La piattaforma vaccini della Regione Campania permetteva con facilità a chiunque di avere i dati dei cittadini, sapere se si sono vaccinati o no, e persino di alterare queste informazioni.
Tutto per colpa di un banale errore di programmazione del sistema e che la dice lunga su quanto siano limitate ancora le competenze (e sensibilità) cyber da parte della PA, in una fase in cui questi stessi enti si trovano a gestire dati e servizi essenziali per il Paese.
Indice degli argomenti
La scoperta del bug nella piattaforma vaccini Regione Campania
Lo ha segnalato l’esperto informatico Matteo Flora, che ha anche avvisato la Regione e il Garante Privacy per la grave violazione della riservatezza dei dati sanitari. Facendo seguito a questa segnalazione, la Regione ha corretto l’errore (nella notte tra il 15 e il 16 febbraio).
Di fatto nella piattaforma sono esposti i dati di chi si poteva vaccinare e si è vaccinato: i cittadini ultraottantenni della Regione, il personale sanitario e scolastico.
Come funzionava il bug della piattaforma vaccini
Il bug di programmazione consentiva a un utente con minime conoscenze tecniche (bastava usare un software) di sapere dati anagrafici, e-mail, numero di cellulare, status della vaccinazione (non richiesta, richiesta, prenotata, effettuata, richiamo). Questo giornale ha avuto da Flora, come prova, la schermata relativa al presidente Vincenzo De Luca, con il suo numero di cellulare funzionante.
“Per avere questi dati era sufficiente sapere il codice fiscale del paziente”, spiega Flora. “Un dato facilmente calcolabile online: basta avere nome, cognome, data e città di nascita”, aggiunge. Con De Luca sono dati pubblici. Ma quelli del personale sanitario e scolastico sono pure spesso disponibili online (ad esempio tramite sito dell’ordine dei medici di Napoli a partire dal cognome).
In particolare, l’errore era nelle Api, cioè le interfacce con cui il sito parla con il database. Le Api in teoria, a quanto si vedeva dall’interfaccia, dovevano fornire quei dati solo a chi aveva due informazioni assieme: non solo il codice fiscale ma anche il numero di tessera sanitaria.
Se fosse stato davvero così, il sistema sarebbe stato sicuro perché non è così facile avere il numero di tessera sanitaria. L’errore però faceva sì che bastasse inserire il codice fiscale dell’utente e un numero casuale di tessera. Queste Api sono pubbliche, chiunque quindi poteva “interrogarle” (con facilità, tramite un software per le Api, come Postman, liberamente disponibile).
Le truffe e attacchi possibili
Con quei dati in mano, un criminale può compiere truffe: ad esempio chiamando l’utente fingendosi personale sanitario o impersonificando la vittima nei confronti di terzi.
Non solo: poiché con lo stesso sistema era anche possibile cambiare i dati, ad esempio impostando come vaccinate alcune persone che non lo erano o viceversa, il bug poteva consentire anche gravi azioni di boicottaggio delle vaccinazioni (anche di tipo terroristico).
Serve più cultura digitale negli enti: l’auspicio nel Governo Draghi
A novembre era incorso in un bug simile l’Ats (l’agenzia per la tutela della salute, ex Asl) di Milano, dove chiunque poteva – sempre con il codice fiscale – sapere se un cittadino era stato contagiato dal virus.
Come commenta anche Flora, queste vicende confermano la scarsa attenzione alla sicurezza informatica da parte degli enti locali italiani. Anche per le piattaforme che gestiscono dati molto delicati come quelli relativi alla salute.
Tutto questo nonostante gli anni già passati dalle misure minime di sicurezza dell’Agid e dall’arrivo del Gdpr, che potrebbe far pagare salata ai responsabili l’accaduto. Un errore così banale era certo evitabile.
Il premier Mario Draghi ha parlato oggi al Senato della necessità di maggiore formazione negli enti pubblici, di maggiori competenze.
Non è ancora chiaro chi si occuperà di cybersecurity nel nuovo governo. Ci auguriamo che il tema non sia sottovalutato, come accaduto spesso in governi passati. Non sfugge a nessuno che il problema è affrontabile solo intervenendo anche sulle autonomie regionali, in ambito digitale.
Perché – come dimostrano queste vicende, ma come si evince anche dai considerando del Gdpr – non c’è economia (aggiungeremmo: non c’è diritto alla salute) senza la protezione dei dati.