Sottrazione di stipendi e tredicesime tramite il portale NoiPA: le responsabilità civili sono attribuibili solo agli utenti vittima di frode?

| 07/01/2020 10:27


Avv. Fabio Di Resta, Docente universitario a contratto, Lead auditor ISO/IEC 27001, titolare dello Studio Legale Di Resta Lawyers

In data 22 dicembre scorso si è appreso dalla stampa e dal sito ufficiale di NoiPA che alcuni malfattori si sarebbero introdotti su almeno quindici profili di dipendenti della pubblica amministrazione, sostituendo l'Iban per l'accredito bancario relativo ai loro emolumenti periodici, sottraendo in tal modo lo stipendio e la tredicesima degli stessi. Si è trattato ragionevolmente di un accesso non autorizzato ai profili che sarebbe frutto di tecniche di phishing perpetrate verso gli stessi.


E' bene ricordare che NoiPA è il sistema realizzato dalla Direzione dei Sistemi Informativi e dell'Innovazione tecnologica del Ministero dell'Economia e delle Finanze al quale tutte le pubbliche amministrazioni possono aderire secondo le modalità definite dal Decreto Ministeriale del 6 Luglio 2012.


Per analizzare le responsabilità connesse a tale servizio si impone di fare riferimento al Regolamento generale sulla protezione dei dati personali (c.d. GDPR, Reg. UE 2016/679), il quale prevede diverse disposizioni normative che obbligano il titolare del trattamento dei dati ad adottare le misure di sicurezza tecniche ed organizzative adeguate ai rischi inerenti al trattamento dei dati ed in linea con lo stato dell'arte del settore (rectius i migliori trovati disponibili sul mercato rispetto al progresso scientifico e tecnologico).


Come è noto, il titolare del trattamento dei dati è l'entità che determina in modo autonomo le finalità e le modalità del trattamento dei dati personali, il titolare nell'ambito della gestione del rapporto di lavoro pubblico e privato dovrebbe essere individuato di regola nella figura del datore di lavoro (da intendersi come l'entità nel suo complesso).


Più nel merito, il titolare ha un obbligo di adottare le misure di sicurezza adeguate ai rischi in base agli artt. 24 e 32, ma deve anche rispettare il principio di data protection by design in base al quale i rischi devono essere valutati e mitigati anteriormente all'inizio del trattamento dei dati personali.


Con riguardo allo specifico contesto, in questa breve analisi, di carattere necessariamente teorica e presuntiva, si vuole offrire un approccio giuridico che fornisca elementi giuridici utili per individuare le responsabilità legali di natura civile ed eventualmente risarcitorie rispetto ai danni eventualmente presenti nel caso che ci occupa.


Appare più che ragionevole ritenere che il titolare del trattamento effettui tramite NoiPA un trattamento su larga scala di dati personali comuni relativo a oltre 2 milioni di dipendenti della Pubblica Amministrazione sul territorio nazionale (dati anagrafici, email, numeri di cellulare, Iban, indirizzi di residenza e/o domicilio), si potrebbe anche ritenere che vengano trattati categorie particolari di dati personali (rientrano in tale definizione i dati sanitari, i dati biometrici, gli orientamenti religiosi, l'adesione al sindacato) relativi al contesto specifico si ritiene possano essere presenti per esempio i dati relativi alla trattenuta sindacale.


Inoltre, accanto a questi dati compaiono generalmente altri dati personali delicati come le assenze per malattia, l'assenza per maternità, tutti dati personali presenti in via ordinaria nelle buste paga, tuttavia, non sembra ragionevole ritenere che siano presenti invece dati relativi ad eventuali reati commessi dai dipendenti (categoria prevista specificatamente dalla normativa all'art. 10 del Regolamento).


In tale contesto, in primo luogo il titolare è tenuto a censire le banche dati, classificando all'interno del sistema NoiPA i dati personali che vengono trattati. Si tratta certamente di un trattamento su larga scala dove il titolare avrebbe dovuto valutare anche l'esigenza di adottare strumenti di gestione del rischio previsti dalla normativa, la analisi dei rischi e la valutazione di impatto.


Tale ultimo aspetto appare particolarmente rilevante, poiché richiede da parte del titolare del trattamento di valutare se tale trattamento presenti rischi elevati, individuando le necessarie azioni preventive e correttive per mitigare tali rischi con le misure tecniche ed organizzative adeguate, nonché in linea con lo stato dell'arte.


Occorre anche ricordare che con l'articolo 82 del Reg. UE 2016/679 il titolare del trattamento affinché sia ritenuto esente da responsabilità - ai fini del risarcimento del danno per aver consentito un accesso al sistema da parte di terzi non autorizzati (trattamento illecito dei dati personali) -, deve fornire la prova che il danno occorso non gli è in alcun modo imputabile in base agli artt. 32 e 82 del Reg. UE 2016/679.


