Non c’è pace per i cittadini lombardi e milanesi. Quasi vivessero in una sorta di “Tornado Alley”, sono nuovamente bersaglio eletto di una perturbazione pandemica che nel giro di pochi mesi è apparsa dal nulla (o quasi), ha distrutto tutto quello che poteva, si è allontanata per poi invertire rapidamente la rotta e tornare ad infierire con forza quantomeno pari al primo passaggio. Come se ciò non bastasse, si trovano in preda ad un senso di scoramento e abbandono perché hanno definitivamente realizzato che la gestione locale dell’emergenza è affidata, oltre che al supporto incerto dell’esecutivo centrale, ad una governance territoriale che si è confermata altamente impreparata (nonostante ci sia stato tempo per approntare meccanismi di difesa a fronte di segnali di allerta che indicavano altamente probabile il ritorno della calamità).

Tra le svariate carenze evidenziate dall’amministrazione sanitaria lombarda in questo cupo scenario, non sono mancate e, purtroppo, non mancano quelle inerenti ad una inadeguata configurazione dei sistemi informativi che contengono dati riguardanti lo stato di positività al Covid-19. Sistemi che – vista la criticità di tali informazioni – dovrebbero essere impostati e gestiti nel massimo rispetto della normativa di data protection.

Un primo, grave, inciampo era avvenuto a fine maggio scorso quando l’’Agenzia di Tutela della Salute di Milano Città Metropolitana (ATS Milano) aveva inviato per errore un numero imprecisato di SMS che invitavano i destinatari a mettersi immediatamente in condizione di isolamento domiciliare perché entrati in contatto con un soggetto contagiato. Un incidente nefasto che ha inutilmente allarmato i poveri malcapitati che a loro volta – intenti in una sorta di “self contact tracing” – avranno allarmato famigliari, datori di lavoro, colleghi e ad altri contatti recenti innescando medesima reazione negli altri anelli della propria catena socio-professionale.

Nei giorni scorsi sono emerse altre due storie poco edificanti. La prima è riferibile, di nuovo, ad ATS Milano che fa capo a Regione Lombardia e che gestisce il portale Milano Cor ossia una piattaforma che (nell’intento di sgravare i call center presi d’assalto) offre al cittadino che sia risultato già positivo al virus informazioni, consigli e servizi di supporto durante il periodo di isolamento, quali:

  • istruzioni sulle modalità dell’isolamento domiciliare;
  • un diario in cui segnalare l’insorgenza di eventuali sintomi;
  • la prenotazione self service del tampone di guarigione dopo il periodo di isolamento;
  • la possibilità di segnalare i dati anagrafici di eventuali conviventi che dovranno essi stessi rimanere in quarantena;
  • l’esito degli ulteriori tamponi via Fasciolo Sanitario Elettronico.

Trattasi, dunque, di un portale contenente i dati dei positivi registrati dall’Azienda sanitaria della città italiana maggiormente colpita dalla pandemia (migliaia di contagiati al giorno). Ebbene, fino al 3 novembre scorso – giorno in cui ATS ha posto rimedio al problema – chiunque avrebbe potuto, senza particolari sforzi, scoprire l’identità di un soggetto registrato, di un positivo. Questo perché il sistema di autenticazione alla piattaforma prevedeva l’inserimento del codice fiscale e di un numero di telefono senza, tuttavia, imporre che questo fosse – previamente e necessariamente – abbinato all’identità dell’utente né, tanto meno, verificato: bastava dunque imputare un codice fiscale esistente e un numero di telefono qualsiasi per verificare se l’intestatario del codice fiscale fosse intitolato all’accesso, ossia positivo al Covid.

Orbene, considerato che:

  • ciascuno di noi dispone del codice fiscale di familiari o dipendenti o clienti o altri ancora;
  • anche se così non fosse, se si conoscono i dati anagrafici basilari di una persona (nome, cognome, sesso, data e luogo di nascita) ci vuole un attimo a ricostruire il suo codice fiscale, anche grazie a numerose applicazioni gratuite presenti sul web,

pare evidente che il sistema fosse configurato in modo assolutamente inadeguato a garantire la riservatezza e la sicurezza delle informazioni e, in specie, inidoneo a rispettare i dettami dell’art.32 del GDPR che impone l’adozione di misure atte a prevenire la divulgazione non autorizzata e l’accesso accidentale o illegale ai dati personali (tanto più se di carattere sanitario). Il Garante Privacy ha avviato un’indagine per verificare le responsabilità sull’accaduto.

