Il data breach del Fascicolo Sanitario Elettronico (FSE) della Regione Molise ha sollevato preoccupazioni significative sulla sicurezza dei dati sanitari. La violazione, verificatasi tra novembre e dicembre 2022, è stata causata da una vulnerabilità tecnica nel sistema informatico del FSE, sviluppato da Engineering Ingegneria Informatica SpA[2].
Le cause tecniche della violazione
La vulnerabilità è stata attribuita a un errore di codifica nel software, che ha permesso a un utente autenticato come “Assistito” di manipolare l’URL del portale. Questa manipolazione ha consentito l’accesso a una pagina del sistema destinata ai soli professionisti sanitari (medici e dirigenti sanitari), permettendo così al soggetto terzo di eseguire una ricerca tra i dati anagrafici di altri cittadini e accedere ai fascicoli sanitari elettronici di persone non autorizzate[2].
La responsabilità nell’intera catena
La responsabilità della violazione non grava esclusivamente sul titolare del trattamento, ma anche sui responsabili e sui sub-responsabili del trattamento. Nel contesto del trattamento dei dati sanitari tramite il FSE, la catena di responsabilità diventa particolarmente complessa. La Regione Molise, come titolare del trattamento, non ha garantito il rispetto degli obblighi di protezione dei dati da parte di Engineering, la società che ha progettato e implementato il sistema tecnico. La Società Molise dati, responsabile dell’attività di implementazione tecnica del FSE, non ha effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering[2].
Le linee guida del GDPR
Le linee guida 07/2020 adottate dal Comitato Europeo per la Protezione dei Dati sottolineano l’importanza della responsabilità dell’intera catena di trattamento dei dati. La responsabilità non può essere delegata né ridotta, e il titolare mantiene il controllo e la responsabilità finale sulla protezione dei dati. In questo caso, la Regione Molise non ha garantito il monitoraggio adeguato della catena di responsabilità, causando la violazione[2].
Le misure tecniche post violazione
A seguito della violazione, la Regione Molise ha messo in atto una serie di interventi per affrontare e risolvere la situazione. In primo luogo, ha condotto un’analisi approfondita per risalire alla causa del problema, esaminando i log di tutti i moduli applicativi a ogni livello e analizzando il codice per identificare e correggere il bug che aveva originato la vulnerabilità. Una delle prime azioni concrete era quella di bloccare l’accesso diretto alla pagina “https://fse.regione.molise.it/fseui/list” attraverso una chiamata diretta da browser, impedendo così che utenti non autorizzati potessero sfruttare la vulnerabilità. Inoltre, ha implementato un controllo all’interno del codice sorgente per garantire che la stessa pagina non fosse visibile né utilizzabile dagli utenti con il ruolo di Assistito, evitando così che questi ultimi potessero accedere a funzionalità riservate a professionisti sanitari[2].
Suggerimenti e consigli
- Implementazione di misure di sicurezza adeguate:
- I sistemi informatici devono essere progettati e sviluppati con misure di sicurezza adeguate per limitare l’accesso da parte degli utenti alle sole informazioni che li riguardano.
- Le verifiche finalizzate a valutare l’eventuale presenza di errori nel software devono essere effettuate regolarmente.
- Monitoraggio della catena di responsabilità:
- Il titolare del trattamento deve garantire il monitoraggio adeguato della catena di responsabilità, assicurandosi che anche i sub-responsabili rispettino gli obblighi derivanti dalla normativa.
- Le linee guida del GDPR devono essere rispettate, sottolineando l’importanza della responsabilità dell’intera catena di trattamento dei dati.
- Analisi approfondita delle cause del problema:
- Dopo una violazione, è fondamentale condurre un’analisi approfondita per risalire alla causa del problema, esaminando i log di tutti i moduli applicativi a ogni livello e analizzando il codice per identificare e correggere il bug.
- Le misure tecniche post violazione devono essere implementate rapidamente per affrontare e risolvere la situazione.
- Controllo all’interno del codice sorgente:
- Un controllo all’interno del codice sorgente deve essere implementato per garantire che le pagine non autorizzate non siano visibili né utilizzabili dagli utenti con ruoli non autorizzati.
- Questo può prevenire ulteriori accessi non autorizzati e proteggere i dati sensibili.
- Formazione e supervisione dei soggetti incaricati:
- Le società coinvolte nel trattamento dei dati devono introdurre misure idonee a verificare ed assicurare la corrispondenza tra i consensi resi dagli interessati e le informazioni registrate sui sistemi aziendali.
- La formazione e la supervisione dei soggetti incaricati delle attività di telemarketing e di trattamento dei dati sono fondamentali per evitare errori materiali e garantire il rispetto degli obblighi di protezione dei dati.
- Notifica tempestiva degli incidenti:
- Le società coinvolte nel trattamento dei dati devono notificare tempestivamente gli incidenti ai Garanti della protezione dei dati, come richiede il Regolamento europeo sulla protezione dei dati (GDPR).
- La notifica tempestiva è essenziale per garantire che le misure di risposta siano attivate rapidamente e minimizzare i danni causati dalla violazione.
La sanzione imposta dal Garante per la protezione dei dati personali, pur essendo significativa, non appare particolarmente gravosa, soprattutto considerando la natura e la gravità della violazione. Il Garante ha preso in considerazione vari fattori, tra cui la natura della vulnerabilità, che non era facilmente rilevabile né facilmente sfruttabile, richiedendo una conoscenza precisa dell’URL da parte di utenti malintenzionati. La Regione Molise ha dimostrato un elevato livello di collaborazione, attivandosi rapidamente per risolvere il problema e notificando tempestivamente l’incidente, come richiede il GDPR[2].
