Una segnalazione partita da un gruppo Facebook, corredata di schermate, racconta di un accesso che invece della propria scheda previdenziale apriva l’intero elenco delle pratiche gestite dall’ISS, con tanto di funzioni di ricerca per nome e pulsanti di modifica. Il servizio risulta al momento non raggiungibile. Se confermato, è un caso di sicurezza dei dati tra i più seri mai emersi nella pubblica amministrazione sammarinese.
La segnalazione è comparsa nel pomeriggio in un gruppo Facebook locale e in poche decine di minuti ha raccolto commenti allarmati. Un utente racconta di essersi collegato al Portale della Pubblica Amministrazione e di essersi ritrovato davanti non alla propria posizione previdenziale — l’unica cosa che avrebbe dovuto poter vedere — ma a un elenco di pratiche pensionistiche di terzi: nomi, cognomi, numeri di protocollo, date di decorrenza, tipologia di trattamento e stato di lavorazione dei pagamenti. «Dati, IBAN, tutto in vista», scrive. E, aggiunge, non solo consultabili: «addirittura potevo modificarle».
Le schermate diffuse — con i dati personali oscurati da chi le ha pubblicate — mostrano quella che a tutti gli effetti è una maschera gestionale, cioè un’interfaccia da ufficio e non da cittadino: una barra di ricerca «per nome o codice ISS», un filtro per data di decorrenza, il conteggio degli «elementi trovati» e, accanto a ogni riga dell’elenco, un’icona di modifica. È proprio questo il dettaglio che rende la vicenda grave: non un errore che mostra un dato di troppo, ma l’affaccio su un pannello di amministrazione che non dovrebbe essere accessibile da un’utenza ordinaria.
Che cos’è ARPA, e perché quella schermata non dovrebbe esistere
ARPA sta per «Archivio Posizioni Assicurative». È il servizio online dell’Istituto per la Sicurezza Sociale, ospitato sul portale gov.sm, che permette a ciascun cittadino di consultare e stampare la propria scheda previdenziale ISS e FONDISS, i cedolini della pensione e lo storico degli assegni familiari. La regola d’accesso è scritta nero su bianco nelle istruzioni ufficiali del portale: ogni utente può vedere esclusivamente i propri dati, e per consultare quelli di un familiare serve una delega firmata.
È esattamente il principio che, stando alle schermate, sarebbe saltato. Al posto del confine tra «i miei dati» e «i dati di tutti gli altri» ci sarebbe stato — per quanto tempo, non è dato saperlo: potrebbero essere minuti come giorni — nessun confine. Un problema di controllo degli accessi, in gergo: il sistema avrebbe presentato a un profilo che non ne aveva diritto funzioni riservate agli operatori.
La reazione: il servizio spento, e i primi commenti
Nel giro di pochi minuti, sotto il post, la discussione ha preso due direzioni. Da un lato chi invitava a non pubblicare nulla e a segnalare subito all’ISS, «visto che così chiunque potrebbe andare a curiosare o, molto peggio, a modificare». Dall’altro chi confermava che, poco dopo, il portale non era più raggiungibile: segno che qualcuno, lato amministrazione, si era accorto del problema e aveva staccato il servizio. Un altro commentatore ha sintetizzato la situazione parlando apertamente di «gravissima falla nel sistema».
Non sono mancate le battute — l’idea, buttata lì con ironia, di «arrotondare» la pensione di un parente o di farsi accreditare diecimila euro. Sono barzellette da bacheca, ma raccontano meglio di qualsiasi analisi perché la parte davvero pericolosa non è la visibilità dei dati, già di per sé un problema enorme, bensì la presunta possibilità di modificarli. Un archivio previdenziale in sola lettura esposto è una falla di riservatezza; un archivio previdenziale scrivibile è una falla che tocca l’integrità dei pagamenti pubblici.
Il nodo normativo: la Legge 171 e il Garante
Se i fatti fossero confermati, la vicenda ricadrebbe in pieno nel perimetro della Legge 21 dicembre 2018 n. 171, la norma con cui San Marino ha allineato il proprio ordinamento agli standard del GDPR europeo. I dati previdenziali — anagrafica, coordinate bancarie, importi, e in alcuni casi informazioni che rivelano condizioni personali come l’invalidità — sono tra i più delicati che una pubblica amministrazione tratti.
La legge prevede un obbligo preciso: in caso di violazione dei dati personali che presenti un rischio per gli interessati, il titolare del trattamento deve notificare l’accaduto all’Autorità Garante per la Protezione dei Dati Personali — presieduta da Umberto Rapetto — senza ingiustificato ritardo e, ove possibile, entro 72 ore. Il ritardo nella comunicazione è a sua volta sanzionabile. L’ISS dispone di un proprio Responsabile della protezione dei dati, a cui spetterebbe seguire la pratica.
Le domande a cui l’ISS dovrà rispondere
Alcune restano aperte, ed è su queste che si misurerà la gestione del caso più che sulla falla in sé, che i sistemi informatici purtroppo conoscono ovunque:
- Da quanto tempo la maschera era esposta? Minuti, ore, giorni? La finestra temporale cambia radicalmente la portata del danno.
- Quanti cittadini hanno potuto accedervi, e per quanti soggetti erano visibili i dati?
- Qualcosa è stato modificato? È la domanda decisiva. I log del sistema dovrebbero dare una risposta.
- Di chi è la responsabilità tecnica: dell’ISS come titolare del trattamento, del gestore informatico del portale PA, o di entrambi?
- La notifica al Garante è stata fatta, ed entro i termini?
Nota di trasparenza. Questo articolo si basa su una segnalazione pubblica e su schermate diffuse online, non ancora confermate ufficialmente. Per correttezza, per tutela delle persone i cui dati comparivano nelle immagini, e per non offrire indicazioni utili a chiunque volesse replicare l’accesso, insider non pubblica né nomi, né numeri di pratica, né alcun dettaglio tecnico su come quella schermata sia stata raggiunta.





