Ci eravamo lasciati con l’impegno di tenervi aggiornati circa le decisioni che avrebbe assunto il Garante della Privacy rispetto all’episodio di data breach verificatosi sul portale dell’I.N.P.S. lo scorso mese di aprile.
Ebbene, con il provvedimento n. 86 del 14 maggio 2020 il Garante ha reso noto l’esito dell’attività ispettiva avviata nei confronti dell’Istituto Previdenziale.
La vicenda
Avevamo parlato dell’episodio incriminato in questo articolo: in data 01.04.2020 sul sito dell’I.N.P.S. si verificava appunto un data breach a causa di un sovrannumero di collegamenti simultanei per l’erogazione dei benefici a sostegno del reddito legati all’emergenza Covid.
Di fatto, numerosi utenti segnalavano di essersi trovati a visualizzare dati personali sensibili riferiti a persone terze e diversi dai propri. In particolare, le violazioni notificate sono state le seguenti:
- Accesso ai dati personali di utenti del portale istituzionale da parte di terzi non autorizzati;
- Accesso ai dati personali di utenti che avevano chiesto l’erogazione del c.d. “bonus baby sitter”
L’Ufficio del Garante, nell’esercizio dei propri poteri, ha dunque avviato l’attività di indagine nei confronti dell’I.N.P.S. per accertare l’entità delle infrazioni denunciate, le cause della fuga di dati, nonché le misure tecniche ed organizzative dallo stesso adottate per arginare il problema.
La versione dell’INPS…
Rispetto alle due violazioni lamentate di cui sopra, l’Istituto si è difeso sostenendo quanto segue.
Quanto alla prima problematica, I.N.P.S. ha premesso di aver richiesto qualche giorno prima del fatto un supporto tecnico da parte (anche) di Microsoft per valutare soluzioni adeguate a sopportare il previsto aumento di accessi al proprio sito. Ciò nonostante, il sistema sarebbe andato in crisi a causa di un anomalo funzionamento del sistema di catching del servizio CDN, ed una volta verificatosi il data breach, l’Ente riferisce che:
- Il sito sarebbe stato chiuso prontamente ed eseguite le ottimizzazioni necessarie sarebbe stato ripristinato dopo tre ore;
- Sarebbe stata istituita un’apposita casella di posta elettronica a disposizione degli utenti per segnalare eventuali nuove anomalie;
- Le tipologie dei dati personali violati avrebbe riguardato soltanto nome, cognome, luogo e data di nascita, indirizzo di residenza, numero di telefono ed e-mail degli utenti (ritenuti quindi di minore importanza);
- Dall’analisi dei log, gli interessati dalle violazioni non sarebbero più di 23, e che i soggetti che potenzialmente hanno potuto consultare i dati di terzi non dovrebbero essere stati più di 819.
Quanto alla seconda violazione, l’Istituto ha precisato che, per garantire l’erogazione del bonus baby sitter anche a quei soggetti non in possesso delle credenziali di accesso al portale, aveva dovuto approntare una procedura informatica ex novo, il cui accesso era consentito in modalità semplificata rispetto agli utenti “ordinari”.
Tale configurazione, tuttavia, ha creato un malfunzionamento dell’intero sistema, posto che ogni utente appena abilitatosi all’accesso semplificato è stato in grado di accedere alle domande presentate da altro utente di pari livello. Ciò premesso, l’Ente anche in questo caso ha precisato quanto segue:
- Le tipologie dei dati personali violati avrebbe riguardato sia quelli del parente richiedente (tra i quali, la situazione lavorativa, se unico genitore ecc) che quelli del minore (tra i quali, anche la presenza di eventuali handicap);
- Dall’analisi dei log, il numero massimo di domande che sarebbero state potenzialmente visualizzate da terzi estranei erano 773. Di queste, soltanto 68 risulterebbero essere state visualizzate da terzi, tuttavia residenti in Regioni diverse dall’interessato; soltanto 17 sono state oggetto di modifica da parte di terzi, soltanto 81 sono state cancellate da terzi, e soltanto 62 sono state inviate da terzi.
