Il sito delle detrazioni fiscali ecobonus dell'ENEA permette a chiunque di vedere le pratiche altrui, come si può notare nello screenshot qui accanto, nel quale ho mascherato i nomi degli utenti.
Non è necessario conoscere alcuna login o password: è sufficiente un URL pubblico. Risultano inoltre esaminabili i dettagli delle singole pratiche e i rispettivi allegati, che ho scelto di non pubblicare qui nemmeno in versione mascherata.
Grazie a @i_am_sverx, che mi ha trovato le coordinate del responsabile della protezione dei dati (un po’ nascoste su ecobonus2019.enea.it/privacy.asp), l’ho potuto avvisare via mail. Ho messo in copia cnaipic@interno.it e comunicazioneweb@enea.it, fornendo loro l’URL pubblico in questione.
Il mio tweet sulla questione ha attirato l’interesse degli addetti del team digitale di Governo.it, che stanno esaminando la situazione. Su loro suggerimento, ho messo in copia anche il CERT della pubblica amministrazione italiana. Vediamo che succede.
2019/09/03 18:00
Ho ricevuto mail dalla responsabile relazioni esterne e comunicazione e dal responsabile della divisione ICT di Enea, che mi dicono che il problema è stato risolto. I primi controlli confermano. Ora restano solo le eventuali questioni legate al GDPR.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Nessun commento:
Posta un commento