Data Breach sito INPS
Un bel pesce d’aprile ha investito l’Istituto Nazionale di Previdenza Sociale (INPS) il primo giorno in cui sul sito sarebbe stato possibile per i lavoratori autonomi effettuare la domanda per ottenere il bonus di 600 euro previsto dalla normativa d’emergenza Covid-19. I numerosissimi utenti che hanno provato ad accedere tramite il proprio account al sito dell’INPS per la compilazione della domanda si sono per errore ritrovati nei profili di altri utenti e sono, quindi, venuti a conoscenza di tutti i loro dati.
La violazione della riservatezza dei dati degli utenti del sito è palese: migliaia di dati sono stati esposti indebitamente a soggetti non autorizzati alla consultazione. Si è, dunque, di fronte ad un vero e proprio data breach.
L’INPS ha denunciato di essere stato vittima di un attacco hacker accompagnato da una serie di mal funzionamenti che hanno portato alla necessità di chiudere il sito e bloccare la procedura di invio delle domande per alcune ore.
Come previsto dall’art. 33 del GDPR, l’INPS (Titolare del trattamento dei dati) ha correttamente effettuato la comunicazione del subìto data breach al Garante della Privacy. Il Garante ha, conseguentemente, da un lato avviato un’istruttoria “allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati”, e dall’altro ha richiamato l’attenzione “sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti”.
A questo punto, confidando nella correttezza dei contribuenti che si spera non diffonderanno i dati personali dei quali accidentalmente e indebitamente sono venuti a conoscenza, non resta che attendere i futuri sviluppi dell’istruttoria del Garante.