AZZ, ANDIAMO BENE: “PER BUCARE L'INPS BASTA GOOGLE” - LO DICE CARLO TAGLIABUE, ESPERTO DI REATI INFORMATICI: “CHIUNQUE PUÒ ACCEDERE AI DOCUMENTI RISERVATI, SENZA ESSERE UN HACKER. L'UTENTE VA SU GOOGLE, POI PER ESEMPIO DIGITA INPS ALLEGATO BOZZA…È POSSIBILE SPULCIARE DA UN FILE EXCEL IL NUMERO DI PRESTAZIONI INPS E IMPORTO LORDO MEDIO MENSILE PER CATEGORIA VIGENTI AL 31 DICEMBRE 2015…”
Giuseppe China per “la Verità”
Il crollo del sito dell' Inps ha rinvigorito la creatività italiana, infatti nei gruppi di messaggistica istantanea da giorni circola un video, intitolato A beautiful pin code, che, prendendo in prestito alcune scene di un film sul geniale matematico John Nash, alias Russell Crowe, fa la parodia sulle incapacità e i ritardi dell' ente previdenziale.
L' ironia finisce qui, anzi è lo scoramento che ne prende il posto perché migliaia e migliaia di documenti Inps, che dovrebbero essere esclusivamente a uso interno dell' istituto guidato da Pasquale Tridico, sono accessibili e visibili da chiunque: occorre solo accedere a Google. È l' ingegnere Carlo Tagliabue, consulente per reati informatici, che ci racconta dell' incredibile falla. «Premetto che non servono competenze tecniche. L' utente va su Google, poi per esempio digita Inps allegato bozza». Dopo aver cliccato invio si possono leggere numerosi documenti che in teoria sarebbero riservati.
«Basta cliccare uno dei link di Google», prosegue Tagliabue, «che ti restituisce una pagina vuota, ma il browser ti scarica il file». Così è possibile spulciare da un file Excel il «numero di prestazioni Inps e importo lordo medio mensile per categoria vigenti al 31 dicembre 2015», oppure la «bozza istanza di partecipazione» che riguarda «i lavori di manutenzione ordinaria edile e interventi vari impiantistici» negli stabili Inps di «Catanzaro, Crotone, Vibo Valentia, Cosenza e Reggio Calabria».
A questo punto chiediamo se occorre avere un' applicazione per accedere a questi dati. «No», scandisce per due volte Tagliabue. «Tutto quello che ho trovato lo può fare chiunque, magari chi è meno esperto ci arriva per caso, io invece vado mirato. L' unica cosa che conta è conoscere il meccanismo». Qual è? «Digitare come prima parola chiave Inps».
PASQUALE TRIDICO NUNZIA CATALFO
Per uno strano scherzo del destino tra le bozze se ne può spulciare una molto attuale, dal titolo «Descrizione del contesto tecnologico e della soluzione di disaster recovery richiesta». Per chi non mastica l' inglese con disaster recovery si intende l' insieme delle misure tecnologiche e organizzative che servono a ripristinare sistemi, dati e infrastrutture telematiche dopo una grave emergenza.
Ben 85 pagine in cui «i due obiettivi primari» sono da una parte «la tutela del patrimonio applicativo e dati della previdenza, in caso di "disastro"» e dall' altra «l' assicurazione della continuità dei servizi, contenendo le interruzioni nell' ambito dei "minuti-ore", a fronte di guasti "importanti" (conseguenza di fatti incidentali o dolosi) o danneggiamenti delle componenti Ict per eventi disastrosi». È paradossale per usare un eufemismo, che a pochi giorni dal collasso del sito Inps si trovi su Internet una bozza del documento che serve a ripristinare la normalità dopo un evento come quello di mercoledì scorso. Neanche la mente del più fervido immaginatore avrebbe potuto spingersi fino a questo punto.
Eppure le sorprese non finiscono qui. «Un altro grosso problema», ci spiega l' ingegnere, «è rappresentato dal fatto che se non digiti www, prima di Inps.it, non si apre la pagina. È un errore marchiano nella configurazione dei server Dns». Dunque «la rete non instrada le richieste e al sito non si può accedere». Sito che, secondo lo stesso Tagliabue, «è stato violato più volte negli ultimi cinque anni. In particolare il 9 luglio 2015, quando sono state diffuse almeno qualche centinaio di email contenenti dati sensibili».
Ad aggravare una situazione già di per sé molto critica, il denaro pubblico speso dall' ente attraverso i bandi per reclutare i fornitori di servizi informatici. Dal 2005 a oggi sono stati investiti più di 330 milioni di euro, a cui ne vanno aggiunti altri 172 fino al 2022. Soldi che a quanto pare non hanno portato i risultati sperati. Senza dimenticare che adesso l' Inps, dopo l' apertura di un' istruttoria del Garante per la privacy per far luce su quanto accaduto, rischia di dover pagare una sanzione da 20 milioni.
