A seguito delle numerose segnalazioni pervenute e della notifica di data breach effettuata dall’INPS, il Garante per la protezione dei dati personali ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
La vicenda risale alla scorsa primavera, quando l’istituto nazionale di previdenza sociale (INPS) ha subito presso i propri server, diverse violazioni dei protocolli di sicurezza cibernetica.
L’accaduto è stato segnalando al Garante della protezione dei dati personali come previsto dall’art. 33 del GDPR che ne dispone i tempi ed i modi di segnalazione.
Le violazioni dei dati personali a danno dell’INPS si sono concretizzate, nell’accesso non autorizzato di utenti al sito principale con relativa visualizzazione di dati personali appartenenti a soggetti terzi.
Questo è avvenuto a causa dell’elevato numero di accessi da parte dei cittadini italiani, per le richieste del bonus per l’acquisto di servizi di baby-sitting e per le prestazioni a sostegno del reddito, legate alla situazione emergenziale da COVID19.
Per fronteggiare l’emergenza l’INSP ha optato per una temporanea chiusura del proprio sito internet.
Tale decisione e stata necessaria per effettuare le ottimizzazioni del portale e il contingentamento del traffico proveniente dagli intermediari e dai cittadini.
Ulteriore misura di tutela per l’Istituto, al fine di limitare la diffusione dei dati personali, è stato quello di creare un’apposita casella violazionedatiGDPR@inps.it, per consentire di inviare segnalazioni ed evidenze in merito al data breach.
L’Istituto, al fine di garantire adeguati livelli di fruibilità dei servizi e protezione da eventuali attacchi DDOS, aveva deciso di fare ricorso ad un servizio di CDN (Content Delivery Network), ritenuto idoneo per la gestione di questo modello di erogazione di servizi.
Viene anche coinvolta la società Leonardo la quale fornisce il supporto sistemistico formando di fatto un “tavolo tecnico” tra Inps e Microsoft.
In aggiunta a ciò, l’Istituto si è servito dell’offerta tecnologica di Microsoft, in tema di distribuzione dei contenuti, basato sulla tecnologia Akamai. Tuttavia, tutte queste contromisure si sono rivelate inadeguate per fronteggiare il flusso di richieste.
Il Garante Privacy ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, con il
provvedimento n.86 del 14 maggio 2020 ingiunge all’INPS di comunicare, senza ritardo, le violazioni dei dati personali in esame a tutti gli interessati coinvolti.
Inoltre, richiede di comunicare quali iniziative siano state intraprese al fine di risoluzione del problema e di fornire un riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del provvedimento.
FONTE GARANTE PRIVACY