Il secondo caso emerso in questi giorni è in qualche modo affine. Regione Lombardia  ha implementato dal 22 ottobre 2020 il servizio Tampone in un Click che consente ai cittadini di conoscere via Internet l’esito del test molecolare senza dover attendere la telefonata del proprio medico curante o la comunicazione da parte delle Autorità Sanitarie Territoriali. Per visualizzare gli esiti, infatti, basta inserire il codice fiscale, gli ultimi 5 numeri della tessera sanitaria e un’utenza di telefonia mobile su cui riceve il codice d’accesso temporaneo (OTP – One Time Password). Anche in questo caso è sufficiente inserire una numerazione telefonica qualsiasi, non essendovi alcun controllo informatico che ne verifichi l’associazione all’intestatario del codice fiscale e della tessera sanitaria. Dunque, basta conoscere i dati riportati sulla tessera sanitaria del sig. Rossi, inserire il proprio numero di telefono per ottenere via SMS il codice OTP, et voilà: è possibile consultare l’esito del tampone del Sig. Rossi.

Rispetto al caso Portale Cor di ATS Milano, il rischio di accessi non autorizzati a “Tampone in un Click” è inferiore perché se è vero che ricostruire un codice fiscale è piuttosto agevole, per conoscere il numero identificativo di una tessera sanitaria altrui occorre esserne in possesso o aver copia dei dati ivi riportati (tra cui, bene ricordarlo, c’è anche il codice fiscale). Il punto dolente è che, a ben vedere, non sono poche le persone che detengono tali dati a titolo non solo familiare ma anche professionale: ad esempio, il datore conosce quelli del proprio dipendente. Tutto questo senza contare che qualcuno potrebbe trovare una Tessera per strada o che nei meandri dark web siano disponibili interi DB di numeri di Carte Nazionali dei Servizi.

Il rischio di accessi non autorizzati sussiste e non può considerarsi marginale: stante che il risultato di un tampone molecolare è un’informazione personale molto sensibile, sarebbe doveroso che la consultazione dell’esito di un’analisi di laboratorio fosse subordinato a criteri di strong authentication come indicato, addirittura dal 2009, dalle Linee Guida in materia di refertazione online del Garante oltre che dall’Allegato A del DPCM 08/08/2013 che disciplina le “Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali (…)”.

Come visto, il servizio “Tampone in un Click” ricorre apparentemente ad un sistema di autenticazione multifattoriale, richiedendo all’utente il conferimento di due elementi: qualcosa che sa (estremi riportati su Tessera Sanitaria/CNS) + qualcosa che ha (un codice OTP d’accesso temporaneo). Ma se il numero di telefonia mobile non è stato pre-associato (magari dall’Ente che ha proceduto al prelievo molecolare) all’intestatario del fattore Tessera, non v’è alcuna certezza che la One Time Password sia inviata all’avente diritto: così il sistema “forte” perde di qualsiasi significato riducendo l’efficacia a quella di un’autenticazione semplice (che, visto la criticità del servizio in esame, non esiteremmo a definire debole).

La vulnerabilità di “Tampone in un Click” è stata oggetto di una segnalazione al Garante Privacy che, anche in questo caso, ha avviato istruttoria per appurare le responsabilità di Regione Lombardia ai sensi della normativa sulla protezione dei dati personali.

I casi del portale Milano Cor di ATS Milano e di “Tampone in un Click” di Regione Lombardia sono spia dello stato di arretratezza tecno-culturale in cui versano le nostre pubbliche amministrazioni quando si apprestano a fornire servizi digitali alla cittadinanza. In questi mesi l’emergenza sanitaria ha messo impietosamente a nudo pubbliche inefficienze come:

Come visto, i problemi non sono mancati anche in una delle regioni più avanzate d’Italia che – fino a poco tempo fa – si faceva un vanto dell’efficienza dei propri servizi digitali per la salute. Si badi: se il caso degli SMS errati di ATS Milano di maggio era probabilmente ascrivibile ad un (imperdonabile) errore tecnico, qui si è trattato di scelte informatiche mal concepite.

Può essere che la debolezza dimostrata dai sistemi lombardi qui considerati sia figlia di una sorta di volontà di non complicare le procedure di accesso ai servizi online da parte di una popolazione che annovera un buon numero di anziani e analfabeti digitali. Ma nel 2020 è inammissibile ragionare in questi termini (anche perché agli “emarginati digitali” deve esser sempre diritto ad un accesso fisico alle informazioni) ed è comunque inaccettabile che delle piattaforme pubbliche siano configurate sotto gli standard di legge facilitando la possibilità che i dati sulla salute dei cittadini siano facilmente accessibili da chiunque.

Fino a prova contraria, l’Ordinamento italiano impone che la condizione di positività al Covid-19 di un cittadino sia informazione molto riservata la cui conoscenza deve limitarsi ad una cerchia predeterminata di soggetti ben individuati: la notizia non deve in alcun modo essere disponibile a terzi qualsiasi. I cittadini lombardi e milanesi non meritano di subire anche questo.