Coronavirus:
positivi 38.429
deceduti 33.689
guariti 161.895

“Inps rischia una multa fino a 20 milioni di euro”: parla a TPI l’esperto di privacy Luca Bolognini

Dopo la fuga di dati riservati avvenuta oggi, l'INPS dovrà "inviare una lettera di spiegazioni agli italiani". Secondo la legge, "violazione dei dati personali" non significa solo "attacco malevolo", ma anche "errore accidentale"

Di Elisa Serafini
Pubblicato il 1 Apr. 2020 alle 17:18 Aggiornato il 1 Apr. 2020 alle 17:19
771
Immagine di copertina

Inps rischia multa 20 milioni di euro: a TPI l’esperto di privacy Luca Bolognini

Il data breach del sito INPS riportato questa mattina sta sollevando molte polemiche: TPI ha intervistato uno dei massimi esperti in privacy e diritto digitale in Italia, l’avvocato Luca Bolognini, presidente dell’Istituto italiano per la privacy e la valorizzazione dei dati.

Avv. Bolognini, la fuga di dati del portale INPS sembrava un pesce d’aprile.

Vero, ma purtroppo non lo è. Il data breach dei sistemi INPS è stato enorme, moltissime persone hanno potuto visualizzare i profili riservati di altrettanti cittadini.

L’INPS rischia qualche multa?

Certamente, l’INPS è un titolare del trattamento pubblico e, se fosse accertata la responsabilità dell’ente nell’adozione di misure di sicurezza inadeguate e nel mancato rispetto del principio di integrità e riservatezza, rischierebbe fino a 20 milioni di euro di sanzione da parte del Garante per la protezione dei dati personali, oltre ad una serie di provvedimenti prescrittivi e inibitori anche urgenti.

Quando si verificano questi fatti è comune dare la colpa a fornitori o dipendenti.

Se fossero confermate responsabilità di fornitori tecnologici o anche di singoli individui, interni o esterni all’ente, questi potrebbero essere chiamati a risarcire. In caso di dirigenti e personale interno, se la loro condotta attiva o omissiva avesse giocato un ruolo determinante nel data breach, una responsabilità patrimoniale personale potrebbe anche essere riconosciuta dalla Corte dei Conti. Insomma, stiamo parlando di conseguenze potenzialmente molto pesanti. Si tratta, però, di capire in concreto chi abbia fatto o omesso cosa. Questa è la chiave.

Sono stati messi in pericolo anche gli utenti che hanno visualizzato i dati?

Si è trattato di una macroscopica violazione dei dati degli italiani che è sulla pelle e sotto gli occhi di milioni di persone. Ricordiamoci che “violazione dei dati personali”, secondo la legge vigente, non significa solo “attacco malevolo”, può voler dire anche “errore accidentale” che comunque comporti rischi per i diritti e le libertà delle persone. Chi ha visualizzato i dati altrui invece dei propri ha, a sua volta, come minimo sofferto dell’interruzione di un servizio pubblico, perché voleva chiedere il bonus e non ha potuto farlo. E questo, sempre che non ci fosse un hacker di mezzo. Comunque, entro poche ore o massimo giorni, l’INPS dovrà inviare una dettagliata lettera di spiegazioni agli italiani: è un obbligo previsto dall’articolo 34 del GDPR, il Regolamento privacy europeo. Lì capiremo meglio.

Cosa sarebbe successo ad un’azienda privata?

Un’azienda privata avrebbe rischiato sanzioni pecuniarie perfino più alte di un ente pubblico, fino al 4 per cento del fatturato totale mondiale dell’anno precedente, oltre a un duro colpo reputazionale e di mercato. Sì, perché un’impresa privata deve poi competere con i concorrenti e rischia di perdere utenti e clienti, mentre un ente previdenziale centrale come l’INPS, almeno, questa sfida non deve sostenerla e ciò dovrebbe costituire un incentivo, a maggior ragione, a destinare grandi risorse alla protezione dei dati e all’affidabilità dei sistemi informatici.

Qualcuno parla di questioni “tecniche”.

Non si tratta di “questioncine tecniche”, ma di responsabilità politiche di vertice e di scelte strategiche negli investimenti in cybersecurity: questi temi oggi devono essere prioritari, critici e cruciali per l’ordine del giorno dei consigli d’amministrazione di enti pubblici. Confido nel fatto che lo siano stati anche per INPS e che possano dimostrare di essere stati vittime di un attacco di livello imprevedibile. Speriamo solo che nel tracciamento digitale dei cittadini per il contrasto al Coronavirus le misure di sicurezza si rivelino migliori.

Leggi anche:

1. Gori: “Le bare di Bergamo sono solo la punta di un iceberg, i nostri morti sono quasi tre volte quelli ufficiali” / 2. Il Messico rischia di diventare un nuovo epicentro della pandemia / 3. Ci sono Comuni a contagi zero. Quali sono e dove si trovano le città “immuni”

4. Il racconto di Andrea, 33 anni: “In 24 ore sono finito in terapia intensiva, non avevo patologie pregresse” / 5. Scontro tra Viminale e Regioni per il si alla passeggiata dei bambini: “Scelta irresponsabile, così si dà un messaggio sbagliato” / 6. L’esperto di pandemie Vespignani: “Il virus continuerà a circolare anche in estate”

TUTTE LE NOTIZIE SUL CORONAVIRUS IN ITALIA E NEL MONDO

771
Accesso

Se non ricordi la tua password o in precedenza usavi un account social (Facebook, Google) per accedere, richiedi una nuova password.