Data breach INPS: le mancanze culturali che hanno portato alla violazione di dati personali - Cyber Security 360

LA RIFLESSIONE

Data breach INPS: le mancanze culturali che hanno portato alla violazione di dati personali

Il data breach INPS e la successiva dichiarazione del Garante Privacy hanno reso evidente le fatiche del sistema Italia nel fronteggiare le sfide della data protection. Proviamo quindi a ricostruire quanto accaduto analizzando non tanto gli aspetti tecnologici quanto le evidenti mancanze culturali

10 Apr 2020
M
Nicola Manzi

Consulente Direzionale | Compliance | DPO

La dichiarazione rilasciata dall’attuale Autorità Garante per la protezione dei dati personali all’indomani della violazione di dati personali (data breach) che ha avuto come protagonista l’INPS, Istituto Nazionale della Previdenza Sociale, rende immediatamente evidente come il sistema Italia faccia fatica nel fronteggiare le ambiziose sfide poste in essere dalla cosiddetta data protection:

“Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

Se dovessimo trovare qualche difetto ad Antonello Soro non sarebbe certo la mancanza di lucidità o la capacità di esercitare una visione d’insieme.

Allo stesso tempo, questa amara riflessione del soggetto “più alto in rango” in materia di privacy amplifica gli orizzonti e suggerisce una rilettura dell’ormai celeberrimo “data breach” dell’INPS, che focalizzi non tanto gli aspetti tecnologici, quanto gli aspetti culturali che, purtroppo, sembrano accomunare gran parte delle amministrazioni pubbliche del nostro Paese.

Questo non perché si possano ritenere di scarso interesse gli aspetti tecnici e organizzativi sottesi al malfunzionamento dei sistemi informativi di INPS, ma piuttosto considerando che:

  • anch’essi possono essere fatti rientrare tra le conseguenze di una scarsa propensione dei centri decisionali ad innovare i propri processi rendendoli conformi ai principi chiave del Regolamento UE 679/2016;
  • sono ormai presenti nella rete, interessanti letture tecniche (anche piuttosto analitiche alle quali rimando) che ricostruiscono ed evidenziano tutti gli errori commessi dall’Istituto e dai tecnici informatici in ogni momento della violazione;
  • la stessa attenzione, al contrario, non si è riservata alle criticità endemiche di approccio al sistema di protezione dei dati.

Alla luce di queste considerazioni, proviamo quindi a “rileggere” alcuni aspetti della vicenda da questo differente punto di vista.

La scelta del DPO

Al momento del data breach l’Ente non aveva un DPO. A questo riguardo molto è stato detto dagli organi di stampa. Non ritengo però che si tratti di un problema sostanziale: il soggetto precedentemente nominato non era più in servizio da pochi giorni perché appena andato in pensione e probabilmente (anche in considerazione delle circostanze emergenziali) l’Ente può non aver avuto il tempo materiale di individuare un nuovo soggetto.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity

In questo caso potrebbe obiettarsi una mancanza di tempestività nella nuova designazione, ma, a favore dell’Istituto, concorrono due elementi:

  1. Data della nomina del DPO: 21 marzo del 2018 (ben prima, cioè, del famoso 25 maggio 2018); costituisce una delle nomine più tempestive da parte delle amministrazioni pubbliche e con due anni di servizio nonché la conoscenza pregressa dell’Ente, aveva avuto il tempo necessario di svolgere il proprio ruolo con efficacia;
  2. il responsabile per la protezione dei dati non costruisce il sistema tecnico e organizzativo richiesto dal Regolamento europeo 679/2016 cosa che invece impone al titolare.

Ben più interessanti, invece, sembrano essere altri aspetti relativi alla figura.

Il potenziale conflitto d’interessi

Dalla documentazione rinvenibile sul sito dell’Ente, l’Istituto aveva affidato il ruolo di DPO in seno al proprio organico interno e più precisamente ad un dirigente della “Direzione centrale organizzazione e sistemi informativi”.

