Down del sito Inps: la colpa è davvero degli hacker?

I fatti sono tristemente noti: in pieno lockdown, il primo giorno della possibilità di richiedere accesso al contributo di 600 euro per le Partite Iva, il sito dell'Inps va in tilt. Impossibile visualizzare alcune pagine, rallentamenti tali da rendere impossibili le operazioni: i server sono sovraccarichi, il servizio non funziona, finchè il sito viene temporaneamente messo offline. Quando torna accessibile succede l'incredibile: gli utenti che accedono visualizzano i dati personali di altri utenti. Le aree private si mischiano, finiscono esposti nome e cognome, iban e altri dati sensibili. Il commento di Pasquale Tridico, travolto dalle polemiche è : "abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker. Abbiamo dovuto sospendere temporaneamente il sito dell’istituto". 

Viene annunciata una commissione d'inchiesta. Da più parti la comunità di esperti di cyber sicurezza esprime aperta perplessità, quando non aperta ironia, sulle dichiarazioni di Tridico, mentre da Anonymous il commento è lapidario: "vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento".

Il report dell'Organismo di monitoraggio sulla criminalità: colpa degli hacker

Quattro giorni fa è stato presentato il secondo Report dell' Organismo permanente di monitoraggio e analisi sui rischi di infiltrazione della criminalità organizzata: parliamo di una commissione interforze del Viminale creata per monitorare rischi di infiltrazione delle mafie e della criminalità organizzata nel tessuto economico e sociale durante e post pandemia Covid.

Il report sostiene la posizione di Tridico, spiegando come, dagli inizi di Febbraio, il Centro nazionale per il contrasto dei crimini informatici (Cnaipic) della Polizia Postale abbia avuto a che fare con continui attacchi informatici, sopratutto ransomware, attacchi DDoS e di phishing, frodi ed estorsioni online. Il down del sito dell'Inps è quindi, secondo tale report, inquadrabile in questo contesto di attacco frontale del cybercrime all'Italia: in dettaglio il sito dell'Inps avrebbe subito un attacco DDoS che avrebbe comportato il sovraccarico dei server fino al collasso del sistema. 

"Le specifiche evidenze acquisite – si legge nel Report – hanno infatti consentito di ricollegare a tale tipologia di attacco ai sistemi le difficoltà di accesso al sito dell’Inps registrate durante il cosiddetto ‘click day’ dello scorso 1 aprile. Difficoltà che, in una prima fase, hanno ostacolato il perfezionamento della procedura necessaria all’erogazione dei benefici economici accordati dal Governo per il sostegno del reddito dei lavoratori autonomi e subordinati". 

Cosa dicono gli esperti di cyber sicurezza?

Poche ore dopo la pubblicazione sui principali quotidiani online dei risultati del report, interviene sul tema un nome di peso, il Generale Umberto Rapetto, uno dei massimi esperti di sicurezza informatica italiani. La sua posizione è semplice: non crede alla ricostruzione del report fermo restando, specifica, che il report non è online, non è rintracciabile quindi non è possibile mettere a verifica le prove e i materiali raccolti per arrivare a confermare la teoria dell'attacco hacker. 

Dall'altra Repetto si permette anche di far notare che c'è poco da gioire se anche il down non fosse stato causato da incompetenza o insufficienza dei sistemi, ma da attacco hacker:

"Diciamocela tutta, entusiasmo per cosa? Per non essere (se mai fosse) stati capaci di difendere archivi elettronici e procedure dal rischio (certo non nuovo) di attacchi informatici? Entusiasmo per aver finalmente scoperto che il crimine organizzato si avvale di hacker per influenzare la vita di un Paese, per destabilizzare e per esercitare potere?"

I dubbi di tanti esperti di cyber sicurezza erano stati manifestati già nelle primissime ore del down: la ricostruzione che era andata per la maggiore nel settore è che i server non fossero pronti a gestire una mole tale di richieste e che, per ovviare al sovraccarico e al conseguente down, i tecnici dell'INPS abbiano scelto il caching. Evidentemente integrato malamente, perchè nella cache sono finite le sessioni private e questo è il motivo per cui Mario Rossi, nella propria area MyInps, poteva vedere i dati di Giovanni Bianchi e non i suoi. Oltre a ciò, c'è stato chi ha fatto notare come l'infrastruttura dell'Inps, costata l'astronomica cifra di 336 milioni dal 2005 al 2018, avesse server inadatti e un codice abborracciato (vi ricordate la variabile var.pippo?).

Difficile quindi, alla fine, avere certezze su come siano andati realmente i fatti, anche se una eventuale pubblicazione del report e delle "prove schiaccianti" che avrebbero portato a individuare la causa del problema in un attacco hacker potrebbero rendere tutto più chiaro o almeno dare la possibilità agli esperti di verificare. Difficile non notare però come una tale ricostruzione dei fatti possa avere rilievo nelle future decisioni che il Garante Privacy dovrà prendere riguardo al gravissimo data leak occorso ai dati sensibili degli utenti, per il quale l'INPS rischia, ai sensi del GDPR una sanzione, che potrebbe essere salatissima. Rischia di essere rimesso in discussione anche il provvedimento del Garante emanato il 14 Maggio 2020.