LA FALLA

Referti on line e pericolo privacy, Asl Teramo: «progetto sperimentale ma miglioreremo»

Ma l'ingegner Chiesi scrive al Garante: «troppa ingenuità»

Redazione PdN

Reporter:

Redazione PdN

Letture:

3809

Referti on line e pericolo privacy, Asl Teramo: «progetto sperimentale ma miglioreremo»




TERAMO. Dopo la segnalazione di un nostro lettore sul pericolo privacy per i referti on line sul sito dell’Asl di Teramo proprio l’azienda sanitaria locale risponde e spiega i problemi tecnici.
«Ringraziamo Primadanoi e l'ingegner Marco Chiesi per averci segnalato la disfunzione relativa al servizio di ricevimento risultati analisi online della nostra Ausl».
Come ci aveva raccontato Chiesi il sistema adoperato per assegnare codici utenti e codici segreti non è stato dei più sicuri.
L’azienda sanitaria spiega che «come dimostra il fatto che non abbiamo ancora pubblicizzato il nuovo servizio, si tratta di una forma per il momento sperimentale. Come tale è caratterizzata da un algoritmo semplice, che già nelle prossime ore, come da programma, sarà più complesso e che dalla fine del mese (conclusa la sperimentazione), sarà completamente diverso». 

Quando infatti sarà a pieno ritmo, spiega la direzione sanitaria, «il servizio sarà attivo con un sistema in cui saranno gli stessi pazienti a scegliere la propria password. Siamo comunque molto soddisfatti che già in questa prima fase ci sia stata tanta attenzione, che non ci aspettavamo di certo».
Tutto quindi dovrebbe migliorare a partire dalle prossime settimane. «E' anche vero, però», continua la Asl, «che il meccanismo della privacy non è mai abbastanza sicuro se è vero, come è vero, che più di dieci anni fa un tecnico dell'ufficio informatico della Università de L'Aquila stupì il mondo entrando, con un'operazione di hackeraggio, nel sistema informatico della Casa Bianca. Ovviamente faremo di tutto (ed è garantito che il sistema attivo da fine mese sarà sicurissimo), per garantire la privacy dei cittadini che usufruiranno del servizio ma riteniamo nel contempo che i fruitori dei servizi, in media, non siano intenzionati a penetrare ogni sistema solo per il gusto di farlo. Intanto, nel ringraziare ancora, ci compiacciamo di nuovo del favore che il nostro nuovo servizio riscuote e abbiamo testato quanto ce ne sia bisogno, se il sindaco di Giulianova, come l'articolo illustra, questa mattina era in fila allo sportello per un semplice ritiro di risultati di laboratorio. Siamo lieti di potere offrire già da oggi il servizio, più sicuro, alla cittadinanza, confermando che sarà sicurissimo tra un paio di settimane».

 L’INGEGNERE REPLICA: «TROPPA INGENUITA’»

«La ASL di Teramo avrebbe dovuto limitarsi a chiedere scusa per l'incredibile svista e soprattutto a rimediare nel più breve tempo possibile al problema dal punto di vista tecnico. Ed invece insiste nel rendersi ridicola, con un rocambolesco arrampicamento sugli specchi, tirando in ballo addirittura la Casa Bianca», replica l’ingegner Marco Chiesi che non ha apprezzato la risposta dell’azienda sanitaria.

Chiesi sottolinea che il problema che lui ha portato alla luce non ha niente a che vedere con l’hackeraggio: «qui si tratta invece di un sistema deliberatamente progettato in questo modo, e riuscire ad accedere è facile tanto quanto saper contare (dato che per ricavare i codici di accesso è sufficiente seguire una banale progressione numerica, non serve essere esperti di informatica). Il fatto che la sperimentazione sia "caratterizzata da un algoritmo semplice che già nelle prossime ore, come da programma, sarà più complesso" (cosa difficile da credere, ma soprassediamo), sarebbe l'ammissione da parte della ASL della propria incapacità sia dal punto di vista informatico che giuridico. A livello informatico si tratta semplicemente di un abominio, tale da far rivoltare Alan Turing nella tomba. Non riesco a credere che in un progetto di questa portata ci possa essere tanto pressapochismo e tanta incompetenza a tutti i livelli. Si tratta di una ingenuità che non mi aspetterei neppure dal più incapace degli informatici, ed invece è passata inosservata a tutti, dall'ultimo dei programmatori che l'ha materialmente realizzata, al primo dei responsabili».

Dal punto di vista legale poi, «non importa», continua l’ingegnere, «che si tratti di una sperimentazione o di un servizio pienamente operativo, il problema è che si stanno violando in modo palese i diritti dei cittadini. L'articolo 26 comma 5 del Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196) recita in modo inequivocabile: "I dati idonei a rivelare lo stato di salute non possono essere diffusi"».

Chiesi sostiene che sarebbe interessante chiedere un parere ad un legale esperto in queste tematiche, lui intanto ha segnalato la questione al Garante per la privacy, «senza tuttavia ricevere nessuna risposta», fino a questo momento.

«Se da un lato posso concordare con il fatto che "i fruitori dei servizi, in media, non siano intenzionati a penetrare ogni sistema solo per il gusto di farlo", dall'altro il problema è che il pericolo non è costituito tanto dai fruitori dei servizi, quanto da potenziali utenti malintenzionati che potrebbero entrare in possesso dei dati e farne un uso illegittimo.  Sarebbe come dire che possiamo lasciare tranquillamente lasciare la nostra auto parcheggiata davanti a casa con le chiavi sul cruscotto, dato che, in media, i nostri vicini non sono dei ladri. Posso garantire che i servizi online basati su tecnologie web vengono quotidianamente bombardati da attacchi informatici di varia natura, per cui non si può in alcun modo prescindere dall'avere un adeguato livello di protezione, soprattutto in presenza di dati sensibili e soprattutto se tali dati riguardano decine di migliaia di cittadini».

Anche nel caso in cui l'algoritmo di generazione delle credenziali della ASL sia stato modificato oggi «il problema permane per coloro che hanno effettuato gli esami precedentemente», continua Chiesi, «e che quindi hanno credenziali generate con la vecchia modalità. Per questi il rischio di accessi indesiderati è tuttora presente (cosa che ho potuto verificare personalmente)».

Relativamente al sindaco Mastromauro, impropriamente citato nella risposta della ASL, «preciso che quel giorno si trovava in fila per effettuare il prelievo e non per ritirare il referto. Sarebbe interessante chiedergli cosa ne pensa del fatto che i risultati del suo esame siano potenzialmente a disposizione di chiunque, magari anche di chi ne potrebbe fare un uso improprio».

«In conclusione, la ASL di Teramo, anziché "compiacersi" delle proprie figuracce, dovrebbe rimboccarsi le maniche e pensare a migliorare i propri servizi, anche e soprattutto quelli sanitari».