A fine 2022 un tecnico informatico entrò con Spid nel fascicolo sanitario elettronico del Molise e si accorse che, una volta “dentro” il sito semplicemente effettuando una ricerca con nome, cognome e data di nascita o codice fiscale riusciva a consultare i dati di altre persone. Dati fra i più sensibili in assoluto, quelli relativi alla salute, che un bug nel sistema rendeva estremamente vulnerabili.
Per quella falla il Garante della Privacy ha ora sanzionato Regione, Molise Dati (società in house della Regione) e Engineering. Una multa niente affatto salata, 10mila euro ciascuno, ma emblematica.
All’Autorità di garanzia si rivolse subito la stessa Regione segnalando l’intrusione nel portale Fse, episodi ripetuti (il tecnico effettuò più accessi per capire se il problema da lui individuato era stato nel frattempo risolto prima di scrivere lui stesso a Molise Dati) fra novembre e dicembre del 2022. Il problema fu poi risolto. «Le informazioni ora sono al sicuro», spiegò Molise Dati a inizio febbraio quando il caso finì sui media locali.
«Il data breach, causato da una vulnerabilità̀ del sistema informatico, aveva consentito a un cittadino autenticato con il ruolo di “assistito”, attraverso una manipolazione della Url, di effettuare una ricerca di informazioni relative a sette individui presenti nell’Anagrafe regionale del Molise. L’accesso non autorizzato aveva riguardato i dati anagrafici; di residenza e domicilio; e quelli contenuti in documenti e referti sanitari degli utenti coinvolti», la sintesi del Garante in una nota a commento della decisione.
Nel corso dell’attività istruttoria svolta, l’Autorità ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise. E ha quindi ha sanzionato la Regione Molise in quanto titolare del Portale e la società in house Molise Dati, in qualità di responsabile dell’attività di implementazione tecnica del Fse, per non aver effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering, la società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale.
Nel progettare i sistemi informatici utilizzati nell’ambito del Fascicolo Sanitario Elettronico, inclusi i sistemi di autenticazione e autorizzazione, Engineering Spa, non aveva infatti adottato le misure adeguate a limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano. Ciò aveva quindi permesso l’illecito da parte di un soggetto terzo, che superata la procedura di autenticazione, aveva potuto utilizzare funzionalità a cui non era autorizzato, mediante la modifica della Url.
Così su Primo Piano Molise del 4 febbraio 2023
