Il 1 aprile 2020 è stata sicuramente una giornata difficile per l’INPS: la pioggia di domande per ottenere l’indennità per il COVID-19 si è sommata ad una serie di problemi di cui si è discusso molto. È altresì difficile scrivere questo articolo non essendoci molte evidenze che escludano (o diano per certo) la totalità degli eventi. Proviamoci comunque ricostruendo quanto più possibile i fatti.
La time-line
Nel tentativo di definire una cronologia negli accadimenti, sono state analizzate molte discussioni su twitter nel tentativo di ricostruire quantomeno le prime fasi di malfunzionamento.
00.05 AM – un utente (Gi0Gu3rrat0) sostiene che il sito INPS non venisse caricato – Tweet link
00.12 AM – un utente (Federica Flajani) sostiene che il sistema le restituisca un errore che riporta in foto – Tweet link
00.36 AM – un utente (Marco Tini) nota che il sito dell’INPS, non raggiungibile dall’Italia, sarebbe raggiungibile con una VPN – Tweet link
01.39 AM – un utente (Kromeboy) specifica che la pagina di richiesta viene caricata male – Tweet link
01:49 AM – un utente (Alberto Pulifiato) afferma che il sito dell’INPS funziona correttamente – Tweet link
È iniziata così la giornata del 1 aprile 2020, nella quale si sono susseguiti molti problemi che hanno portato all’inaccessibilità dapprima del modulo di richiesta indennità e poi dell’intero sito web dell’Istituto. Tra i tweet sopra menzionati è interessante quello pubblicato da Federica Flajani ed incontrato da molti utenti, nel quale viene mostrato un messaggio di errore interno.
La faccenda degli hacker
Durante la giornata del 1 aprile, dati i continui disservizi divenuti sempre più gravi fino all’indisponibilità dell’intero sito INPS, alcune agenzie stampa hanno pubblicato notizie, interviste e dichiarazioni tra cui quella del Dott. Pasquale Tridico che, dal 14 marzo 2019, ricopre il ruolo di presidente dell’INPS.
Secondo lo stesso Tridico l’istituto sarebbe stato sotto un violento attacco di DDoS (Distribuited Denial of Service) che ha reso il portale completamente inservibile (link all’articolo ANSA). Su questo tema ci sono alcune riflessioni da fare. I collettivi italiani di hacker, tra cui Anonymous Italia e LulzSec_ITA hanno disconosciuto le dichiarazioni di Tridico e ne hanno preso le distanze dichiarando che non solo non erano stati loro gli autori dell’attacco, ma che a causa di questa menzogna avrebbero ripreso ad attaccare i target nazionali nonostante fossero in pausa per rispetto alla situazione di emergenza.
Non solo gli hacker si sono ribellati a questa spiegazione ma anche molte testate editoriali ben note alle comunità digitali, tra cui viene citata Wired che pubblica un articolo molto duro in merito alle parole del Presidente. L’incipit dell’articolo è il seguente:
Arma fine-di-mondo usata di fronte a qualsiasi disservizio digitale e tecnologico nel paese, è finita anche in bocca al presidente dell’Inps Pasquale Tridico dopo il flop del sito dell’ente. Ma prendersela sempre e solo con gli “attacchi hacker” dà un alibi per non migliorare mai.
Fonte: WIRED – Leggi il loro articolo
La spiegazione del DDoS non è, oggettivamente, molto calzante anche per un fatto semplice: in molte parti della giornata, quando ancora il sito era navigabile, la navigazione in tutto il resto del portale fosse relativamente fluida mentre, solo sulla pagina per la richiesta d’indennità del COVID-19, ci fossero problemi. Una coincidenza piuttosto infelice che sembrerebbe confermata anche dal fatto che siti come Digital Attack Map per la giornata di ieri non abbiano segnalato problemi rilevanti in Italia (a differenza, ad esempio, del Brasile). La certezza, ovviamente, potrà fornirla solamente l’operatore di rete che, nel caso di INPS, è la società Fastweb a quanto sembrerebbe indicare l’IP del server su cui è poggiato il portale.
