Non c'è stata soltanto la performance scadente di un sito che non riusciva a rispondere alle esigenze degli utenti, ma anche un data breach che ha diffuso i dati riservati di molti contribuenti. E allora a cosa sono serviti gli investimenti fatti finora? Il costo delle infrastrutture IT dell'Istituto Nazionale di Previdenza Sociale non sono proprio due spiccioli e da 2011 fino ad oggi sono state bandite gare d'appalto per l'ammodernamento dei sistemi informatici per 564 milioni di euro.

Il 1° di aprile le Partite IVA italiane si sono ritrovate davanti allo schermo, cercando di loggarsi sul sito dell'INPS per fare richiesta del contributo straordinario di 600 euro. Il sito, sommerso dalle richieste, è andato completamente in tilt e sono stati chiamati in causa i "violenti attacchi hacker" che sarebbero stati responsabili del crollo. Oltre ai dubbi su questa versione, tra gli esperti informatici italiani è iniziata a montare l'indignazione quando hanno iniziato a circolare i link alla pagina del sito INPS, che riporta gli investimenti fatti dall'Istituto per l'ammodernamento tecnologico.

Nel 2011 sono stati investiti 204 milioni di euro in 7 lotti, aggiudicati tutti da RTI composte da grandi della tecnologia internazionale, e la seconda nel 2016 per 360 milioni di euro.

Queste gare sono costi che si vanno ad aggiungere a quelli del comparto IT di Inps e sono state bandite per la "Fornitura dei servizi di sviluppo, reingegnerizzazione e manutenzione del software applicativo dell'INPS" e per l'acquisizione di servizi di "Application Development and Maintenance (ADM)".

Se si allarga lo sguardo agli ultimi 15 anni, la cifra che l'INPS ha investito in commesse per l'ammodernamento del proprio sistema informatico sale ancora, 776 milioni di euro. E queste in realtà sono solo le gare d'appalto che INPS ha bandito, perchè sempre leggendo la pagina della trasparenza, scopriamo che il denaro che annualmente viene speso per il settore IT dell'INPS è di 500 milioni all'anno e rappresenta il 35% dei costi complessivi della struttura.

Queste cifre, paragonate alle performance scadenti del sito di INPS in ultime ore, hanno scandalizzato molti esperti di IT italiani.  "Con 50 milioni di euro all'anno spesi , questo sistema dovrebbe essere perfetto ai livelli di Amazon" denuncia Marco Cavicchioli, divulgatore ed esperto di informatica. "Anche se il problema più grave" prosegue Cavicchioli "è il data breach, ovvero la diffusione di dati riservati degli utenti e la conseguente violazione della privacy".

Già, perché oltre a un problema di performance e di scarsa accessibilità del sito, sono molti gli utenti che hanno denunciato il fatto di aver "visto" i dati di altri utenti anziché i propri sul sito dell'INPS, una volta loggati nell'area riservata. Sono prevedibili delle azioni legali da parte degli utenti che hanno visto la propria privacy violata: "I problemi sono stati due" conferma Alessio Pennasilico, esperto di sicurezza informatica e CTS di Clusit, associazione italiana per la sicurezza informatica "il primo è stato un problema di performance del sito, che non rispondeva bene alla richieste degli utenti, il secondo è stato un data breach, ovvero una perdita dei dati degli utenti che sono stati visualizzati da altri".

"In un contesto del genere un errore può capitare" prosegue Alessio Pennasilico "ed è facile condannare da fuori senza conoscere le dinamiche interne di una relatà così complessa come INPS, che gestisce dati molto sensibili per quantità e qualità".

Da INPS fanno sapere che ci sono stati degli attacchi informatici, ma è una cosa credibile? "Di per sé non si può escludere un attacco informatico" prosegue Pennasilico "ma soltanto per la questione delle performance, ovvero della lentezza del sito. Quello della diffusione dei dati è un problema diverso, di sistema interno". "Può darsi anche che sia stato un attacco hacker DDOS a rallentare il sito" conferma Marco Cavicchioli "ma sono attacchi che di solito durano 30-60 minuti, quello che è successo è il segno di una infrastruttura che non è all'altezza delle richieste e di un errore interno".

Anonymous, il famigerato gruppo di Hacker, ha fatto sapere  di non essere responsabile dell'attacco attraverso il suo account Twitter, sostenendo che l'attacco sarebbe una "fake news" e puntando il dito sui responsabili del sito INPS. Non senza una certa ironia.

"Non è stato un attacco hacker"

"Avrebbero fatto più bella figura a dire che il sito non ce la faceva per le troppe richieste invece che tirare in mezzo il solito, improbabile, attacco hacker" dice senza mezzi termini Raoul Chiesa, noto ethical hacker italiano. "Tra l'altro il problema che ha causato il data breach è sicuramente un problema di amministrazione interna del sito. Sono in molti ad averlo già chiarito sul web. Per migliorare in corsa le prestazioni del sito web, è stata attivata la cache sulle pagine dinamiche, quelle per intenderci in cui si deve fare login e password. Questa imperizia e inesperienza nella gestione ha causato il data breach, che di tutto quello che è successo è sicuramente la cosa più grave".

"E' l'ennesima dimostrazione che la PA in Italia non è pronta per la digitalizzazione" conclude Chiesa.

Adesso tutto l'incidente è nelle mani del garante della privacy e il sito INPS ha un accesso contingentato: per i patronati e gli intermediari abilitati l'accesso è garantito dalle 8 alle 16, per i normali contribuenti è possibile accedere dalle 16 alle 8 del mattino.