In concreto, si può riflettere per analogia sugli istituti di credito nell'ambito delle frodi online subite tramite l'internet banking, anche qui per essere esenti da responsabilità connesse agli accessi non autorizzati da parte di terzi malintenzionati, gli istituti in qualità di operatori qualificati devono fornire prova, secondo giurisprudenza oramai consolidata, che il sistema sia stato efficace e soprattutto che l'evento illecito non sia dovuto a debolezze delle misure di sicurezza implementate nel servizio di internet banking [1] .


Si noti pertanto che in base alle disposizioni citate vi è una inversione dell'onere della prova a carico del medesimo titolare del trattamento il quale dovrà dimostrare che ha operato nell'osservanza delle migliori pratiche di settore (stato dell'arte).


Proseguendo con il nostro caso di sottrazione degli stipendi e delle tredicesime ai dipendenti pubblici vittime di frode, qualora fosse introdotto un contenzioso, il giudice seguendo la giurisprudenza consolidata in materia di protezione dei dati personali dovrebbe esaminare se dai documenti prodotti nell'ipotetico processo risulti se tale presunto "attacco di phishing" sia stato effettivamente solo un "attacco di phishing" come dichiarato sul sito NoiPA [2] oppure se debba invece ritenersi una caso più complesso che riguardi una frode ben diversa ossia la Sim Swap Fraud. In ogni caso sarebbe il titolare del trattamento a dover superare la prova della mancanza di adeguate misure di sicurezza rispetto allo stato dell'arte.


Ad uno sguardo più attento, sembrerebbe, esaminando i documenti pubblici disponibili sul portale NoiPA [3] che il cambio Iban debba essere effettuato non solo tramite codice fiscale e password statica, ma richiedendo il pin comunicato tramite e-mail al dipendente. Un aspetto che merita un'attenta analisi è quello che lo stesso Pin verrebbe richiesto per anche per l'operazione di modifica del numero di cellulare sul portale.


Tuttavia, come previsto dalla documentazione pubblica il sistema richiederebbe un solo ulteriore controllo denominato "chiamata di sicurezza" nel quale l'utente dovrebbe effettuare una chiamata al numero indicato nel portale tramite il numero di cellulare registrato nello stesso.
Secondo quanto indicato nel manuale, la chiamata è gratuita e la stessa non prevede una risposta ma un lasso di tempo necessario per terminare la chiamata, solo terminata la chiamata in modo corretto e verificato che il numero chiamante sia coincidente con il numero di cellulare registrato, l'operazione di modifica potrà essere confermata dal sistema.


Alla luce di quanto sopra, sembrerebbe anche tenendo in conto di indiscrezioni giornalistiche che vi sia stata effettivamente una sostituzione del numero di cellulare registrato sul portale, se tale è il contesto sembrerebbe doversi escludere che si sia realizzata una frode più complessa denominata Sim Swap Fraud ossia tramite disattivazione della Sim dell'utente (molto spesso connessa ad una richiesta presso l'operatore telefonico di un duplicato della Sim).


Questo perché i malfattori sostituendo il numero di cellulare avrebbero effettuato la "chiamata di sicurezza" dal nuovo numero in loro possesso a seguito della modifica del numero sul portare portale NoiPA.


Il quesito che ci si dovrebbe porre a questo punto è se la modifica del numero di cellulare registrato sul portale sia modificabile solo tramite l'impiego di un secondo fattore di autenticazione. Il secondo fattore di autenticazione, diffuso in particolare nei servizi di internet banking erogati dagli istituti di credito, è presente in un sistema di autenticazione quando oltre ad un elemento relativo a "qualcosa che conosco" (password e pin) vi è anche un diverso elemento di maggiore sicurezza ossia "qualcosa che possiedo" che nello specifico consisterebbe nel dispositivo di telefonia con quale si riceve e si invia Sms tramite Sim card.


Orbene, a questo punto è necessario porsi un ulteriore quesito relativo alla procedura richiesta per modificare il numero di cellulare registrato sul portale, nello specifico ci si dovrebbe interrogare se sia richiesto all'utente solo il Pin riservato e comunicato via e-mail oppure se sia richiesto anche un codice temporaneo e comunicato tramite SMS, presidio di sicurezza che non risulta menzionato in alcuna documentazione ufficiale disponibile.