Caching
L’indisponibilità del portale INPS, tuttavia, è venuta dopo ore in cui si stava presentando un altro problema: ovvero la differenza tra l’identità presentata a video e quella di chi effettuava i log-in. In sostanza l’utente che accedeva (ad es. Mario Rossi), vedeva l’identità di un altro utente (Giulia Bianchi). Questo è stato il più grande problema dal punto di vista della privacy che ha immediatamente fatto scattare il Garante con una dichiarazione molto puntuale.
Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati
Fonte: Garante della Privacy (link al comunicato)
Cosa ha provocato questo errore che è andato avanti per ore sul sito INPS? Per dare una risposta è necessario fare una piccola digressione. La giornata di ieri è stata anche il momento in cui la community di internet ha cercato di dare spiegazioni in merito a quanto accaduto ad INPS. Su Internet ci sono numerosi professionisti davvero validi ed il sottoscritto si fregia del piacere di conoscerne diversi. Sono persone che hanno esperienza, usano metodo nel verificare il proprio lavoro e hanno toni composti ed aperti al dialogo. Tra questi professionisti ci sono Giorgio Campos e Paolo Preite che fin dai primi momenti avevano ipotizzato un problema di cache. Preite ha anche pubblicato un post su LinkedIn nel quale commenta il funzionamento della cache mostrandone una dimostrazione da un video preso da YouTube. Ma oltre a loro due è bene segnalare il buon lavoro svolto da Matteo Flora che, come sempre, ha fatto uscire un podcast nel quale affrontava i risvolti tecnici ma anche giuridici.
Conclusioni
Wired probabilmente ha ragione: l’Italia ha un problema con la comunicazione delle emergenze informatiche. La ricerca di un colpevole esterno, tuttavia, non è una scelga sempre saggia. La posizione di Tridico ha scosso la rete spingendo professionisti, hacker e semplici amatori a verificare le sue parole ed eventualmente sconfessarle. Il danno d’immagine da cui l’Istituto è stato colpito non è di poco conto, sia a livello nazionale che internazionale. Spesso, affermare di avere difficoltà, è la miglior cosa: soprattutto in caso di emergenza mondiale, soprattutto quando si ha avuto oggettivamente poco tempo per preparare i sistemi informativi e l’intera organizzazione. Gli italiani sono un popolo che sa essere comprensivo se opportunamente informato.
Foto dei Tweets
Nota dell’autore
Gentile Lettrice/Lettore,
consentimi di rubarti qualche altro minuto per un ulteriore commento sulla faccenda INPS. Qualche anno fa ho avuto il privilegio di supportare INPS in alcune attività che mi hanno portato a stretto contatto con il reparto tecnico. Dentro INPS ci sono realtà professionali di altissima levatura. Nelle ultime ore l’Istituto è stato oggetto di numero critiche anche da parte di chi, non essendoci mai entrato in contatto veramente, ha scritto post e tweet al limite dell’ingiuria. Il ruolo di INPS è ben più complesso, tecnicamente, di quello di molti siti di streaming video con più utenti ma con meno complessità di calcolo. È quindi doveroso, a mio avviso, evitare le critiche sterili verso un’istituzione che garantisce a tutti noi un bene prezioso, dovuto ma anche di difficile mantenimento: le pensioni. È un dato di fatto che INPS abbia avuto ben poco tempo per preparare un sistema che, posso personalmente affermare, tutto può essere tranne che semplice e banale da realizzare. Solo chi conosce la realtà dell’Istituto e la complessità dei calcoli compiuti dai sistemi, può capire quanto sia importante un’attenta preparazione e la giusta dose di tempo. Come voi anche io sono rimasto indignato dalle dichiarazioni che si sono rincorse sulle agenzie di stampa, ma ho ritenuto (e ritengo tutt’ora) che una cosa sono quelle…e tutt’altra cosa è la qualifica del personale operante nella struttura. Raramente ho visto professionisti così preparati. La critica è costruttiva, la polemica no. Questo sito, i suoi autori e collaboratori s’impegneranno sempre per mantenere un profilo rispettoso e critico nei confronti degli eventi, escludendo la polemica sterile, i grandi proclami e le frasi accusatorie per rispetto a Voi Lettori oltre che alle persone direttamente coinvolti nei fatti.
Grazie per la tua attenzione
Edoardo Limone
