Le aziende che vogliono utilizzare lo smart working per i propri dipendenti, in Italia, sono obbligate a comunicare i relativi dati al Ministero del Lavoro e delle Politiche Sociali. Il 1° marzo 2020 è stato emanato un decreto, poi prorogato con fino al 31 luglio 2021 con il Decreto Riaperture, che prevede una procedura semplificata per le aziende per caricare in modo massivo l’elenco dei dipendenti in smart working, tramite un file Excel.
I dati dei lavoratori che le aziende devono comunicare comprendo anche dati sensibili come:
- Nome e Cognome
- Data e comune di nascita
- Voce tariffa INAIL
- Dati sul lavoro agile
Questi dati inviati dalle aziende potevano essere scaricati senza necessità di autenticazione, nonostante il portale preveda l’autenticazione tramite SPID, effettuando molte chiamate dal browser verso il server. Infatti in questi casi non veniva più controllato se l’utente fosse autenticato e che permessi avesse.
Era possibile quindi scaricare in pochissimi minuti circa 650.000 pratiche e disporre liberamente dei dati di milioni di lavoratori.
Dopo una segnalazione, la falla è stata chiusa in pochi giorni dopo che la sezione è stata messa in modalità manutenzione.
