Sono 36.745 le domande presentate alla Regione per l’avviso Start, la misura di aiuto per i professionisti: 2.000 euro di contributo a fondo perduto che si sommano a quelli previsti dai decreti statali. E ora - proprio come successe con l’Inps ad aprile - spunta il giallo del «data breach»: un «bug» del portale informatico, gestito da InnovaPuglia, ha fatto sì che i dati personali di alcuni utenti (nome, cognome, codice fiscale e situazione reddituale) siano stati diffusi a terzi.
Il caso è emerso con una lettera che il «data protection officer» della Regione ha inoltrato a InnovaPuglia il 15 ottobre, dopo che un cittadino il 12 ottobre aveva segnalato all’help desk «di aver visualizzato dati personali di un altro utente». In piccolo si tratta più o meno di quello che è capitato ad aprile con il sito dell’Inps, andato in tilt sotto il peso delle richieste per il bonus da 600 euro per le partite Iva: un utente entra nell’area personale del portale e scopre che al suo profilo sono associati i dati di qualcun altro. La stessa cosa è successa con il portale di InnovaPuglia.
Gli approfondimenti tecnici effettuati dalla società in-house della Regione (al momento senza presidente, dopo le dimissioni dell’uomo del pendolino anti-covid, Giuseppe Tiani, e senza un consigliere dopo la nomina di Anna Grazia Maraschio ad assessore regionale) hanno confermato l’esistenza del problema, ritenendo però che il «leak» (la «fuga» di dati) riguardi pochissimi utenti: «sicuramente» sono stati diffusi in modo illecito i dati di un ignaro richiedente visualizzati per errore dal primo utente che ha fatto la segnalazione al call center, e «potenzialmente» sono stati resi noti a terzi i dati di altre 30 persone. Peraltro, per quanto è scritto nei documenti pubblici, una fuga di dati si sarebbe verificata anche quando InnovaPuglia ha utilizzato per le verifiche un utente di test.
«Pur essendo stati esposti dati reddituali e quindi di una certa rilevanza da un punto di vista privacy - secondo la relazione predisposta da InnovaPuglia -, è improbabile che il soggetto che ha erroneamente visualizzato i dati utilizzi gli stessi fraudolentemente e in danno dell’interessato, anche alla luce del fatto che lo stesso soggetto ha prontamente attivato procedure di segnalazione dell’evento al titolare». In questi casi la legge prevede che vada fatta una segnalazione all’Autorità garante dei dati personali, nella quale - oltre a descrivere il problema nei dettagli - è necessario illustrare le misure di contenimento messe in atto.
Per InnovaPuglia, però, questo non era necessario perché «pur essendo stati esposti dati reddituali e quindi di una certa rilevanza da un punto di vista (della) privacy, è improbabile che l’evento provochi tali rischi per i diritti e le libertà dell’interessato coinvolto».
«In questi casi - è l’opinione di Ugo Lopez, ingegnere informatico e docente a contratto di Informatica forense e Sicurezza nelle reti e nei sistemi distribuiti all’Università di Bari - la norma prevederebbe la notifica all’autorità di controllo competente possibilmente entro 72 ore dal momento in cui si è venuti a conoscenza dell'evento, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti delle persone».
E la scelta di non procedere potrebbe non essere stata corretta: «Per quanto emerge dai documenti pubblici - spiega Lopez - non sono del tutto convinto della valutazione effettuata. La norma lascia intendere che l’assenza di rischio per la privacy debba essere assolutamente evidente, anche interpretando il brevissimo termine delle 72 ore indicato per la notifica. Riguardo alla tipologia di dati violati, è lo stesso “Dpo” a dire che sono stati violati dati “a maggior tutela” come quelli sul reddito.
Anche la modalità di esecuzione dell’analisi di rischio è, secono me, rivedibile: non basta dire quale sia la probabilità che vengano diffusi all’esterno dati personali, bisogna anche valutare l’impatto che la diffusione di questi dati avrebbe sui soggetti coinvolti. Infine, non è nemmeno menzionata la possibilità che altri utenti possano aver avuto accesso a dati di terzi nonostante è quello che è accaduto almeno due volte».
Non è la prima volta che una falla di sicurezza sui server di InnovaPuglia si verifica un problema di questo genere. A dicembre 2017 un problema analogo ha riguardato il Portale della Salute della Regione, all’epoca gestito dalla società in-house tramite un appalto alla Engineering spa.
Sul caso, piuttosto grave, l’Autorità garante della privacy ha avviato una istruttoria attraverso la Finanza che ha evidenziato gravi criticità di gestione: per questo il Garante ha comminato a InnovaPuglia una multa da 32mila euro. A pagarla dovrebbe essere la stessa Engineering. Ma anche in questo caso, il responsabile del trattamento dei dati è la Regione, che nello scorso settembre ha «avvertito» per iscritto InnovaPuglia: dovrà farsi carico di ogni eventuale altra sanzione.
Per quanto riguarda Start, a fronte delle 36mila domande fino a oggi ne sono state pagate 28.659 ed escluse 2.102. Per altre 1.173 domande la Regione ha inviato richieste di integrazione.