Se, come sembra, questi abbia continuato a svolgere la sua attività di responsabile dei sistemi informativi, desterebbe più di qualche dubbio la dichiarazione di insussistenza di conflitto d’interesse riportata nell’atto di affidamento dell’incarico.

Atteso che la funzione, implicando trattamento di dati personali per conto del titolare del trattamento, sembrerebbe contrastare, quindi, con le linee guida WP 243 adottate dal gruppo Articolo 29 (richiamate anch’esse nella determinazione), il caso in specie sembrerebbe inoltre richiamare un famoso caso di sanzione irrogata dal Garante tedesco ad un’azienda bavarese colpevole di aver individuato il proprio IT manager come DPO.

Pur cercando di non entrare in merito a questo potenziale conflitto di interesse, trovo quantomeno poco opportuno che un Ente delle complessità dimensionali e organizzative come quelle dell’Istituto e con una platea di interessati più che vasta, decida di sommare le prerogative del RPD a quelle già esistenti di un proprio dirigente seppur assistito da un piccolo team.

Costui, infatti, nel rispetto del proprio ruolo, si potrebbe trovare nella condizione di dover seguire centinaia di migliaia di richieste contemporanee da parte degli interessati i quali, ricordo, possono liberamente contattarlo “per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti” e nei tempi (talvolta stringenti) previsti dalla normativa.

È ovvio che, in questo contesto, quanto maggiore fosse la sua libertà organizzativa più facilmente potrebbe essere raggiunto dagli aventi diritto assicurando una tutela dei diritti puntuale. Quindi, pur non trovandoci di fatto in contrasto con i dettami normativi (l’art. 38 al punto 6 permette al Responsabile della protezione dei dati di svolgere altri compiti e funzioni), sarebbe quantomeno sconsigliato.

Asimmetrie informative

Dalle fonti richiamate sembra comunque evidente che l’Istituto, non avendo un DPO formalmente in carica, è costretto a seguire la complessa procedura di gestione del data breach senza un vero e proprio regista.

Resta, però, evidente che non si possa subordinare il rispetto della norma all’esistenza di questa figura.

In proposito, ad esempio, non sembra rispetti i dettami del Regolamento UE la comunicazione che in maniera tempestiva l’Ente ha provveduto a caricare sul proprio sito istituzionale per informare l’utenza del data breach subito. Essa, infatti, non sembra costituire né un esempio efficace di comunicazione agli interessati ai sensi dell’Art 34 comma 3 lett. c) né una presa di coscienza dei ruoli e delle responsabilità previste dal regolamento.

L’INPS informa gli utenti di avere prontamente notificato il data breach al Garante per la protezione dei dati personali ed assicura che, fin dal momento in cui si è avuta conoscenza della possibilità che vi sia stata violazione di dati personali, sta assumendo tutte le misure atte a porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone fisiche. In tale ambito è istituita la seguente casella di posta elettronica violazionedatiGDPR@inps.it utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, allegando eventuali evidenze documentali. L’Istituto si impegna a verificare tutte le segnalazioni ricevute e ad adottare ogni ulteriore misura tecnica e organizzativa adeguata di protezione dei dati personali che dovesse rendersi necessaria. Si richiama il contenuto dell’avviso del Garante in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”.

Sembra, più che altro, una richiesta d’aiuto; l’ammissione di non conoscere né i confini né la portata della violazione, un tentativo ingiustificato di invertire l’onere della prova su soggetti deboli i cui dati sono stati esposti dalla piattaforma e rimbalzati in tutta la nazione; l’incapacità di fornire o di prevedere misure di contrasto adeguate all’incidente.

