Il Garante per la protezione dei dati personali ha inflitto una sanzione di 50.000 euro a INAIL per aver consentito l’accesso non autorizzato ai dati di alcuni lavoratori. Il problema si è verificato in tre occasioni tra il 2019 e il 2020, ma solo in un caso è stata individuata la causa (errore umano). Tutti i “data breach” hanno riguardato il servizio Sportello Virtuale Lavoratori.
INAIL: dati accessibili a tutti
Per accedere al servizio è necessario lo SPID o altre modalità di login (CNS, CIE e credenziali INAIL per determinate categorie di soggetti). L’utente può visualizzare solo le pratiche di infortunio o malattia professionale associate al proprio codice fiscale. Tra maggio 2019 e aprile 2020, alcuni utenti hanno avuto la possibilità di visualizzare i dati personali di altri lavoratori.
INAIL ha comunicato che nei primi due casi sono state visualizzate le informazioni di otto persone. Nel terzo caso, oltre alla visualizzazione è stato effettuato anche il download in formato PDF dei dati (nome, cognome, tipo, stato e avanzamento pratica) di due persone.
La causa del primo “incidente” non è stata individuata, ma l’istituto ha aggiunto controlli più rigidi sul codice fiscale. Nonostante le misure di sicurezza implementate, tra cui IPS (Intrusion Prevention System), WAF (Web Application Firewall), firewall di rete, antivirus e antimalware, si è verificato il secondo incidente “con la stessa imprevedibilità del primo“.
La causa del terzo incidente è stata invece un errore umano. Qualcuno ha pubblicato una versione non aggiornata del software che gestisce il servizio Sportello Virtuale Lavoratori, In tutti i casi, INAIL ha contattato gli utenti interessati al “data breach”.
Il Garante ha accertato che INAIL non ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati, violando quindi le norme sul rispetto della privacy. Considerati la collaborazione offerta dall’istituto nel corso dell’istruttoria e il numero limitato di persone coinvolte, l’autorità ha comminato a INAIL una sanzione di 50.000 euro.