Ci sarà molto su cui lavorare da parte dello staff del Garante della Privacy per fare luce su quello che è realmente successo in quel primo di Aprile, uno "scherzo" che avrà sicuramente fatto saltare i nervi a moltissimi utenti nel vano tentativo di inoltrare la domanda relativa all'indennità 600 euro.
Facciamo una piccola premessa: il sito internet, l'infrastruttura informatica dell'INPS, non è un normale portale, è un enorme sistema, sviluppato nel corso degli anni, costato ai contribuenti la mostruosa cifra di circa 360 milioni di euro, quindi ci si aspetta che sia progettato, programmato ed ospitato su piattaforme che possano reggere un picco abnorme di traffico, considerando il bacino d'utenza a cui si rivolge.
Sin dalla mezzanotte del primo di aprile, pochi minuti dopo la modifica della pagina dedicata all'indennizzo Covid19 e l'apertura delle domande, si è capito quale sarebbe stato l'andazzo nelle ore successive (e tutt'ora). Piattaforma sovraccarica, pagine non disponibili e tanti saluti all'inoltro delle domande.
La mattina seguente, probabilmente stupiti dal numero delle domande contemporanee (come se per l'INPS fosse un mistero chi possano essere i destinatari dell'indennizzo), viene tecnicamente posto un CDN Microsoft Azure Edge davanti al server principale dell'INPS per "cachare" le richieste e snellire il traffico del server principale.
Per coloro che non fossero dei tecnici informatici, il ragionamento fatto è il seguente:
Utente: ci sono dei prodotti disponibili?
CDN: Aspetti che controllo nel retro bottega
CDN: Server dell'INPS, ci sono prodotti disponibili?
Server INPS: No, mi spiace
CDN: Gentile utente, no, nessun prodotto è disponibile alla vendita.
Il CDN, facendo il suo lavoro molto bene, tiene a mente questa richiesta e ne proporrà l'ultimo punto a TUTTI gli utenti che si collegheranno successivamente.
Il problema lo capite da soli: nel momento in cui i prodotti torneranno disponibili, nessun utente potrà venirne a conoscenza, perchè la risposta sarà sempre e comunque no, a meno che non venga "tolto" il contenuto dal CDN.
Sul sito dell'INPS è successo esattamente questo: tutte le richieste che sono state inoltrate sul sito nelle prime ore del primo di aprile sono state caricate in memoria, ma quando è stato inserito il CDN la mattina del primo, a tutti gli utenti che si sono connessi successivamente venivano proposti i dati personali di quelli che, semplicemente, avevano già inoltrato la domanda.
Tridico, il Presidente dell'INPS, si è subito affrettato ad accusare "gli hacker", dando la colpa dei dati personali esposti ad un data-breach subito, ma qua parliamo di meri errori tecnici di incredibile livello, a partire da chi ha gestito la cache per arrivare a chi ha deciso e gestito, in corso d'opera, l'attivazione di un CDN.
Il 3 aprile il sito dell'INPS, come da regolamento GDPR, ha segnalato sul proprio sito il data breach "subito" (o autoinflitto?).
La verità è che la mossa scellerata del Sig. Tridico, che in un Paese normale avrebbe già rassegnato le proprie dimissioni, o sarebbe ancora meglio stato dimissionato a forza dai piani alti, ha creato un attacco DDOS in casa, annunciando un probabile CLICK-DAY, creando il panico tra gli utenti e obbligandoli a cercare di inviare la domanda il prima possibile.
A parte le personali considerazioni di un personaggio in quella posizione che ritiene valido uno strumento come il click-day in un momento storico come quello che stiamo vivendo, e considerando il costo generale dell'infrastruttura e l'importanza delle informazioni contenute in essa, come è possibile che i dati personali di tutti gli italiani siano gestiti in questa maniera? (A.M.)
