In quell'occasione, il sito dell'istituto andò in tilt a causa del grande afflusso di domande per il sostegno ad autonomi, partite Iva e professionisti previsti dal decreto Cura Italia. Alcuni utenti vennero erroneamente reindirizzati su pagine con i contatti e i dati personali di persone che stavano presentando richiesta
L’Inps dovrà dare comunicazione entro 15 giorni a tutti i cittadini interessati dalle violazioni dei dati personali del 1 aprile, giorno in cui il sito dell’istituto di previdenza venne preso d’assalto, andando in tilt, dalle richieste per le misure di sostegno previste dal decreto Cura Italia. A comunicarlo è il Garante della privacy con un provvedimento pubblicato sul proprio portale.
Il Garante, si legge nel testo, “ingiunge all’Inps di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti”. E, inoltre, “richiede all’Inps di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento. L’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria fino a 20 milioni di euro“.
Nello specifico, l’Authority ha chiesto all’istituto di “comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni”.
Una comunicazione che, continuano, dovrà essere comunicata anche in formato elettronico, con tutte le specifiche relative al singolo caso e senza un ingiustificato ritardo anche verso tutti coloro che, dopo ulteriori controlli, risulteranno essere rimasti coinvolti nella fuga di dati personali.
Il caos si è creato nel primo giorno utile per accedere alle misure di sostegno previste dal Governo che comprendevano anche il primo bonus da 600 euro per autonomi, partite Iva e professionisti. Oltre a far cadere il sito dell’Inps, il grande afflusso di domande ha anche provocato un errore nel sistema che ha reindirizzato centinaia di utenti sulle pagine contenenti i dati personali di altre persone che stavano presentando la domanda, rendendo così pubblici i contatti e i dati personali in violazione della privacy. In quell’occasione, il presidente dell’istituto di previdenza, Pasquale Tridico, parlò di “attacchi hacker” che da giorni cercavano di violare la sicurezza del sito Inps. Versione avallata anche dal presidente del Consiglio, Giuseppe Conte, che rivelò un afflusso di persone nell’ordine di “100 domande al secondo”.
L’Inps, con note del 1 aprile e del 6 aprile 2020, aveva notificato al Garante della privacy due distinte violazioni dei dati personali che hanno comportato, rispettivamente, l’accesso ai dati personali di utenti del portale, determinato da una non corretta configurazione delle funzionalità di caching del servizio Cdn (Content Delivery Network) utilizzato, e l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting con visualizzazione, modifica, cancellazione o invio all’Inps di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.