Articoli

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.