Ritenendomi ormai parte in causa nella questione, desidero replicare a quanto scrive la ASL di Teramo nella sua risposta (pubblicata su CityRumors http://www.cityrumors.it/rubriche/spazio-ai-lettori/la-asl-di-teramo-senza-privacy-la-risposta-dellazienda-66869.html#.Ulz3NFC-18E e su PrimaDaNoi http://www.primadanoi.it/news/cronaca/543742/Referti-on-line-e-pericolo-privacy.html ).
"A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio".
Questo è ciò che recita un famoso aforisma ed in questo caso è quanto mai applicabile. La ASL di Teramo avrebbe dovuto limitarsi a chiedere scusa per l'incredibile svista e soprattutto a rimediare nel più breve tempo possibile al problema dal punto di vista tecnico. Ed invece insiste nel rendersi ridicola, con un rocambolesco arrampicamento sugli specchi, tirando in ballo addirittura la Casa Bianca!
Vorrei precisare che qui non stiamo affatto parlando di hackeraggio, il quale si basa sull'utilizzo di tecniche informatiche più o meno sofisticate e sullo sfruttamento di falle nascoste ed indesiderate di un sistema per poter accedere ai dati contenuti all'interno. In questo caso si tratta invece di un sistema deliberatamente progettato in questo modo, e riuscire ad accedere è facile tanto quanto saper contare (dato che per ricavare i codici di accesso è sufficiente seguire una banale progressione numerica, non serve essere esperti di informatica).
Il fatto che la sperimentazione sia "caratterizzata da un algoritmo semplice che già nelle prossime ore, come da programma, sarà più complesso" (cosa difficile da credere, ma soprassediamo), sarebbe l'ammissione da parte della ASL della propria incapacità sia dal punto di vista informatico che giuridico.
A livello informatico si tratta semplicemente di un abominio, tale da far rivoltare Alan Turing nella tomba. Non riesco a credere che in un progetto di questa portata ci possa essere tanto pressapochismo e tanta incompetenza a tutti i livelli. Si tratta di una ingenuità che non mi aspetterei neppure dal più incapace degli informatici, ed invece è passata inosservata a tutti, dall'ultimo dei programmatori che l'ha materialmente realizzata, al primo dei responsabili.
Dal punto di vista legale poi, non importa che si tratti di una sperimentazione o di un servizio pienamente operativo, il problema è che si stanno violando in modo palese i diritti dei cittadini. L'articolo 26 comma 5 del Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) recita in modo inequivocabile:
"I dati idonei a rivelare lo stato di salute non possono essere diffusi".
Sarebbe interessante chiedere un parere ad un legale esperto in queste tematiche. Io per non sbagliare ho segnalato immediatamente la questione al Garante per la privacy, senza tuttavia ricevere nessuna risposta.
Da notare poi che il servizio di accesso online ai referti viene applicato indistintamente a tutti gli utenti, senza che venga richiesto un esplicito consenso o fornita un'adeguata informazione. Probabilmente molti non fanno neppure caso al riquadro presente sulla scheda di ritiro referto e sono del tutto ignari del fatto che i propri dati sensibili sono esposti ad occhi indiscreti in questo modo.
Se da un lato posso concordare con il fatto che "i fruitori dei servizi, in media, non siano intenzionati a penetrare ogni sistema solo per il gusto di farlo", dall'altro il problema è che il pericolo non è costituito tanto dai fruitori dei servizi, quanto da potenziali utenti malintenzionati che potrebbero entrare in possesso dei dati e farne un uso illegittimo. Sarebbe come dire che possiamo lasciare tranquillamente lasciare la nostra auto parcheggiata davanti a casa con le chiavi sul cruscotto, dato che, in media, i nostri vicini non sono dei ladri. Posso garantire che i servizi online basati su tecnologie web vengono quotidianamente bombardati da attacchi informatici di varia natura, per cui non si può in alcun modo prescindere dall'avere un adeguato livello di protezione, soprattutto in presenza di dati sensibili e soprattutto se tali dati riguardano decine di migliaia di cittadini.
Anche nel caso in cui l'algoritmo di generazione delle credenziali della ASL sia stato modificato oggi (cosa che non ho potuto verificare), il problema permane per coloro che hanno effettuato gli esami precedentemente e che quindi hanno credenziali generate con la vecchia modalità. Per questi il rischio di accessi indesiderati è tuttora presente (cosa che ho potuto verificare personalmente).
Relativamente al sindaco Mastromauro, impropriamente citato nella risposta della ASL, preciso che quel giorno si trovava in fila per effettuare il prelievo e non per ritirare il referto. Sarebbe interessante chiedergli cosa ne pensa del fatto che i risultati del suo esame siano potenzialmente a disposizione di chiunque, magari anche di chi ne potrebbe fare un uso improprio.
In conclusione, la ASL di Teramo, anziché "compiacersi" delle proprie figuracce, dovrebbe rimboccarsi le maniche e pensare a migliorare i propri servizi, anche e soprattutto quelli sanitari.
Marco Chiesi
Commenta
Commenti