Chi ha provato oggi ad accedere al sito dell’INPS, dopo varie peripezie, potrebbe essersi imbattuto nel messaggio riportato nell’immagine (la faccina scoraggiata è mia). La stampa ha riferito dei molti problemi lamentati dagli utenti che nelle ultime ore hanno tentato di presentare online la domanda per i bonus baby-sitting e quello di 600 euro previsto dal decreto “Cura Italia” per alcune categorie di lavoratori autonomi e p.iva. A quanto pare si è verificato di tutto: c’è chi non è mai riuscito ad entrare e c’è chi è riuscito ad accedere, visualizzando però dati anagrafici di un altro utente (e ricaricando la pagina web, l’anagrafica cambiava e mostrava dati ancora differenti). Ad un certo punto, in seguito ai disservizi lamentati dagli utenti il sito è stato chiuso, con le dichiarazioni del presidente dell’INPS Pasquale Tridico che ha attribuito a un attacco hacker la causa dei problemi, attacco che – stando alle dichiarazioni – sarebbe stato ricevuto stamattina e anche nei giorni scorsi.
A livello di infrastruttura tecnologica, certamente non è un gioco da ragazzi prepararsi a ricevere milioni di contatti a pochi giorni dalla pubblicazione del decreto, e questa considerazione va a difesa dell’INPS e di chi ne gestisce il sistema deputato a ricevere eccezionalmente quei milioni di domande. Ciò premesso, alcune osservazioni mi sorgono spontanee:
- faccio un po’ fatica a credere che oggi l’INPS abbia aperto al pubblico la ricezione delle domande per il bonus, nella consapevolezza di essere sotto attacco da giorni e di essere quindi vulnerabile, sottoponendosi al rischio di subire seri problemi;
- il fatto che un utente abbia potuto accedere a un’anagrafica altrui (nonostante il suo accesso fosse autenticato) e il refresh della pagina lo abbia portato alla visualizzazione di altri dati, più che al pesce di aprile di un fantomatico hacker fa pensare ad un’errata impostazione, di indirizzamento dell’utente o di cache;
- le idee non erano chiare già in partenza: se da un lato risultava evidente che il meccanismo era quello di un “click day” – che prevede l’accoglimento delle domande in ordine cronologico, per cui il “chi tardi arriva, male alloggia” impone che la domanda vada presentata al più presto possibile – dall’altro lato sul sito web si leggeva la rassicurante indicazione “Tutte le richieste saranno esitate. Vi preghiamo di non ingolfare il sito!”, contraddittoria rispetto al fatto che le coperture definite dal governo non erano sufficienti a soddisfare le domande. Ma lo dicono dall’Inps, quindi… tutti rassicurati.
I fatti sono comunque evidenti, il sito ha avuto problemi, si è ingolfato ed è stato chiuso. Durante l’ingolfamento si sono verificati però problemi di esposizione di dati personali altrui, dati ovviamente riservati e che andavano protetti e tutelati secondo la legge e questo obbliga l’INPS a comunicare entro 72 ore il data breach sia al Garante della Privacy che agli utenti interessati. “Dall’una di notte alle 8.30 circa, abbiamo ricevuto 300mila domande regolari” ha dichiarato il presidente dell’INPS. I problemi sono stati rilevati quando il traffico dati è aumentato
Si poteva risolvere diversamente? Sì, forse potenziando l’infrastruttura. Ma, come dicevo sopra, non è un gioco da ragazzi e il problema non si risolve installando qualche apparato e stendendo qualche cavo in più. Non avendo molto tempo a disposizione, si sarebbe potuto adottare fin dall’inizio la soluzione di scaglionare gli accessi.
Di sicuro non era possibile risolvere tutto con un’autodichiarazione.
PS: a proposito di attacchi… anche gli hacker prendono le distanze!
DARIO BONACINA 