Affari, primi a rivelare gravità del caso. Inps rischia sanzione fino a 20 mln

L’Inps rischia una sanzione fino a 20 milioni di euro se non chiamerà, una per una, le persone esposte alle violazioni dei dati personali dell’1 aprile scorso.  

Per la gravità di quanto successo non è sufficiente un avviso agli utenti pubblicato sul sito dell’ente previdenziale. In quelle ore i dati di molti cittadini sono diventati disponibili, pronti ad essere modificati e manipolati da altri utenti che semplicemente avevano fatto un accesso alla piattaforma dell’ente previdenziale italiano.

Affaritaliani mostrò per prima la gravità del caso intervistando l’informatico Luca Tornabene che connesso al sito dell’ente , per chiedere i 600 euro di indennizzo per il Coronavirus, scoprì di poter accedere ai dati personali di altri. L’informatico aveva realizzato un video dove spiegava l’accaduto. “Ti esce, tranquillamente cliccabile l’elenco con tutte le richieste di quelli che l’hanno già fatta, compreso (il loro, ndr) codice fiscale, numeri di telefono, indirizzi email, pec, date di nascita, luoghi di nascita”, spiegava Tornabene, “tutto quello di cui dovrebbe essere garantita la privacy è completamente in chiaro. C’è addirittura la possibilità di poter annullare le bozze delle persone che stavano facendo la domanda”.

Non c’entravano gli hacker come invece aveva sostenuto inizialmente l’Inps, ma un problema di qualità dei sistemi informatici utilizzati. “Anche se tu non hai competenze di programmazione, non ci vuole un genio per capire che queste due righe sono spazzatura”, aveva spiegato l’esperto informatico Alberto Olla riferendosi ad una stringa di programmazione chiamata Pippo. “Questo è il codice scritto da una persona che non sa programmare! Che non sa scrivere codici!”.

L’Inps stesso aveva ammesso due distinte violazioni dei dati personali, ritenendole però prive di gravi effetti per i diritti e le libertà dei cittadini. Ma il Garante per privacy, Antonello Soro, ha attribuito un rischio elevato a quanto accaduto e ordinato all'Inps di comunicare agli interessati coinvolti entro 15 giorni dal provvedimento dell’Authority le violazioni dei dati personali, descrivendone la natura.

Siamo ancora in una fase istruttoria ed è ancora presto per definire responsabilità, provvedimenti e correttivi. Ma "il garante della privacy ha ricostruito quel che è accaduto giorno 1 Aprile nel sito dell'Inps, quando milioni di italiani si affollarono sul sito per chiedere l'indennità da 600 euro: i dati anagrafici di almeno 42 soggetti e 773 famiglie furono visionati da terzi che in alcuni casi modificarono, cancellarono e inviarono domande non loro. Nessun pesce d'aprile, ma il caos assoluto, la frustrazione di tanti e la gravissima violazione della privacy", ha scritto su Facebook il capogruppo di Italia Viva al Senato, Davide Faraone, che ha anche chiesto di far pagare le eventuali sanzioni ai responsabili e non alle casse dell’ente previdenziale nazionale.

Il caso avrebbe riguardato infatti 43 persone e 773 famiglie: in 68 casi l’utente che ha avuto accesso avrebbe solo visionato le domande degli altri utenti, in 17 invece è intervenuto con una modifica più o meno volontaria, in 81 ha cancellato i dati, in 62 ha inviato le domande all’Inps anche se in bozza. 

La comunicazione dell’Inps agli utenti non sana le violazione di aprile ma almeno fa sapere ai singoli utenti vittime quanto accaduto. Infatti potrebbero presto o tardi arrivare altri provvedimenti all’istituto previdenziale italiano.

“Dal provvedimento del Garante si può ipotizzare una seconda violazione a carico all'Inps, oltre a quella commessa nell'aprile scorso”, ha detto ad Affaritaliani l'avvocato Massimo Melica esperto di privacy e questioni informatiche a cui abbiamo chiesto una valutazione, “mi spiego. Il Garante ha ordinato all'Ente di comunicare agli interessati al trattamento la violazione avvenuta, questo lascia intendere che l'Inps non abbia provveduto nei termini alla comunicazione agli interessati. Insomma l'Inps sembra ignorare la privacy sia a livello tecnico che normativo. Un cambio del management appare dovuto”