Secondo il presidente dell’Inps Pasquale Tridico, il caos sul sito dell’istituto di previdenza, con tanto di violazione dei dati personali, proprio nel giorno del via alla richieste del bonus di 600 euro, sarebbe dovuto a un «attacco hacker violento». Anzi, ce ne sarebbero stati tre in una sola giornata che avrebbero causato il collasso. Una tesi ribadita anche dal presidente del Consiglio Giuseppe Conte e dai Cinque Stelle, scesi subito in difesa del professore calabrese. La colpa, insomma, non sarebbe dell’Inps, ma di hacker sconosciuti.

Ma dell’attacco al momento non ci sono prove né rivendicazioni da parte di hacker. Anzi, secondo gli esperti di informatica consultati, l’ipotesi potrebbe essere da escludere del tutto.

Il problema avrebbe avuto invece a che fare con la struttura che regge il sito dell’Inps, che non è stata «armata» per far fronte al picco di domande, un evento eccezionale ma ampiamente prevedibile. Soprattutto dopo l’errore strategico dell’annuncio dell’ente, poi cancellato, di un click day con accettazione delle domande in ordine cronologico fino a esaurimento scorte, che ha generato la corsa alle richieste del bonus sin dalla mezzanotte del 1 aprile. Tridico ha parlato di 100 domande al secondo. Decine di migliaia di accessi contemporanei, tra richieste di indennità, cassa integrazione e bonus baby sitter. E il sistema è collassato.

Ora, se centinaia di migliaia di persone si fossero presentate contemporaneamente agli sportelli dell’Inps, gli uffici sarebbero andati in tilt. Ma nel mondo informatico esistono modelli organizzativi per evitare il caos del mondo offline. La risposta da parte dell’Inps è stata la chiusura momentanea del sito e la ripartizione delle domande per orari. Ma, come ha specificato il Garante della Privacy, è importante ora capire cosa è successo con i dati degli utenti: l’authority ha fatto sapere di aver avviato un’istruttoria sul caso per «valutare l’adeguatezza delle contromisure adottate dall’ente». Anche perché ancora oggi Inca, il patronato della Cgil, fa sapere che arrivano segnalazioni di cittadini che non riescono a entrare in MyInps o una volta entrati si trovano di nuovo davanti le schermate con le identità di altri utenti.

Il tallone d’Achille del sito Inps, secondo un informatico esperto di sistemi complessi contattato da Linkiesta, starebbe nel database server (relational database management system) dell’istituto. Ogni database server ha un limite di gestione delle transazioni. Fino a un certo numero di chiamate contemporanee riesce a rispondere, poi il sistema va in tilt. Mettiamo che il limite del database server del sito Inps sia di 10mila chiamate contemporanee: all’utente successivo che prova a fare la transazione nello stesso momento, il sistema ha risposto fornendo il set di dati di qualcun altro. È quello che sarebbe successo ieri quando, ogni volta che si provava a fare domanda per il bonus, si finiva dentro l’account MyInps di utenti sconosciuti con libero accesso ai dati personali. Indirizzi, codici fiscali, Iban. Tutto visibile.

Di solito, le grandi compagnie di telecomunicazioni o di fornitura di gas ed elettricità evitano il rischio di data leak facendo una ripartizione del database e mettendo dei limiti nel web server sul numero di transazione contemporanee, in modo da non mandare in crash il sistema sottostante che gestisce i dati. Come si fa? Milioni di transazioni non vengono eseguite contemporaneamente, ma si creano dei «magazzini» intermedi che via via processano le richieste tra il sito e il database. Tutti i grossi sistemi, se non creassero sistemi intermedi di questo tipo, si bloccherebbero con facilità replicando quello che è successo ieri all’Inps. E, in ogni caso, di solito prima si fanno dei test per prevedere cosa potrebbe succedere. E invece il sito dell’Inps è andato in down da subito e poi il database ha cominciato a fornire dati anagrafici altrui agli utenti sbagliati.

Per capire meglio l’errore, si può usare la metafora di una macchina. Se il sito web dell’Inps è una citycar che carica quattro persone, non si può usare all’improvviso per spostare tutto il Paese. Si può anche cambiare carrozzeria (il sito) mettendoci quella di un torpedone, ma se il motore (il database) resta quello di prima, non si possono trasportare 400 persone contemporaneamente.

In aggiunta al crash del database, può esserci stato anche un errore nella configurazione della rete (Content Delivery Network), che fornisce i contenuti agli utenti sui siti. È possibile che per rendere più leggero il sito, in previsione di un picco dei contatti, ci siano stati errori nella configurazione, che ha prodotto quindi risposte errate. Come l’accesso ai dati privati. Sarebbe da escludere invece, come sostenuto da alcuni, che il data leak sia stato generato da un errore nella manutenzione della cache del sito, da cui si sarebbe verificata la memorizzazione di alcune pagine utente con tanto di dati personali.

In ogni caso non c’è, fino a prova contraria, nessuna evidenza che si sia trattato di un attacco hacker. Di solito gli hacker rubano silenziosamente i dati senza che nessuno se ne accorga, per poi rivenderli. Non fanno in modo che altri utenti entrino nelle aree protette altrui. È più probabile invece che dietro il fallimento ci sia una banale inadeguatezza del sistema a fronte di milioni di domande, anziché un disegno criminale.

La Procura di Roma ora disporrà degli accertamenti non appena arriverà la denuncia dell’Inps, che al momento non è stata trasmessa. E per la violazione dei dati personali, sulla base del Gdpr europeo, sono possibili anche sanzioni pesanti da milioni di euro a carico dell’ente.

L’Inps, tra le più grandi centrali d’acquisto tecnologiche d’Europa, per il 2020 ha in bilancio una previsione di spesa di 366,4 milioni di euro destinati alla fornitura di servizi di elaborazione automatica dei dati. Ma la riorganizzazione dei vertici dei dipartimenti fatta a dicembre da Tridico in nome dello spoils system non è stata certo dettata dall’efficienza. A capo della “Direzione centrale tecnologia, informatica e innovazione” Tridico ha nominato Vincenzo Caridi, un dirigente interno senza alcuna esperienza pregressa nel settore informatico dell’ente.