NoiPA

NoiPA

NoiPA è il nuovo portale del MEF messo online a settembre 2019. È invero un restyling e ampliamento del portale NoiPA già in linea che gestisce gli stipendi dei dipendenti statali, dai cedolini ai contributi [vedi È online il nuovo portale NoiPA, interfaccia e servizi rinnovati per 2 milioni di utenti].

Il MEF dichiara che il nuovo portale è stato realizzato con un design che “mette al centro l’esperienza di navigazione online degli utenti e con informazioni più semplici da ricercare e consultare”. Obiettivo dichiarato “nell’ottica della trasparenza nei rapporti tra cittadini e pubblica amministrazione”.

Il portale è dedicato alla gestione del rapporto di lavoro dei dipendenti pubblici per i quali conserva informazioni a partire dal 2016.

Il portale NoiPA, prosegue l’annuncio del MEF, interessa due milioni di dipendenti pubblici che accedono con proprie credenziali nella nuova area privata dove possono visualizzare i dati relativi agli stipendi con dettaglio delle voci che compongono il totale dell’importo. I servizi disponibili nell’area personale vanno ben oltre alla semplice consultazione. A ciascun dipendente viene data la possibilità di gestire i propri dati personali, dalla residenza, al numero di telefono, passando per l’IBAN su cui accreditare le spettanze. Ogni utente viene reso completamente autonomo nel gestire i propri dati personali.

Il MEF dichiara che il portale mette in linea venticinque milioni di cedolini stipendiali ogni anno per un totale di ottanta miliardi di euro di pagamenti.

Il comunicato stampa prosegue sottolineando che “la Pubblica Amministrazione può essere un soggetto innovatore e rispondere sia alle necessità degli utenti che ai principi di: sicurezza, trasparenza ed efficienza, che devono guidare le azioni del settore pubblico”.

Tutto molto bello, se non che passati pochi mesi, e sotto le festività del Natale 2019, arriva la notizia:

“Pubblica amministrazione, hacker sul portale «NoiPa» rubano stipendi e tredicesime” [vedi Pubblica amministrazione, hacker sul portale «NoiPa» rubano stipendi e tredicesime].

Ma non si era dichiarato che nella progettazione del portale NoiPA si erano seguiti i principi di sicurezza!

Approfondendo la notizia si evidenzia una operazione di “phishing”, cioè una truffa attraverso la quale un soggetto non etico ha ingannato più di un dipendente pubblico, convincendolo a fornire informazioni personali e codici di accesso attraverso una mail falsificata ad arte e spacciata per proveniente dalla stessa Pubblica amministrazione.

Una volta in possesso delle credenziali di accesso l’attaccante si è semplicemente connesso all’area riservata della vittima e ha variato il codice della banca inserendo un IBAN e un numero di telefono secondo la tecnica del “Mulo” (vedi blusa del 27/03/2017 <Come funzionano le truffe del mulo>), così che lo stipendio e la tredicesima sono stati versati sul nuoco conto.

Non si possono lasciare dati così riservati in linea protetti con sistemi che si sono rivelati facili da bypassare! Nelle aziende, così come negli enti pubblici, il management dovrebbe monitorare costantemente il progetto in tutti i suoi aspetti dalla funzionalità alla sicurezza.

Coloro che hanno progettato del nuovo portale NoiPA purtroppo non hanno preso in considerazione l’eventualità di un simile attacco reso possibile anche dalla scarsa alfabetizzazione digitale, in particolare riguardo alla sicurezza informatica, dei dipendenti pubblici come di buona parte degli utenti internet. Secondo un’indagine realizzata da Intel Security il 93% degli internauti non è in grado di riconoscere un attacco di phishing [vedi Phishing Intesa SP 20160311 with sub-domains]. Adesso per le vittime comincia un vero e proprio calvario legato al recupero delle somme sottratte.

La Polizia Postale, subito allertata, dovrà verificare se in alcuni casi i dati siano stati forniti dallo stesso dipendente, sia pure sotto raggiro; in questo caso il rimborso non è affatto scontato e, in alcuni casi, potrebbe addirittura non essere restituita la somma accreditata sull’IBAN fasullo.

Il portale NoiPA ha prontamente: disattivato la funzione di accesso all’area riservata; chiesto a tutti i dipendenti la verifica del proprio profilo; sollecitato gli utenti all’adozione delle basilari cautele circa la riservatezza delle credenziali (sic!); e, comunicando l’accaduto, ha affermato che “gli effetti sono limitati e circoscritti a 15 dipendenti su un totale di oltre due milioni di amministrati”.

Sono sempre però 15 soggetti che non hanno ricevuto il dovuto e con le loro famiglie hanno trascorso un Natale 2019 non sereno; non sapendo se quelle somme saranno o meno loro accreditate.

Gli algoritmi, come il portale NoiPA, sono frutto dell’ingegno umano e quindi possono essere fallati se non ben progettati in tutti i possibili aspetti. Quanto accaduto è certamente un “buco” di progettazione che rivela una scarsa attenzione agli aspetti basilari della sicurezza informatica.

Una non accurata progettazione software, che si sta rivelando cara per la Boeing, è quella legata alla scrittura del codice vitale per il funzionamento degli aerei dato in subappalto a prestatori temporanei d’opera in India pagati qualche dollaro l’ora e inesperti [vedi l’articolo Boeing 737: in un’inchiesta tutti gli “errori” legati allo sviluppo software].

Software fallato che ha causato due incidenti aerei con 346 persone decedute e lo stop completo dei voli di tutti i velivoli della Boeing del tipo 737 Max 8. Fermo che non vede una fine in quanto pare di difficile risoluzione la carenza del software. A dicembre 2019 sono 383 i 737 Max a terra e 400 quelli pronti per la consegna, ma bloccati a terra.

A causa di ciò la Boeing ha visto calare il proprio utile di 5,6 miliardi di dollari [vedi l’articolo Boeing, continua la maledizione dei 737 Max: da gennaio stop alla produzione, no licenziamenti].

Non si scherza con gli algoritmi e la loro realizzazione non è mettere giù due linee di codice.

La salvaguardia da potenziali rischi e la protezione dalla violazione dei dati non sono aspetti che possono essere esclusivamente delegati, devono entrare a far parte del bagaglio culturale di ciascuno referente fin dall’analisi. Occorre considerare che l’utente finale affiderà la propria vita, e quella dei suoi cari, all’algoritmo e questo non può sbagliare. Chi progetta gli algoritmi deve aggiungere, alle giuste competenze in materia, i valori etici così da contaminare il software con un atteggiamento consapevole e responsabile verso la qualità e il rispetto degli altri.

Scritto da: Marcello Pistilli