Campania, a rischio i dati degli utenti registrati sul portale regionale per le vaccinazioni

Registrata una falla nella sicurezza del portale informatico per le vaccinazioni della Regione Campania. Il portale, sviluppato dalla Società regionale per la sanità (Soresa), presentava un problema di configurazione tale da concretizzare il rischio di esposizione e illecita acquisizione dei dati dei cittadini campani che avevano già ricevuto il vaccino. A denunciare il bug – ora risolto – ci ha pensato un esperto informatico ed imprenditore con un video pubblicato lo scorso 16 febbraio, dopo aver allertato il Presidente della Regione e il Garante della privacy affinché risolvessero il problema.

I dati a rischio

Con circa 395mila dosi somministrate (l’83,43% di quelle consegnate, stando ai dati forniti dalla Regione), la Campania procede spedita nella campagna di immunizzazione. Si tratta indubbiamente di un apprezzabile risultato, ottenuto anche grazie alla piattaforma web regionale che da fine gennaio gestisce la vaccinazione degli ultraottantenni e da metà febbraio quella dei docenti e del personale scolastico. Un gran numero di campani, dunque, avrebbe rischiato l’illecita esposizione e diffusione dell’indirizzo di residenza, del numero di mobile e ovviamente del dato sensibile inerente al proprio stato di salute (status di vaccinato).

Le cause del bug

Nel proprio video, l’esperto informatico ha premesso che normalmente si accede al portale inserendo codice fiscale e numero di tessera sanitaria. Tuttavia, un problema riscontrato nelle Api della piattaforma (le c.d. Application Programming Interface e cioè l’insieme di comandi che interfacciano un’applicazione web con il server) faceva sì che fosse possibile accedere inserendo esclusivamente il codice fiscale, senza alcuna necessità di digitare anche il numero di tessera sanitaria.

Ciò avrebbe potuto compromettere la security dei dati personali e la privacy degli utenti sino a quel momento registrati sulla piattaforma. Come volevasi dimostrare, infatti, l’esperto ha recuperato il codice fiscale del Presidente della Regione (facilmente reperibile in rete) e ha effettuato l’accesso al portale. Con l’accesso, ovviamente, l’informatico è venuto a conoscenza dei dati di indirizzo e di contatto del Presidente Vincenzo De Luca e lo ha chiamato al numero di cellulare indicato per avvisarlo del problema.

Nel corso di un’intervista rilasciata a Wired, l’esperto ha chiarito che le Api erano state male congegnate, con la conseguenza che un soggetto abbastanza determinato avrebbe potuto generare massivamente dei codici fiscali in modo da acquisire tutti i dati degli utenti. Dall’altro canto, con nota del 22 febbraio, Soresa ha replicato che “le verifiche tecniche svolte consentono di affermare che gli accessi non autorizzati a dati del sistema informativo per la fase di adesione alla campagna vaccinale Covid-19 in Regione Campania sono avvenute non per il tramite dell’interfaccia utente del portale, ma solo per il tramite di strumenti informatici che richiedono una competenza specifica ed uno specifico intento di violazione”.

Le osservazioni di Soresa sembrano non cogliere nel segno. E’ evidente, infatti, che la normativa GDPR e il Codice Privacy italiano abbiano la principale finalità di assicurare la protezione dei dati personali rispetto ad attacchi informatici mirati ed organizzati da soggetti dotati di specifiche competenze (hacker). Ciò spiega perché il rischio di esposizione riscontrato sia stato segnalato anche all’Autorità Garante della protezione dei dati personali.

Un caso non isolato

Un caso simile si è verificato a Milano a novembre 2020. “Milano Cor” – il portale realizzato dall’Agenzia della Tutela della Salute Ambrosiana (ATS) per raccogliere informazioni sui contagiati nella provincia meneghina e coadiuvare il personale sanitario nel contact tracing –  richiedeva l’inserimento del numero di cellulare e del codice fiscale dell’utente. Inserendo quei due dati, il sito dichiarava se l’utente fosse stato già registrato alla piattaforma e, in tal modo, forniva un indizio più che sufficiente per identificarlo come positivo al test del Sars-Cov-2.  In quella circostanza il Garante intervenne immediatamente e aprì un’indagine sul portale di Ats Milano; il sito è stato messo offline e poi riattivato in modo da inserire il codice richiesto via sms.

Avv. Valentina D’Urso

Add Comment