Giornata da dimenticare per l’Inps. Secondo le direttive dell’Istituto nazionale di previdenza sociale, a partire dal 1 aprile, i lavoratori autonomi più colpiti dall’epidemia potevano fare richiesta del bonus da 600 euro previsto dal decreto Cura Italia. Peccato che il sito dell’ente sia andato in tilt già dalle prime ore del mattino: «Sono state inoltrate cento domande al secondo», ha chiarito il presidente dell’istituto Pasquale Tridico, «inevitabili gli intasamenti». La pagina Twitter dell’istituto è stata inondata dalle lamentele degli utenti: alcuni non riuscivano ad accedere al sito con le proprie credenziali, di altri addirittura sono stati resi pubblici dati sensibili, come le coordinate bancarie. Un data breach in piena regola, insomma. Dall’ora di pranzo fino al tardo pomeriggio il portale è stato bloccato. Secondo Tridico, l’ente aveva «ricevuto nei giorni scorsi, e anche stamattina, violenti attacchi hacker. Questa mattina si sono sommati ai molti accessi […] e il sito non ha retto. Per questo ora lo abbiamo sospeso».
Per il Garante della Privacy Antonello Soro quello che è successo è preoccupante, oltre che «gravissimo»: «Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati».
Antonio Capobianco, CEO di Fata Informatica (azienda leader nel settore della sicurezza informatica) non ha dubbi: «Da quello che vedo ho l’impressione che abbiano messo il portale on line senza testarlo adeguatamente per far fronte agli impegni temporali assunti dalla politica». Stamattina gli utenti che effettuavano l’accesso si ritrovavano all’interno del sito con le credenziali di altre persone: «Potrebbe essere un problema applicativo dove la procedura di login non funziona correttamente», continua. Altro che pirati informatici, si tratta di un errore a tutti gli effetti: «Perfino Anonymous [collettivo di hacker con finalità ideologiche, ndr] li ha presi in giro per essersi sabotati da soli».
Anche Stefano Zanero, professore associato presso il dipartimento di elettronica, informazione e bioingegneria al Politecnico di Milano, si mostra scettico: «Il presunto attacco sembrerebbe un Denial of Service, ossia una manovra volta a sovraccaricare un sistema informatico. Una minaccia di questo tipo, però, si può mitigare in vari modi. Se un ente come l’Inps non ci riesce, dovrebbe quantomeno evitare di stabilire un click day [ossia la presentazione telematica di un servizio, ndr] per quel giorno». Difficile pensare allo zampino del crimine informatico: «Il problema principale è che alcune informazioni sensibili siano finite nelle sessioni di altri utenti. Questo è un errore dell’Inps e non c’entrano gli hacker», continua Zanero.
Entrambi gli esperti escludono che il crash del sito dipenda dalle troppe richieste: «Cento domande al secondo non sono nulla, soprattutto per un organismo come l’Inps che lavora su server e data center estremamente performanti», commenta Capobianco.
Quando si sviluppa un portale, i tempi tecnici vanno rispettati: «Molti pensano che per un’attività di cento ore di lavoro basti impiegare 100 persone per un’ora, ma non è così. Sfruttando più risorse si crea un overhead (lavoro di coordinamento aggiuntivo) che rallenta fortemente il progetto. La committenza, spesso, non ne è al corrente e si arriva a situazioni come potrebbe essere quella che attualmente sta vivendo il portale Inps», conclude l’amministratore delegato di Fata informatica.
Ciò che non serviva nel momento clou della pandemia, come hanno sottolineato diversi cittadini sui social media, era proprio l’incertezza. La stessa che è stata il leit motiv per molte Partite Iva, che oggi cercavano un po’ di ossigeno a fronte di un primo trimestre con profitti in contrazione causa lockdown.
