Sono di poche ore fa le notizie del collasso di alcuni siti istituzionali, dell’INPS e di alcune casse previdenziali private, che non hanno retto all’impatto di migliaia di interessati invitati ad inviare le loro richiesta per il beneficio COVID 19, tutti in un unico momento, con un unico accesso, secondo la filosofia del “prior in tempore potior in iure”, declinata nel moderno “click day”.

Molti utenti hanno passato ore in inutili tentativi, altri sono riusciti ad entrare ma, fatto ancor più grave, nel profilo di altri diversi utenti.

E così in questo periodo di isolamento sociale, dopo gli aperitivi virtuali, i flash mob ed i concerti dai balconi, gran parte dei contribuenti italiani, quelli attualmente più fragili ed in pericolo di default, si sono trovati tutti insieme, nottetempo, al fatidico appuntamento per avere accesso a qualche centinaia di euro.

I siti istituzionali italiani, salvo rare eccezioni, risultano non aggiornati da lustri e presentano difficoltà di navigazione con una totale mancanza di chiarezza, anche se dovrebbero essere improntati alla “trasparenza” (le aree dedicate a questo obbligo sono sovente difficile individuazione all’interno dell’homepage).

I sistemi di controllo e limitazione all’accesso automatizzato ai moduli del sito (tipo recaptcha) sono rari e sono stati introdotti solo di recente così come l’autenticazione a tre fattori.

Non vi è da stupirsi se uno Stato ha introdotto l’obbligo di fattura elettronica nei confronti della P.A. senza armonizzare il sistema, mantenendo ancora differenze in alcuni destinatari per poi estendere tale obbligo a tutti contribuenti con i problemi noti, che si manifestarono nel primo periodo di piena efficienza del Sistema di interscambio (SDI).

Non dimentichiamoci che viviamo nella nazione in cui la maggior parte delle notifiche a mezzo PEC alla P.A. non possono essere fatte in quanto gran parte delle Pubbliche Amministrazioni non hanno ancora (dopo anni) inserito il loro indirizzo nello specifico registro.

Visto questo panorama ad elevatissimo rischio di (in)sicurezza informatica “istituzionale” stupisce che alcuni invochino un presunto attacco hacker quale causa di una falla del sistema informatico.

La sicurezza in generale, ancor più quella informatica, si basa su un’accurata analisi del rischio per individuare le misure di mitigazione necessarie opportune .

E’ noto che l’accesso contemporaneo ad un server da parte di più utenti (clients) determina un sovraccarico del sistema che produce, nella migliore delle ipotesi, un suo rallentamento, nella peggiore l’impossibilità di essere raggiunto.
Non occorre essere professori di statistica per valutare come assoluto il rischio di crash di un un sito web vecchio, obsoleto e pesante, collocato su server già non molto performanti nelle giornate ordinarie, se messo alla prova con l’accesso contemporaneo di centinaia di migliaia di utenti.

Cosa diversa invece per quanto riguarda il problema di accesso in profili altrui che potrebbe essere dovuto ad una criticità nella gestione dei dati di accesso ai database e forse alla loro collocazione.
Vedremo ora come intenderà muoversi il Garante alla luce della più che evidente violazione di sicurezza del sistema informatico dell’INPS (data breach) che sarà i certo stata segnalata dal DPO dell’Ente.

L’adeguatezza dei sistemi ed il controllo dei rischi sono la via da seguire per la sicurezza informatica, un processo in continuo divenire che necessita di costanti implementazioni e consulenze di esperti.

Come visto le nefaste conseguenze dell’inosservanza di tali precetti non lascia immune nessuno, nemmeno i più “grandi” e finanche le istituzioni.

Fonte Avv. Stefano Nardini