Sito Inps nel caos, l’ipotesi hackeraggio non convince

Il giorno nero del sito Web dell’Inps, ieri, è stato peggio di un pesce d’aprile per centinaia di migliaia di lavoratori autonomi, liberi professionisti, co.co.co, stagionali e lavoratori del settore dello spettacolo. Alle oltre 300mila persone che tra la mezzanotte e la mattina erano riuscite a inviare la domanda per il bonus da 600 euro, previsto per queste categorie nel Decreto Cura Italia, se ne sono aggiunte altre 200mila nel corso della giornata. Ma sappiamo come è andata: interruzioni di servizio, impossibilità di effettuare il login, pagine che non si caricavano e, quel che è peggio, un diffuso problema di “scambi di identità” per il quale gli utenti accedevano al profilo personale di altre persone anziché al proprio, nonostante l’inserimento delle credenziali corrette. 

In serata il premier Giuseppe Conte e il presidente di Inps, Pasquale Tridico, avevano addossato la colpa a presunti e non meglio specificati attacchi hacker, che sarebbero iniziati in realtà ben prima di ieri. La ministra del Lavoro e delle Politiche sociali, Nunzia Catalfo, su Rtl 102.5 ha confermato questa versione, ribadendo che “il sito ha subito diversi attacchi che si sono intensificati nella giornata di ieri”.

Ma la colpa è davvero degli hacker, o piuttosto di un’infrastruttura hardware inadeguata a gestire tali picchi di traffico o magari di un bug del software? Diversi analisti e informatici hanno pubblicamente espresso scetticismo sull’ipotesi dell’hackeraggio, mentre gli esperti di privacy hanno sottolineato che, a prescindere dal presunto attacco, quanto accaduto è una violazione di dati personali e come tale dovrebbe essere notificata a tutti i diretti interessati perché così prevede il Gdpr (il regolamento europeo sulla protezione dei dati personali). 

Il Garante della privacy, Antonello Soro, non intende chiudere un occhio: “Siamo molto preoccupati per questo gravissimo data breach”, ha detto. “Abbiamo preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.

Antonello Soro, presidente del collegio del Garante della privacy

Alessandro Papini, presidente dell’Accademia Italiana Privacy, si unisce al coro degli scettici. “Prendiamo atto delle dichiarazione di Tridico con paio di  riserve, una teorica e una pratica”, scrive Papini in un comunicato stampa. “Da un punto di vista pratico non possono essere stati certo hacker e tutto il resto dei criminali informatici che pullulano in rete, perché non si capisce per quale motivo avrebbero fatto entrare i singoli utenti nelle aree protette di altri utenti: un simile atteggiamento senza lucro o possibilità di mercanteggiare i dati non è da hacker e sul dark Web non c'è traccia dei dati del portale Inps”. Rimarrebbe l’ipotesi di un attacco informatico senza scopo di lucro, dunque un episodio di hacktivismo. Via Twitter è giunta però l’ironica smentita di Anonymous: “Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito Web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento!”.

Il presidente dell’Accademia Italiana Privacy azzarda un’ipotesi, senza risparmiarsi parole di critica: “Da un punto di vista pratico vi spiego da sviluppatore Web quello che può essere successo: un banalissimo sovraccarico di banda avvenuto perché chi dovrebbe bilanciare le risorse di accessibilità con le previsioni di accesso non è stato messo nelle condizioni di valutare quello che sarebbe successo causando un collo di bottiglia colossale. Qualche pagina di codice scritto in fretta e furia senza il necessario debug  e qualche utente smanettone che ha fatto un paio di click in più sul portale ha fatto il resto lasciando nel caos uno dei portali più importanti della pubblica amministrazione italiana e facendo fare una figura meschina ai suoi vertici”.