AGI –
Sito bloccato, servizi inaccessibili ed esposizione dei dati degli utenti. Nel giorno in cui è possibile inviare le richieste di bonus e congedi, l’Inps si blocca. Il presidente dell’ente, Pasquale Tridico, parla di un attacco hacker, tesi sostenuta anche dal presidente del Consiglio, Giuseppe Conte. Gli esperti informatici interpellati dall’Agi escludono però questa pista.
Provando ad accedere a uno dei tre servizi previsti dal Cura Italia per tamponare l’emergenza Covid-19 (la richiesta di bonus baby-sitter, quella di congedo parentale e l’indennità di 600 euro per gli autonomi), il sito prova a caricare le pagine per diversi minuti prima di annunciare che il server non risponde. Troppo traffico in entrata. Via Twitter, l’Inps, sommersa dai messaggi di protesta, scrive di essere a “conoscenza della problematica”: “Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione”.
Intanto decine di utenti hanno segnalato – anche all’AGI – che, inserendo le proprie credenziali, l’Inps rimanda alle sezioni riservate e ai dati di altri utenti. Con tanto di nomi, anagrafe, codice e posizione fiscale, Pec. Non un errore isolato, a quanto pare. Molti utenti segnalano che, a ogni tentativo di accesso vengono reindirizzati alle schede di altri cittadini a caso.
Sulla questione si accende anche il faro dell’Autorità garante della privacy, che esprime seria preoccupazione per l’esposizione di dati personali degli utenti. “Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l’Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. È importante che ora l’Inps chiuda la falla e metta in sicurezza i dati”.
Il presidente dell’Istituto, Pasquale Tridico, ha spiegato in mattinata – sempre tramite il social network – che “dall’una di notte alle 8.30 circa, abbiamo ricevuto 300 mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri”. Poi al Tg1 chiarisce: “Negli ultimi giorni abbiamo subito diversi attacchi hacker che hanno creato diverse disfunzioni. Stamattina gli attacchi sono proseguiti, con disfunzioni ulteriori”.
Al momento l’accesso al sito è sospeso, ma Tridico ha assicurato che sarà presto riaperto, sebbene “con una modalità diversa: la mattina, dalle 8 alle 16, a patronati e consulenti, dalle 16 in poi anche ai cittadini”. Nel pomeriggio anche il premier Conte ha detto che la piattaforma è stata oggetto di attacchi hacker.
Immediate le reazioni politiche. In una nota il dipartimento Economia della Lega ha criticato i malfunzionamenti alla piattaforma denunciando violazioni di privacy e ritardi: “Non solo il governo ha previsto una cifra ridicola per gli autonomi, ma ora è anche iniziata anche l’odissea per ricevere il misero bonus”. Sulla stessa linea Giorgia Meloni che parla di “preoccupante situazione in termini di sicurezza dei dati e di privacy degli utenti”.
“Oltre al danno di ricevere poco più di un’elemosina – scrive il presidente di Fratelli d’Italia – ora migliaia di lavoratori rimasti senza reddito sono costretti a subire un vero e proprio calvario digitale per avere dallo Stato i pochi euro che il Governo ha stanziato. Purtroppo non è un pesce d’aprile, ma una drammatica verità”. Mentre su Twitter il vicepresidente di Forza Italia Tajani chiede di “fare in fretta” per risolvere i problemi.
Critiche arrivano anche da Italia Viva, con il deputato Luciano Nobili che su Facebook accusa l’Inps di commettere “la più grande e clamorosa violazione di dati sensibili della storia d’Italia” e chiede all’istituto di fermare quello che definisce “un disastro senza precedenti”, mettendo in sicurezza i dati degli italiani. La vicepresidente dei senatori di Forza Italia Maria Rizzotti stigmatizza invece “l’incapacità e il pressappochismo del governo nella gestione dell’emergenza”, che, sottolinea “stanno generando rabbia da parte dei cittadini”.
È poco probabile che i problemi del sito dell’Inps siano stati causati da un attacco hacker, anche perché di attacchi hacker di questo tipo finora non ce n’è mai stata traccia. Più facile invece che si sia trattato di un errore di programmazione della memoria cache del sito. Ne è convinto Matteo Flora, imprenditore e informatico che all’AGI spiega le ragioni delle centinaia di segnalazioni arrivate in queste ore da parte di utenti che si sono trovati con moduli già compilati da altri utenti, accedendo cosi’ ai loro dati riservati.
“La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online”, spiega Flora. Una sorta di scorciatoia per alleggerire il sistema dalle centinaia di migliaia di richieste di compilazione dei moduli: “Con la cache, invece di chiedere tutte le volte al server le informazioni per ‘comporre’ le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune ‘parti’ delle richieste e richiamarle per rendere più leggera l’operazione”.
Come si spiega quindi che chi accedeva al sito si è ritrovato i moduli compilati da altri? “Qualcuno deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell’Inps o per lo meno le sessioni autenticate – continua Flora -. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l’utente successivo entrando nel sito li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone”.
Un errore di programmazione quindi, e anche piuttosto comune, spiega l’informatico: “Chiunque abbia mai programmato un sistema di cache ha fatto questo errore. Ma si tratta di un errore che generalmente viene fatto e individuato in fase di progettazione del sito, non quando si è online”.
Flora infine ritiene poco probabile che quel genere di problemi possano essere stati causati da un attacco hacker, pur non potendo escludere che un qualche tipo di attacco ci sia stato: “Al momento non si hanno notizie di altri attacchi hacker di questo tipo. Anche perché sarebbe un attacco hacker un po’ senza senso: non sono stati stati rubati dei dati, ma si sono esposti dati di utenti ad altri utenti. E poi c’è da dire che tutti i siti sono quotidianamente oggetto di attacchi hacker di qualche tipo, ma sono cose che tutti già mettono ampiamente in conto e hanno sistemi per difendersi”, conclude.