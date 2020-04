Sulla vicenda del Bonus dell’Inps alle Partite Iva stanno indagando (finalmente) i giudici. Dalle prime indiscrezioni provenienti dalla procura è confermata l’ipotesi che il sistema è andato in tilt non per l’attacco hacker, ma perché non in grado di reggere l’onda d’urto di migliaia di utenti.

Dunque, le scuse e le versioni messe in campo dal presidente dell’Inps, Pasquale Tridico, sono già state smentite dalla realtà dei fatti. E a smentire la parole di Tridico è proprio l’Istituto di cui lui è presidente: “Se il sistema è andato in tilt è perché non è in grado di reggere l’onda d’urto di migliaia di utenti che, tutti insieme e fin dalle prime ore del mattino, hanno provato ad accedere ai rimborsi” ha detto Guglielmo Loy, presidente del Consiglio di Indirizzo e Vigilanza Inps.

La colpa è dell’Inps

Insomma, la colpa è tutta dell’Inps. “Conoscendo l’attività dell’Istituto – aggiunge Loy – direi che c’è un problema in origine. L’istituto è stato nel tempo caricato e sovraccarico di funzioni. Il calcolo di queste settimane è che circa dieci milioni di persone si relazioneranno con il sito. Il che vuol dire in soldoni: una macchina che va a 120 km/h viene spinta a 160 km/h, ma il motore è sempre quello. A questo si aggiunge che nel tempo la progressiva riduzione degli investimenti è rimasta e il personale è molto calato. Se hai una macchina di media cilindrata che deve fare 2mila km al giorno, il motore va in tilt”.

La gestione informatica che costa oltre 400milioni

La colpa ulteriore dell’Inps è quella di non aver allertato sufficientemente il governo delle problematiche a cui si andava incontro. Il sito dell’Inps è in gestione diretta ma con un forte supporto di fornitori esterni, cioè grandi aziende che supportano l’attività informatica dell’istituto. Tra i 400 e i 430 milioni l’anno l’importo del costo generale dell’infrastruttura informatica. Cifra non da poco se si guardano i risultati tutt’altro che positivi.

La marcia indietro dell’Inps

“Aver abilitato l’accesso solo ai rappresentanti delle Partite iva indica un’ammissione di sottovalutazione dell’impatto quantitativo delle domande individuali, non avendo fatto una campagna adeguata” spiega Loy. “Come Consiglio di Vigilanza abbiamo detto e scritto mille volte che tutta la campagna di comunicazione dell’istituto era dedicata a un rapporto tra utente e istituto ed emarginava l’intermediazione tecnica e professionale. Ora l’Istituto, la parte gestionale, fa una parziale marcia indietro dicendo: facciamo lavorare prima gli intermediari e poi apriamo ai singoli cittadini”. Un dramma nel dramma. Un caso di cui tutti si sono accorti platealmente. E dare la colpa agli hacker, come se fossero marziani atterrati sulla Terra, di certo non aiuta.”

Nessun cyberattacco

La procura di Roma, intanto, ha aperto un’inchiesta per intrusione informatica. Il procuratore capo, Michele Prestipino, già da martedì, stava studiando un’informativa della Polizia Postale nella quale il responsabile della sicurezza cibernetica dell’Inps denunciava quattro tentativi di intrusione al sistema, per lo più della tipologia Dos (Denial of Service), cioè quella in cui gli aggressori cercano di mettere in crisi i server fino a renderli incapaci di erogare il servizio. Per quelli del martedì pare che il firewall che protegge il perimetro dell’Inps abbia retto, mentre ieri la prima tentata intrusione è avvenuta alle 11.51, quindi quando il sistema era già saltato.

“Incapaci, avete fatto tutto da soli”

Anonymous Italia, con un messaggio su Twitter, ha indirizzato un messaggio proprio all’Istituto: “Caro Inps, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma siete così incapaci che avete fatto tutto da soli!”.

Tra l’altro, sulla vicenda è intervenuta anche Fastweb, la società che fornisce i servizi di connettività all’Inps, che ha fatto sapere di aver aumentato la capacità della banda in previsione del maggior accesso.

L’Inps non ha scusanti

“Amazon, ma anche siti ecommerce minori, non vanno in tilt a Natale e Black Friday: sono tanti gli accorgimenti tecnici utilizzabili per evitarlo“, spiega a Repubblica, Paolo dal Checco, tra i più noti informatici forensi in Italia. Francesco Bellini, professore di trasformazione digitale all’università Sapienza di Roma, sottolinea: “Il sito di Inps è frutto di anni di gare al massimo ribasso e soffre dei mali tipici della pubblica amministrazione: sotto dimensionato, mal progettato”.

Come stanno le cose

Due sono le distinzioni da fare su quanto accaduto: la congestione del sito, per via delle tante richieste del bonus 600 euro fra il 31 marzo e il primo aprile, e la falla che ha permesso a molti di accedere a dati altrui. Quest’ultima è avvenuta già a partire dal primo pomeriggio del 31 marzo, a quanto rilevato da Dal Checco, è durata una decina di minuti e poi si è ripresentata la mattina dopo per un’oretta. “Gli hacker non c’entrano: tutti gli esperti sono d’accordo. Inps probabilmente ha fatto un errore nel processo di ‘staticizzazione’ delle pagine (caching); escamotage che aveva utilizzato per ridurre il carico sui server in vista delle tante richieste attese”. Insomma: Inps aveva reso statiche alcune pagine del sito, con i dati degli utenti. E per un errore ancora da accertare queste pagine sono apparse agli utenti sbagliati.

Il probabile attacco hacker (Ddos) è altra cosa. Si tratta di un attacco con cui criminali informatici cercano di paralizzare un server, un sito mandandogli troppe richieste da migliaia o milioni di computer che loro controllano. Richieste che sembrano simili a quelle lecite, degli utenti. Nulla a che vedere quindi con la sottrazione di dati o la violazione della privacy. Il Ddos, eventualmente, ha solo potuto aggravare un problema che già c’era la mattina del primo aprile: il sovraccarico del sito, per le troppe richieste.

L’Inps poteva intervenire

“I siti ecommerce, in vista di un picco del traffico, dimensionano le proprie risorse anche utilizzando servizi di fornitori esterni, cloud e content delivery network”, spiega Dal Checco. “E ci sono anche servizi specializzati che proteggono dagli attacchi Ddos, assorbendo anche decine di migliaia di richieste al secondo”, aggiunge. Inps ha riportato di avere avuto alcune centinaia di richieste al secondo.