In sostanza, concludeva l’I.N.P.S., non sarebbero state riscontrate evidenze di una diffusione di dati personali di specifiche domande di erogazione del bonus e che in particolare solo 2 domande visualizzate da terzi contenevano l’indicazione che il minore è portatore di handicap.
Si può quindi desumere, secondo L’Ente, lo scarso interesse da parte dei terzi a conoscere i dati visualizzati e dunque uno scarso impatto sulla sfera personale degli interessati.
…e quella del Garante
Di diverso avviso è stato invece il Garante, il quale all’esito delle proprie indagini ha appurato l’esistenza di criticità maggiori e differenti rispetto a quelle rappresentate dall’I.N.P.S., ovvero:
- Un numero più elevato di soggetti coinvolti dalla violazione dei dati personali (42, invece che 24);
- Possibilità per i terzi di visualizzare liberamente anche altri dati dell’interessato (ad es., posizione fiscale) senza alcuna autenticazione;
- Possibilità anche nella giornata del 2 aprile (quindi, dopo il data breach) di poter consultare le domande di bonus baby sitter presentate da terzi nei giorni precedenti;
- Altre anomalie, non correlate a quelle oggetto di accertamento, ma indici di un chiaro malfunzionamento del sistema informatico.
Ciò premesso, il Garante ha evidenziato come il ruolo stesso rivestito dall’I.N.P.S. imporrebbe l’adozione di strumenti idonei atti a garantire la fiducia dei cittadini e le legittime aspettative di trasparenza e sicurezza del trattamento.
In tal senso, al contrario di quanto sostenuto dall’Istituto, dati personali come indirizzi di residenza o numeri di telefono personale, o le indicazioni circa la presenza di handicap fisici, non sono affatto di scarso interesse, bensì comportano “invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti”.
La decisione
Il Garante ha quindi ingiunto all’IN.P.S. quanto segue:
- Di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali a tutti gli interessati coinvolti, descrivendo la natura delle stesse e le possibili conseguenze, fornendo i dati del responsabile della protezione dei dati e l’indicazione delle possibili misure da adottare per proteggersi;
- Con specifico riferimento alla violazione dei dati personali per i Bonus Baby Sitting, la comunicazione di cui sopra dovrà essere inviata ai genitori richiedenti di tutte le 773 domande potenzialmente accessibili (quindi, non solo quelle che secondo l’istituto sarebbero state effettivamente visualizzate e/o modificate);
- Di comunicare al Garante stesso quali iniziative correttive siano state intraprese entro il termine di 20 giorni.
Nelle more, il Garante proseguirà l’attività ispettiva per prescrivere ulteriori misure di sicurezza e per accertare le responsabilità dell’I.N.P.S., con riserva di ogni altra determinazione, anche sanzionatoria, all’esito dell’istruttoria avviata sul caso.
In conclusione, a distanza di ormai due anni dall’adozione del Regolamento UE 2016/679, il data breach che ha coinvolto l’I.N.P.S. ha consentito, da un lato, di comprendere a che livello siano oggi le nostre Istituzioni nella tutela dei dati dei cittadini; dall’altro, di approfondire dal punto di vista pratico il ruolo del Garante della Privacy rispetto a tali episodi. In particolare, volendo interpretare il provvedimento poc’anzi esaminato, possiamo dedurne che:
- Per l’Autorità, ogni dato personale (anche se all’apparenza di minore rilevanza) è considerato sensibile e meritevole di tutela;
- Il concetto di “privacy by design”, introdotto dall’art 25 G.D.P.R. ed incentrato sulla valutazione del rischio, è ancora un obiettivo lontano, ma non ci si deve mai dimenticare che, dietro ogni dato sensibile, c’è una persona fisica che va protetta.
Avv. Davide Berardelli