In quest'ultimo caso la modifica del numero di cellulare richiederebbe la password "usa e getta" (OTP) comunicata tramite SMS (SMS OTP), da evidenziare che ad avviso di chi scrive solo con questo presidio di sicurezza saremmo di fronte ad un sistema di autenticazione sicuro ed efficace c.d. sistema a due fattori ovvero strong authentication, perché la possibilità di modificare il numero di cellulare registrato consentirebbe altrimenti la modifica del numero con le sole password ed eventualmente pin comunicato.


In altri termini, nella procedura prevista sarebbe presentato agli utenti un sistema di autenticazione ad un solo fattore sebbene rafforzato con due codici riservati statici (password e pin) rafforzati da un sistema ReCaptcha.


Per converso, in caso di soluzione di autenticazione a due fattori allo stato non riscontrabile si sarebbe dovuta verificare una frode con disattivazione della scheda sim degli utenti (frode nota come Sim Swap Fraud), in tal caso non saremmo più di fronte ad un tradizionale attacco tramite tecniche di "phishing".


Peraltro, occorre considerare che il sistema in oggetto in base alle normative sulla protezione dei dati personali si potrebbe anche ritenere non necessario un sistema di autenticazione a due fattori (anche indicato come 2FA), sebbene, certamente questo sia altamente consigliato tenuto del contesto, della natura dei dati personali trattati e del trattamento su larga scala effettuato.
Infatti, per ragioni di completezza espositiva corre l'obbligo di considerare che per determinare l'obbligatorietà o meno del secondo fattore di autenticazione (p.e. SMS OTP) si dovrebbe ricorrere – oltre ad un'analisi approfondita dei rischi e una corretta gestione degli stessi - alle buone pratiche di settore relativi ai servizi online nel settore pubblico.


Invero, il secondo fattore di autenticazione è certamente obbligatorio nel settore bancario a livello normativo dal 14 settembre 2019, data dell'applicazione effettiva della nuova Direttiva sui servizi di pagamento come per esempio i servizi di internet banking (c.d. PDS2).


Così con riguardo ad una importante piattaforma web relativa ad utenti presenti su tutto il territorio nazionale con funzioni molto delicate connesse all'esercizio di diritti fondamentali, si trattava di un'importante piattaforma con poco meno di centoventimila iscritti (dato riportato da diversi quotidiani nazionali) tramite la quale venivano trattati dati personali, categorie particolari di dati personali, in tale contesto l'Autorità Garante per la protezione dei dati personali ha ritenuto che la stessa presentasse diverse deficienze ed ha ritenuto di prescrivere alcune azioni correttive pur valutando come valido il sistema di autenticazione a un solo attore, pertanto ha ritenuto che il sistema di autenticazione basato su password statiche fosse sufficiente prescrivendo ulteriori azioni volte a rinforzare lo stesso.


Purtroppo, l'analogia di tale sistema con il sistema NoiPa sarebbe sostenibile solo entro presupposti molto fragili, dal momento che le differenze sono molte: il sistema NoiPA presenta oltre due milioni di utenti, anche sul piano dell'appetibilità del dato personale e quindi dei rischi inerenti ai furti identità sono connessi a danni patrimoniali. Tutti elementi che fanno necessariamente ritenere che il sistema NoiPA sia più da accostare per molteplici ragioni ai sistemi di internet banking.


In tale contesto, stante qualche perplessità sulla soluzione di strong authentication (c.d. 2FA) adottata sulla piattaforma NoiPA, vi è da rilevate che laddove effettivamente si rilevi la sussistenza di tali debolezze, le responsabilità del titolare del trattamento dei dati dovrebbero avere una diversa rilevanza e la responsabilità degli utenti vittima di frode – anche laddove vi fosse evidenza di condotte negligenti degli stessi - sarebbero da considerarsi quanto meno più marginali o al limite concorrenti con quelle del titolare del trattamento.


In conclusione, a seconda di quanto emergerà dalle indagini in corso, se da una parte potrebbero esserci concorrenti responsabilità da parte di utenti negligenti, dall'altra parte in base alla normativa vigente e alla giurisprudenza anche il titolare del trattamento potrebbe avere delle responsabilità e vi potrebbe essere la possibilità che tali responsabilità potrebbero essere considerate anche prevalenti rispetto quelle degli utenti.

______________________________________________________


[1] Tra le più recenti pronunce della Corte Suprema di Cassazione: Cassazione del 12 aprile 2018, n. 9158 ; Cassazione del 3 febbraio 2017, n. 2950 ; Cassazione del 23 maggio 2016, n. 10638.

[2] Si rimanda ai link ipertestuali riportarti sopra nel testo

[3] Si rimanda ai link ipertestuali riportarti sopra nel testo

[4] Provvedimento su data breach del Garante privacy del 4 aprile 2019.

Vetrina