Una enorme e grave falla di sicurezza è stata scoperta in Milano COR, il portale istituito dall’Ats (Agenzia per la tutela della salute) della città meneghina per dare supporto e informazioni ai cittadini positivi al coronavirus durante l’isolamento domiciliare. Una volta entrati nel sito, come evidenziato dal Corriere della Sera, si inserisce il codice fiscale di qualsiasi persona, oltre ad un numero telefonico casuale, per scoprire se ha un account sulla piattoforma, quindi se è affetto da Covid. Una leggerezza incredibile, visto che il codice fiscale è un dato che si ricava facilmente partendo dai più elementari dati anagrafici. La procedura in questione è stata rimossa, quindi ora il sito è accessibile solo agli utenti già iscritti tramite la tradizionale autenticazione con e-mail e password. Considerando che al 25 ottobre la piattaforma aveva già 3.433 pazienti, per oltre una settimana tutti sono stati potenzialmente identificabili. Al momento non è ancora chiaro se sia stata implementata una procedura alternativa per chi deve effettuare per la prima volta la registrazione.
MILANO COR, ORA ATS RISCHIA SANZIONE DI 20 MILIONI
Il Garante della privacy ha aperto un’istruttoria e mandato all’Ats una richiesta di informazioni per fare chiarezza su quanto accaduto con Milano COR. In particolare, vuole conoscere il numero delle persone di cui sono stati resi disponibili i dati, anche indirettamente, i referti di positività, quanti diari clinici ci sono all’interno del portale e quali misure di sicurezza sono state adottate e si pensa di adottare in futuro per evitare che si ripresenti il problema. Ai sensi del Gdpr europeo sulla privacy, Ats di Milano ora rischia una sanzione fino a 20 milioni di euro per questa falla che ha messo a repentaglio una mole di dati molto sensibili. Al Corriere della Sera l’agenzia meneghina ha confermato di aver ricevuto la richiesta di informazioni e di essere al lavoro per rispondere entro il termine richiesto di una settimana. Ma non è l’unico problema per Regione Lombardia. L’associazione Privacy Network ha inviato al Garante un esposto in merito ad un falla simile per “Esito tampone in un click“, raggiungibile dal Fascicolo sanitario elettronico nel sito della Regione. In questo caso, però, servono anche le ultime cinque cifre della tessera sanitaria. Ma il rischio è lo stesso. Il Garante, dunque, valuterà se intervenire.
