senso: non sono stati stati rubati dei dati, ma si sono esposti dati di utenti ad altri utenti. E poi c'è da dire che tutti i siti sono quotidianamente oggetto di attacchi hacker di qualche tipo, ma sono cose che tutti già mettono ampiamente in conto e hanno sistemi per difendersi", conclude.

E ora che deve fare l'Inps?

Sul sito dell'Inps c'è stato comunque quello che gli informatici definiscono un leak. Una violazione di dati personali che per essere tale nonè' necessario che sia causata volontariamente da qualcuno, spiega all'AGI XXX, avvocato esperto di digitale. "La violazione dei dati personali è per definizione una problema di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica o la divulgazione non autorizzata di informazioni. È il regolamento europeo sulla privacy a definirlo in questo modo", spiega XXX.

Ma una volta accertata la violazione, cosa deve fare ora l'Inps? "Il Gdpr è molto chiaro in proposito: l'Inps deve notificare la violazione al Garante Privacy senza ritardo, spiegando cosa è successo e le azioni intraprese. Se possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza - continua l'avvocato-. Qui mi pare che si tratti di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le liberta' delle persone fisiche, quindi oltre ad avvisare il Garante, per l'Inps sarà necessaria una notifica anche a tutti gli utenti interessati dalla violazione".

Violare la normativa europea comporta sanzioni, anche pecuniarie. Cosa rischia l'Inps? "Premesso che è necessario verificare se esista o meno una responsabilità dell'INPS considerata anche la difficile situazione nella quale si trova ad operare, il Gdpr stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione ha diritto a ottenere il risarcimento del danno.

Inoltre sula carta il GDPR prevede sanzioni fino a 20 milioni di euro nel caso di violazione delle norme in materia. Per cui l'Inps dovrà attivarsi subito intanto con le notifiche del caso al Garante e, se necessario, agli utenti. Dopodichè si dovrà verificare se ci sono altri soggetti coinvolti e il grado di responsabilità. Il tempo e' un fattore importante in queste situazioni e dovrebbero attivarsi quanto prima per delle idonee contromisure". Soldi che, continua Simbula, probabilmente sarà lo Stato a dover sborsare.

Fonte: Agi

Categorie
Focus > Casi riportati dalla stampa
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Focus > Coronavirus e smart working
Parole chiave
INPS
Coronavirus
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits