Bonus autonomi, INPS rischia 20 milioni di multa per la fuga dati

La fuga dati del click day potrebbe costare 20 milioni di euro alle casse dell'INPS: ecco le cause

Il click day del bonus autonomi potrebbe costare caro alle casse dell’INPS. E non solo in termini di erogazione dell’assegno ai milioni di professionisti che ne hanno fatto richiesta. Come ormai noto, infatti, un errore nei server dell’Istituto di previdenza (definito un “attacco hacker” dal Presidente Tridico) ha fatto sì che dati sensibili di alcuni utenti potessero essere visualizzati da altri.

E, circa un mese e mezzo dopo il fattaccio, arrivano le prime mosse del Garante per la Privacy. Nel corso dell’istruttoria partita in seguito alla violazione dei dati, l’Authority ha ravvisato una mancanza di comunicazione da parte dell’Istituto, che ora potrebbe essere chiamato a risponderne economicamente. Di tutt’altro avviso l’INPS, che tende a sminuire l’accaduto sostenendo che il malfunzionamento del sito non avrebbe rappresentato un rischio elevato per i diritti e le libertà delle persone.

Fuga dati sito INPS: l’istruttoria dell’Authority

Come accennato, l’istruttoria del Garante per la Privacy è partita in seguito a due distinte comunicazioni (datate 1 aprile e 6 aprile) arrivate proprio dall’INPS. Con esse, l’Istituto di previdenza notificava all’Authority altrettante violazioni dei dati personali che hanno comportato:

  • l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

I malfunzionamenti segnalati dall’INPS avrebbero coinvolto, secondo le informazioni fornite dallo stesso Istituto, non più di 800 utenti: circa 20 per il bonus professionisti e circa 770 per il bonus baby sitting.

A questi dati, sottolinea l’Authority, si aggiungono quelli forniti dai cittadini vittime della fuga di dati, grazie ai quali è stato possibile far emergere ulteriori anomalie, che vanno oltre quelle segnalate dall’Istituto. Un’utente, ad esempio, segnalava malfunzionamenti già a partire dal 31 marzo; un’altra utente, invece, è stata vittima di una nuova violazione date sul finire di aprile. Insomma, apparentemente la situazione non sarebbe stata sanata dopo il data breach del 1 aprile.

Fuga dati sito INPS: cosa rischia l’Istituto di previdenza

Nelle sue comunicazioni all’Authority, l’INPS ritiene che i malfunzionamenti rilevati e le conseguenti fughe di dati “non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche“. Dalle risultanze emerse dall’istruttoria (ancora in fase di completamento, ci tiene a far sapere l’INPS) appare chiaro, invece, che “le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati”.

Per questo motivo, l’INPS ha ora 15 giorni per inviare una comunicazione a tutti gli utenti vittime della fuga di dati, nella quale venga messo in chiaro cosa sia accaduto e quali informazioni siano state rese accessibili a terzi non autorizzati. Se la comunicazione non dovesse avvenire entro le tempistiche previste, l’INPS rischia una sanzione pecuniaria di 20 milioni di euro. Alla quale potrebbe aggiungersene anche un’altra nel momento in cui l’istruttoria verrà chiusa e verranno ravvisate eventuali resposabilità o dolo.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963

Bonus autonomi, INPS rischia 20 milioni di multa per la fuga dati