Cosa ha fatto Sogei quando ha lasciato aperta la consultazione dei dati «a causa di omocodia del codice fiscale»

Il tempo a disposizione era abbastanza limitato. 72 ore. Tre giorni di tempo per dare comunicazione di quello che, a buon diritto, può essere considerato un data breach. In una giornata che Giornalettismo ha dedicato al tema della diffusione dei dati personali e della mancata comunicazione di quest’ultimo fenomeno, può essere interessante analizzare anche – pur in presenza di una leggerezza che ha causato l’accesso a un numero comunque significativo di dati personali di natura fiscale – come bisognerebbe comportarsi, in punta di GDPR, ovvero del regolamento europeo sulla privacy. Il caso ha riguardato Sogei e una questione (anzi, 49 questioni) di omocodia del codice fiscale.

LEGGI ANCHE > Il problema dell’omonimia: il caso dei dati sanitari di due pazienti in un centro medico

Omocodia del codice fiscale e le contromisure che sono state prese da Sogei

Sogei – lo abbiamo ricordato più volte – è la società di Information Technology 100% del Ministero dell’Economia e delle Finanze. In queste vesti è il partner strategico che gestisce gran parte dei servizi digitali della Pubblica Amministrazione. Tra questi, anche la piattaforma d’accesso al cosiddetto cassetto fiscale, il servizio del sito dell’Agenzia delle Entrate che consente la consultazione delle proprie informazioni fiscali. Si tratta di uno strumento importantissimo per il cittadino e per la sua gestione dei tributi.

Bene. Il data breach che ha toccato questo servizio si è verificato il 25 luglio 2023. In un lasso di tempo molto preciso: dalle 18.02 alle 18.25. Un totale di 23 minuti in cui i dati di 49 soggetti sono stati potenzialmente consultabili da tutti. Sogei ha spiegato in questo modo l’anomalia: «Il servizio “Cassetto Fiscale” consentiva la potenziale consultazione dei dati delle certificazioni uniche relative all’anno di imposta 2022, relative a 49 soggetti, principalmente soggetti stranieri, a causa di omocodia del codice fiscale».

L’azione di Sogei

Per una ripetizione, insomma, della sequenza alfanumerica che caratterizza il codice fiscale, i dati di 49 persone sono stati pubblici per circa 23 minuti. Una piccola fuga di dati personali che, tuttavia, è stata gestita da Sogei in maniera molto efficace. Secondo il GDPR, infatti, il titolare del trattamento dei dati personali ha 72 ore di tempo per avvisare il Garante della Privacy dell’avvenuto data breach e, contestualmente, comunicare questa violazione a tutti i soggetti interessati, nel momento in cui rileva che la questione possa compromettere i diritti delle persone coinvolte.

La comunicazione pubblica dell’avvenuta violazione è stato sicuramente il primo passaggio. Poi, la società ha provveduto a effettuare tutti gli altri step per fornire una corretta indicazione alle persone coinvolte. E per permettere loro di mettere in campo le opportune contromisure. Invece di nascondere la polvere sotto al tappeto, insomma, si è scelta la strada della correttezza e della conformità alle regole. Anche perché – abbiamo avuto già modo di osservarlo nel nostro monografico – anche una semplice denuncia, in assenza dei corretti passaggi, avrebbe potuto dare il via a un procedimento molto più articolato da parte dell’autorità garante dei dati personali, con possibili sanzioni.