TRABOCCHETTI ELETTRONICI

“MAIL FISHING” AI DIPENDENTI INPS: SERVE UNA RIFLESSIONE

(C 12-2025) Molti dipendenti Inps hanno ricevuto nei giorni scorsi una e-mail di “phishing” sulla propria casella di posta aziendale, con la quale si comunicava l’avvio di un procedimento disciplinare, si contestava un mancato pagamento o altre amenità del genere. Questo episodio ha creato molta agitazione e ansia tra i lavoratori e, a quanto pare, anche qualche malore.

La questione non riguarda solo la modalità “a sorpresa” del possibile o presumibile test interno - considerato che molteplici indizi sembrano portare in questa direzione - quanto piuttosto la necessità di capire chi definisca le linee guida sulla sicurezza informatica all’Inps: le società esterne con i loro pacchetti preconfezionati o la tecnostruttura dell’Istituto?

È una domanda legittima. Quella dei test di phishing simulato è una pratica consolidata nel mondo delle grandi aziende private, dove serve a misurare il livello di attenzione dei propri dipendenti. Ricordiamo all’Amministrazione che l’Inps non è una società privata, ma rappresenta un pilastro fondamentale dello stato sociale del paese e come tale deve avere il totale controllo delle proprie strategie di sicurezza. Le tecnologie fornite dall’esterno devono essere adattate alle esigenze dell’Inps. Sempre. Anche in fase di test, perché gli oltre 24000 dipendenti dell’Istituto non sono le cavie per esperimenti nelle mani di chicchessia.

Difficile dire se sia più grave che i sistemi di difesa aziendali siano stati facilmente “bucati” da un attacco esterno o che qualcuno all’interno si sia divertito a giocare allo “scienziato pazzo”. In particolare, se i falsi provvedimenti disciplinari dovessero essere confermati di origine interna, si tratterebbe di un comportamento totalmente censurabile.

USB chiede con forza la re-internalizzazione delle politiche aziendali di sicurezza informatica e ribadisce che i fornitori di tecnologia devono adeguarsi alle esigenze dell’Istituto e non viceversa.