Il Garante Privacy sanziona la Regione Molise, la società Molise Dati e Engineering Ingegneria Informatica S.p.A. Il motivo? Il data breach che ha coinvolto il Portale regionale del Fascicolo Sanitario Elettronico (FSE).
La vicenda
La Regione Molise ha notificato al Garante per la protezione dei dati personali una violazione che ha consentito a un soggetto non autorizzato di accedere ai dati di altri cittadini. L’accesso illecito è stato reso possibile grazie a una vulnerabilità del sistema, che ha permesso la manipolazione dell’URL per effettuare ricerche non autorizzate nell’anagrafe regionale. Non è ancora chiaro come l’autore della violazione sia riuscito a ottenere l’URL esatta per sfruttare la vulnerabilità.
Al momento della violazione, la Regione Molise aveva dichiarato di aver adottato misure di sicurezza, tra cui vulnerability assessment (una scansione dei sistemi per individuare falle di sicurezza) e penetration test. Queste misure, però, non sono state sufficienti per evitare il data breach.
Esito dell’istruttoria del Garante Privacy
Gli accertamenti svolti hanno permesso di ricostruire con precisione la dinamica della violazione e le vulnerabilità tecniche sottostanti. È emerso che il segnalante, autenticatosi come “assistito” tramite SPID, CIE o CNS, aveva manipolato manualmente l’URL della pagina web. In particolare, modificando l’URL, l’autore è riuscito ad accedere a funzionalità riservate ai “Medici/Dirigenti Sanitari”, permettendo l’accesso alla ricerca dei cittadini e la consultazione dei loro fascicoli sanitari senza necessitare di una nuova autenticazione.
Questa vulnerabilità, causata da un errore di codifica nel software, era sfruttabile solo da soggetti che, già autenticati, conoscevano l’URL modificata e desideravano accedere ai dati. Non è ancora chiaro come il segnalante abbia acquisito questa informazione.
I dati sensibili coinvolti includevano informazioni anagrafiche (nome, cognome, data di nascita, residenza), dettagli sull’assistenza sanitaria e documenti sanitari (come referti medici). La violazione è avvenuta tra il 14 novembre e il 30 dicembre 2022, periodo durante il quale l’autore ha effettuato più accessi non autorizzati ai dati di sette assistiti.
La Regione Molise, dopo aver analizzato il bug di sicurezza, ha preso misure immediate per inibire questa modalità illegittima di accesso. Inoltre ha effettuato controlli aggiuntivi nel codice per evitare che utenti autenticati come “Assistito” possano visualizzare o utilizzare la pagina non autorizzata.
La Regione ha anche richiesto una revisione completa del software a Molise Dati per verificare la presenza di errori simili nel codice sviluppato da Engineering Ingegneria Informatica S.p.A.
Le violazioni che hanno portato il Garante Privacy a sanzionare la Regione Molise
I dati esposti nel data breach includono informazioni sanitarie, che sono considerate particolarmente sensibili e richiedono standard di sicurezza elevati. Il GDPR impone al titolare del trattamento di adottare misure adeguate, come la pseudonimizzazione e la minimizzazione dei dati, per proteggere la riservatezza, l’integrità e la disponibilità dei dati personali.
Il principio di “protezione dei dati fin dalla progettazione”, la cosiddetta privacy by design e by default, obbliga il titolare a integrare misure di protezione già nella fase di progettazione dei sistemi. Questo significa che deve essere effettuata una valutazione continua dell’efficacia delle misure di sicurezza e una revisione periodica, anche per i sistemi preesistenti. Nel caso del Portale FSE della Regione Molise, una vulnerabilità ha permesso l’accesso non autorizzato a dati sensibili, evidenziando l’insufficienza delle misure di protezione. Pertanto, la Regione non ha rispettato il principio di protezione dei dati fin dalla progettazione, risultando in una violazione del Regolamento.
Per saperne di più > Dati sensibili e GDPR: quali sono e come trattarli a norma di legge
Per approfondire > Privacy by design e privacy by default: definizioni e differenze
Il Garante Privacy sanziona Regione Molise (e non solo)
A seguito delle violazioni riscontrate, il Garante ha deciso di emettere sanzioni nei confronti della Regione Molise (titolare del Portale), della società Molise Dati (responsabile dell’implementazione tecnica) e di Engineering Ingegneria Informatica S.p.A. (responsabile dello sviluppo tecnico). Nonostante la Regione Molise fosse identificata come titolare del trattamento, le responsabilità si estendono anche a Molise Dati SpA, che ha svolto un ruolo cruciale nella gestione operativa e nel controllo dei sub-responsabili, così come a Engineering, che si è occupata della progettazione e dell’implementazione del sistema tecnico. Quest’ultima non aveva adottato misure adeguate per limitare l’accesso agli utenti ai dati esclusivamente pertinenti, consentendo così l’accesso illecito a funzionalità riservate.
Il Garante ha applicato una sanzione di 10.000 euro ciascuna a Regione Molise, Molise Dati e Engineering S.p.A.
Il provvedimento completo è disponibile qui.
Hai subito un data breach e non sai come comunicarlo al Garante? Oppure non sei sicuro se la comunicazione al Garante sia obbligatoria per la tua violazione? O ancora, vuoi evitare violazioni in futuro? Siamo esperti di sicurezza informatica, di privacy e GDPR. I nostri consulenti sono a tua disposizione.
