Camera dei deputati – 2-00727 – Interpellanza sul lockdown del sito Inps derivante dall’inoltro delle domande per riconoscimento dell'indennità per i lavoratori autonomi e sulle conseguenti violazioni dei dati sensibili degli utenti.

Camera dei deputati – 2-00727 – Interpellanza presentata l’8 aprile 2020

I sottoscritti chiedono di interpellare il Ministro del lavoro e delle politiche sociali, per sapere – premesso che:

ai sensi di quanto previsto agli articoli 27, 28, 29, 30, 38 del decreto-legge n. 18 del 2020, a tutti noto come «Cura Italia», a collaboratori coordinati e continuativi con rapporto attivo alla data del 23 febbraio 2020, operai agricoli a tempo determinato, liberi professionisti iscritti alla gestione separata dell'Inps, nonché autonomi iscritti alle gestioni speciali dell'assicurazione generale obbligatoria, è riconosciuta la corresponsione di una indennità per il mese di marzo 2020 pari a euro 600 e, per riceverla, devono necessariamente presentare la domanda all'Inps; l'Istituto, già con avviso pubblico del 27 marzo 2020 e successivamente con circolare n. 49 del 30 marzo 2020, informava della possibilità di presa in carico delle istanze esclusivamente in via telematica a decorrere dal 1° aprile 2020;

la previsione, nel decreto, di un riconoscimento dell'indennità nei limiti delle risorse stanziate e quella che gli interpellanti giudicano l'ambiguità operativa da parte del presidente dell'Inps di prevedere un click day — quindi un invio per ordine cronologico — hanno generato timori tra gli utenti costringendoli, di fatto, ad affrettarsi per trasmettere le richieste nel primo giorno utile;

il portale web dell'Inps, già alle prime ore, registrava un anomalo malfunzionamento con limitazioni di connettività ai server; alle 10 circa, il blocco era pressoché statico, con rallentamenti dell'interfaccia-utente, impedendo, colpevolmente, l'inoltro di nuove domande;

a peggiorare la situazione è stata la falla nel sistema informatico per la conservazione dei dati sensibili: in particolare, sono stati violati e divulgati dati anagrafici, codici fiscali, indirizzi di residenza/domicilio, indirizzi di posta elettronica ma, soprattutto, sono stati visibili e consultabili i profili-utente di terze persone;

l'inoperatività per l'intera giornata della piattaforma inps.it ha reso impossibile, peraltro, inoltrare richieste anche per le ulteriori prestazioni agevolative per famiglie e imprese, tra cui il bonus baby-sitting e il congedo speciale Covid-19, e per le procedure per i trattamenti di integrazione salariale, i certificati di malattia e gli assegni familiari;

il presidente Tridico, in tarda mattinata, giustificava l'inconveniente come frutto dell'interazione di due fenomeni: l'accesso molto ampio di tantissimi utenti e un attacco hacker, sollevando quindi, a giudizio degli interpellanti pavidamente, l'Istituto da ogni responsabilità;

anche il presidente del Garante per la protezione dei dati personali, stigmatizzando quanto stava avvenendo, dichiarava: «Avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l'Inps chiuda la falla e metta in sicurezza i dati»;

successivamente, il Codacons annunciava un esposto alla procura della Repubblica di Roma chiedendo le dimissioni dei vertici e il commissariamento immediato dell'Istituto;

non da ultimo, anche il presidente del Consiglio di indirizzo e vigilanza dell'Inps, Guglielmo Loy, esprimeva, di fatto, forti preoccupazioni circa la mancata chiarezza comunicativa ed esecutiva da parte dell'Ente nel pianificare le operazioni della prima giornata;

ad avviso degli interpellanti è stata scelta schizofrenica e caotica anche quella successiva, adottata nel corso della giornata, di riaprire il servizio fino alle 16,00 solo a patronati, consulenti, dimenticando, peraltro, colpevolmente in un primo momento i commercialisti, e dalle 16,00 in poi anche ai cittadini;

la violazione dei dati personali è per definizione un problema di sicurezza strategica non trascurabile né sottovalutabile: il regolamento (UE) 2016/679, articolo 33, definisce, infatti, questo tipo di infrazioni come un rischio elevato per i diritti e le libertà delle persone fisiche;

secondo gli esperti di sicurezza informatica il sito non è stato configurato in maniera adeguata per sostenere tanti accessi simultaneamente; inoltre, è quasi da escludere un attacco hacker, perché non sono state sottratte dai server informazioni di particolare interesse, né c'è stata alcuna manipolazione delle richieste ivi presenti, bensì c'è stata una pericolosa esposizione dei dati di utenti ad altri utenti;

il lockdown dell'Inps solleva anche una domanda sullo spreco in termini di risorse per lo Stato: è stato stimato, infatti, che il costo di realizzazione e manutenzione del sito Inps negli ultimi 15 anni sia stato di 776 milioni di euro. I vincitori dell'ultima gara, tra cui Eustema spa, avvenuta nel 2011, hanno avuto un consistente budget proprio per garantire la conservazione e l'implementazione dei sistemi di contenimento dei dati –:

se, alla luce della gravità della vicenda riportata in premessa, il Ministro interpellato non intenda chiarire quanto accaduto;

quali urgenti iniziative intenda adottare al fine di garantire preventivamente la conservazione dei dati sensibili, scongiurando ulteriori violazioni, così come emerse e accertate nella giornata del 1° aprile 2020 e se, in ottemperanza al regolamento (UE) 2016/679, sia stata data comunicazione entro le 72 ore successive della violazione alle competenti autorità e ai diretti interessati;

se e quali garanzie intenda fornire agli aventi diritto al bonus in merito alla loro non esclusione dal beneficio per fallimento del server.
(2-00727)

Contenuto pubblico