L’Authority ha ricostruito quel giorno in cui milioni di italiani si affollarono sul sito Inps per chiedere l’indennità da 600 euro: i dati anagrafici di almeno 42 soggetti e 773 famiglie furono visionati da terzi che in alcuni casi modificarono, cancellarono e inviarono domande non loro. Inps: “Nessun rischio per i diritti e le libertà”. Garante: “Il rischio è elevato”
ROMA – Primo aprile 2020. Caos sul sito Inps: milioni di italiani si affollano per richiedere l’indennità di 600 euro. Il portale va in tilt, la sua operatività sospesa per tre ore. Nel frattempo decine – si scopre ora, centinaia – di profili di utenti divengono di pubblico dominio: non solo di altri utenti che entrano col loro Pin per fare la domanda e si trovano davanti nomi di estranei.
Il Garante per la privacy Antonio Soro riceve centinaia di segnalazione da parte di utenti danneggiati. Non si tratta solo di dati anagrafici – nome, cognome, data di nascita, residenza, domicilio – resi all’improvviso pubblici: qui l’Inps parla di 23 schede, l’Authority ravvisa almeno “42 soggetti coinvolti“.
Ma anche di altri dati sensibili – codici fiscali, numeri di telefono e cellulare, indirizzi, mail private e certificate, nomi di figli, presenza o meno di disabilità anche gravi, stato di disoccupazione – legati alla domanda per il bonus babysitter che divengono disponibili ad altri utenti, in grado anche di intervenire sulla domanda ancora in bozza e modificarne i dati.
Proprio come raccontava a Repubblica Luca, un mese e mezzo fa. Ora si scopre – è l’Inps ad ammetterlo con due note dell’1 aprile e del 6 aprile inviate al Garante – che ben 773 domande per quel bonus sono state svelate ad altri utenti: “potenzialmente accessibili da terzi”, mostrate in lista. Di queste, 68 sono state visualizzate, 17 modificate, 81 cancellate, 62 inviate. L’Inps è intervenuta solo in due casi: cancellando le domande modificate e bloccando quelle inviate. E solo in quest’ultimo caso sono stati “coinvolti gli interessati”.
La difesa dell’Inps – Ma ora il Garante vuole di più. Non concorda con le conclusioni di Inps. L’Istituto guidato da Pasquale Tridico ritiene che “la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone”: perché i 68 che hanno aperto le domande per il bonus babysitter per dare un’occhiata erano “per la quasi totalità residenti in altre regioni”, la visualizzazione di quei dati era legata alla “casualità” ed era “impossibile fare ricerche mirate” su quei dati, ad esempio per età, città, numero figli, etc.
Le richieste dell’Authority – L’Authority invece ritiene che “il rischio elevato” sussista eccome. Segnala che le anomalie sono più ampie di quelle segnalate dalla stessa Inps e si riferiscono ad un lasso di tempo anche di molto successivo all’1 aprile. Riferisce che “l’istruttoria è ancora in corso”. E solo quando terminerà sarà possibile “definire le responsabilità” e adottare “i provvedimenti correttivi”
Nel frattempo ingiunge a Inps – entro 15 giorni dal provvedimento numero 86 del 14 maggio – di informare tutti gli interessati, a loro tutela e con idonea comunicazione, della violazione dei loro dati e dei rischi che comporta. Non basta un avviso sul sito, come pure fatto da Inps nelle ore del caos. Se questo non avverrà, Inps rischia fino a 20 milioni di euro di sanzioni amministrative pecuniarie.
Fonte:www.repubblica.it