Flop Inps impunito, con la Cig si rischia il bis

Per avere un’idea della figuraccia rimediata in occasione del click day per il bonus da 600 euro, conviene leggere il tweet di Anonymous. «Caro Inps, vorremmo prenderci il merito di aver buttato giù il vostro sito Web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli togliendoci il divertimento…». I pirati, accusati dal presidente dell’istituto Pasquale Tridico di aver cannoneggiato la piattaforma, stavolta non mentono. Non sono le loro scorribande la causa del collasso del sito che per cinque ore, dalle 12.20 alle 17.30 di mercoledì scorso, è rimasto irraggiungibile per decine di migliaia di lavoratori autonomi in fila per inviare la domanda di accesso al contributo statale.

La Verità è riuscita a ricostruire la catena di comandi (e di errori) iniziati già martedì sera. Quando cioè il presidente Tridico e i suoi uomini di fiducia, allarmati dai risultati degli stress test in vista dell’apertura della campagna, decidono di correre ai ripari coinvolgendo una speciale task force della Microsoft, il gigante mondiale dell’informatica. L’idea è di alleggerire il bombardamento dati del sito spostandolo sulla Cdn di Azure, un prodotto appunto della multinazionale Usa. Che cos’è una Cdn? «È una rete di server molto potenti dislocati in tutto il mondo», spiega Josè Compagnone, esperto di usabilità del Web e componente del comitato tecnico scientifico del Glu del Dipartimento della funzione pubblica. «Tanti utenti connessi contemporaneamente a una piattaforma di streaming video o a un sito potrebbero sovraccaricare il sistema, rendendolo instabile e non disponibile per tutti, facendolo crollare». Quindi, per evitare il collasso, aggiunge Compagnone, «il sito può usare una Cdn per distribuire il “carico di lavoro”, che effettua tante copie del contenuto, rendendolo disponibile a tutti senza interruzioni».

L’idea in teoria è buona, ma il problema è che la migrazione è stata fatta senza alcuna prova preliminare. Senza un minimo di manutenzione. Confidando, insomma, nella buona sorte. «La criticità principale era peraltro relativa alla maschera di connessione alla sezione degli artigiani e dei commercianti», sottolinea una fonte interna all’Inps al nostro giornale. «Un’interfaccia, realizzata dalla società Leonardo, che invece di raccogliere passivamente i dati inseriti dall’utente, effettuava una verifica attiva nelle anagrafiche allungando i tempi di risposta e aggravando il lavoro dei server». La struttura, all’alba di mercoledì, va in sofferenza. Già tra le 9 e le 10 è sul punto di andare in cortocircuito. Intorno alle 12 si registrano due aggressioni hacker. Ma non avevamo detto che Anonymous non c’entra? Infatti è così. «È una cosa fisiologica che succede sempre», spiega alla Verità un esperto di sicurezza delle reti. «Spesso questi attacchi vengo dall’estero, dalla Russia o dalla Cina. Sono azioni di disturbo normalissime, soprattutto se intercettano un traffico alto, e non sono di certo all’origine del crash».

Le domande continuano ad arrivare e intasano il sistema. Il sito Inps chiude per cinque ore, dalle 12:20 alle 17.30 dopo aver registrato 339.000 domande. Ma non è finita: quelli che hanno provato a collegarsi, fin dalla mattina, utilizzando le proprie credenziali, accedono invece a schede personali altrui. La privacy è bucata. Si leggono in chiaro mail, codici fiscali, Pin e altre informazioni sensibili. Questo può essere accaduto – secondo quanto abbiamo potuto accertare – per due motivi: perché la cache memory, una sorta di memoria veloce che viene utilizzata per accelerare il grado di interazione tra utente e server principale, non è stata programmata per ripulirsi a ogni nuovo contatto (lasciando tracce delle vecchie connessioni); e perché non è stato disattivato l’interruttore pubblico/privato tra le pagine consultabili. Errori di gestione che mal si conciliano con i milioni di euro spesi per l’It dall’Istituto.

«Ero convinto che i server dell’Inps fossero crollati a casa delle molteplici connessioni e non per gli hacker. Stamattina (ieri, ndr), con il mio computer da casa, ho fatto una cosa che può fare chiunque. Ho aperto un software, poi ho lanciato la prima funzione per vedere la struttura della rete Inps. Immediatamente si nota che c’è qualcosa che non va», commenta l’ingegner Carlo Tagliabue, consulente tecnico per reati informatici. «Un qualsiasi programmatore capirebbe che le pagine Inps sono programmate malissimo. Insomma, il sito è pessimo». Eppure, di fronte al disastro di mercoledì, la dg Gabriella Di Michele ha provato a scaricare sul governo la colpa nonostante la legge attribuisca al direttore generale la responsabilità della tecnostruttura. «Paghiamo anche il taglio di 250 milioni deciso con l’ultima manovra relativo alle spese di funzionamento», ha detto al Corriere della Sera, «Questo significa che non possiamo fare tutti i necessari investimenti sulla infrastruttura informatica. Proprio oggi abbiamo deliberato l’assunzione di 165 ingegneri informatici, ma prima dovremo fare i concorsi».

Il punto debole, però, come abbiamo visto non è la pianta organica. È stata la scelta di appesantire la funzione dedicata ai bonus per commercianti e artigiani con una «indagine» amministrativa in tempo reale che, non a caso, ieri è stata disattivata consentendo al sito di raccogliere le domande. E lo stesso blackout potrebbe riproporsi il 9 aprile, quando saranno attivati i link per la cassa integrazione. Tridico e il premier Conte hanno assicurato i pagamenti già il 15. «Impossibile con le festività di Pasqua», ci confida un dirigente dell’Inps, «Una promessa che non saremo in grado di mantenere».