Di fronte a queste evidenze passa in secondo piano anche la presenza di numerose informative sul trattamento dei dati personali non aggiornate al nuovo contesto normativo tra cui spicca, come ovvio, quella relativa alla domanda di partecipazione allo stesso “bonus Covid-19 600 euro” che ripropongo qui di seguito:

Informativa sul trattamento dei dati personali

(Art. 13 del d. lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”)

L’Inps con sede in Roma, via Ciro il Grande, 21, in qualità di Titolare del trattamento, la informa che tutti i dati personali che la riguardano, compresi quelli sensibili e giudiziari, raccolti attraverso la compilazione del presente modulo, saranno trattati in osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti, al fine di svolgere le funzioni istituzionali in materia previdenziale, fiscale, assicurativa, assistenziale e amministrativa su base sanitaria.

Il trattamento dei dati avverrà, anche con l’utilizzo di strumenti elettronici, ad opera di dipendenti dell’Istituto opportunamente incaricati e istruiti, attraverso logiche strettamente correlate alle finalità per le quali sono raccolti; eccezionalmente potranno conoscere i suoi dati altri soggetti, che forniscono servizi o svolgono attività strumentali per conto dell’Inps e operano in qualità di Responsabili designati dall’Istituto. Il loro elenco completo ed aggiornato è disponibile sul sito INPS.

I suoi dati personali potranno essere comunicati, se strettamente necessario per la definizione della pratica, ad altri soggetti pubblici o privati, tra cui Istituti di credito o Uffici Postali, altre Amministrazioni, Enti o Casse di previdenza obbligatoria.

Il conferimento dei dati è obbligatorio e la mancata fornitura potrà comportare impossibilità o ritardi nella definizione dei procedimenti che la riguardano.

L’INPS la informa, infine, che è nelle sue facoltà esercitare il diritto di accesso previsto dall’art. 7 del Codice, rivolgendosi direttamente al direttore della struttura territorialmente competente all’istruttoria della presente domanda; se si tratta di una agenzia, l’istanza deve essere presentata al direttore provinciale o sub provinciale, anche per il tramite dell’agenzia stessa.”

Un peccato veniale, se vogliamo, ma fin troppo evidente. Una leggerezza divertente per chiunque abbia fatto un po’ di formazione e sa che in tema di adeguamenti occorre “metter su il vestito migliore”: curare, cioè, in modo impeccabile ciò che cade sotto gli occhi di tutti e che può essere controllabile più facilmente.

Una evidente mancanza di trasparenza

Quello che però non sono riuscito a mandar giù dell’intera vicenda è stata la strategia di comunicazione adottata dai vertici dell’INPS al manifestarsi del problema e cioè il tentativo di sminuirlo (i sistemi dell’Inps stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri; i disguidi sono durati soltanto cinque minuti) o quello ancora più maldestro di incolpare ignoti Hacker di un prodigioso attacco mai avvenuto.

La sensazione è che soltanto l’intervento ufficiale del Garante abbia reso manifesta anche al Presidente Tridico la gravità della situazione; e se, come affermano le scienze sociali, le azioni comunicative non sono mai neutrali dal punto di vista politico ed ideologico ed esprimono molto sull’identità di chi la esegue, le risposte fornite a caldo e nelle ore immediatamente successive non metterebbero in buona luce i vertici dell’Istituto.

In ossequio al principio di trasparenza così importante per il nostro ordinamento avrei, invece, preferito un’assunzione di responsabilità incondizionata e una maggiore vicinanza a tutti quei soggetti i cui dati sono stati diffusi illegittimamente.

Sono questi ultimi, infatti, ad aver subito più di tutti le conseguenze di una catena di eventi censurabili che l’Autorità Garante è chiamata ad approfondire e a loro esprimo la mia personale solidarietà.

All’Istituto, invece, andrebbe ricordato che il centro del sistema di protezione dei dati personali costruito dal legislatore europeo è l’interessato al quale vengono riconosciuti dei diritti che ogni Titolare ha il dovere di rispettare declinando la famigerata “accountability” in tutte le sue forme.

Ed è proprio questo principio fondamentale ad essere ancora una volta assente ingiustificato.

WEBINAR, 22 APRILE
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3