Data breach del FSE Molise, tutta la catena di trattamento dati è responsabile: ecco perché

Il Garante per la protezione dei dati personali ha sanzionato la Regione Molise, la società Molise dati SpA e Engineering ingegneria informatica SpA, per un importo ciascuno di 10.000 euro, per la violazione del principio di integrità e riservatezza, non adottando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e adeguate, fin dalla progettazione dei trattamenti effettuati nell’ambito del Fascicolo sanitario elettronico (FSE).

La Regione Molise, ai sensi dell’art. 33 del GDPR, ha notificato la violazione dei dati personali. La durata della violazione risulta contenuta nel periodo temporale che va dal 14 novembre al 30 dicembre 2022. E il numero di interessati coinvolti nella violazione è pari a 7.

Ecco i dettagli dell’intervento del Garante Privacy.

Data breach FSE, sanzione alla regione Molise: i dettagli

La Regione Molise è stata sanzionata in qualità di titolare del trattamento dei dati, Molise Dati SpA in qualità di responsabile del trattamento e Engineering Ingegneria Informatica SpA come sub-responsabile per la progettazione e la realizzazione del sistema informatico utilizzato per la gestione del FSE.

In particolare, Engineering è stata ritenuta responsabile per un errore di codifica nel software, inclusa la progettazione delle procedure di identificazione e autenticazione informatica (Identity Management), nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti per errore di codifica del software che ha generato una vulnerabilità nel sistema.

Inoltre, il Garante ha sanzionato Molise Dati SpA per non aver vigilato sull’operato di Engineering, in quanto sub-responsabile, garantendo così il rispetto degli obblighi di protezione dei dati.

Le cause tecniche della violazione

A determinare la vulnerabilità tecnica che ha causato la violazione dei dati è stato un errore di codifica nel software, attribuibile a Engineering Ingegneria Informatica SpA, che ha sviluppato il sistema informatico per la gestione del FSE.

In particolare, il bug permetteva a un utente autenticato come Assistito di manipolare l’URL del portale da “https://fse.regione.molise.it/fseui/dashboard” a “https://fse.regione.molise.it/fseui/list”, ottenendo così l’accesso a una pagina del sistema destinata ai soli professionisti sanitari (medici e dirigenti sanitari).

Questa manipolazione dell’URL ha consentito al soggetto terzo di eseguire una ricerca tra i dati anagrafici di altri cittadini, accedendo quindi ai fascicoli sanitari elettronici di persone non autorizzate.

Seppur la vulnerabilità fosse sfruttabile solo da utenti che conoscevano l’URL esatto e avevano intenzione di manipolarlo, la scoperta di tale vulnerabilità ha sollevato preoccupazioni significative sulla sicurezza del sistema, soprattutto per quanto riguarda i dati sanitari.

Nonostante la difficoltà nell’individuare e sfruttare questa vulnerabilità, la sua esistenza ha messo in luce una carenza nelle misure di sicurezza tecniche, che avrebbero dovuto essere identificate e corrette nelle fasi di testing del sistema.

In questo caso, la progettazione e lo sviluppo del sistema non hanno garantito una protezione adeguata contro potenziali manipolazioni dell’URL da parte degli utenti.

La responsabilità nell’intera catena

Il caso in esame sottolinea l’importanza della responsabilità dell’intera catena di trattamento dei dati, un concetto ben espresso nelle Linee guida 07/2020 adottate dal Comitato Europeo per la Protezione dei Dati il 7 luglio 2021, che trattano del ruolo del titolare e dei responsabili del trattamento ai sensi del GDPR.

Secondo tali linee guida, la responsabilità di garantire il rispetto degli obblighi di protezione dei dati non grava esclusivamente sul titolare del trattamento, ma anche sui responsabili e sui sub-responsabili del trattamento.

In particolare, i responsabili devono assicurarsi che anche i sub-responsabili rispettino gli obblighi derivanti dalla normativa, come quello di adottare misure di sicurezza adeguate.

Nel contesto del trattamento dei dati sanitari tramite il FSE, la catena di responsabilità diventa particolarmente complessa.

Sebbene la Regione Molise fosse il titolare del trattamento, le responsabilità si estendono anche a Molise Dati SpA, che ha avuto un ruolo centrale nella gestione operativa e nella supervisione dei sub-responsabili, e a Engineering, che ha progettato e implementato il sistema tecnico.

Le linee guida evidenziano come la responsabilità non possa essere delegata né ridotta, e il titolare, pur delegando operativamente alcune funzioni, mantiene il controllo e la responsabilità finale sulla protezione dei dati.

Nel caso in esame, la Regione Molise non ha garantito, attraverso Molise Dati SpA, il rispetto degli obblighi di protezione dei dati da parte di Engineering. Di conseguenza, non è avvenuto il monitoraggio adeguato della catena di responsabilità , causando la violazione.

Le misure tecniche post violazione

A seguito della violazione, la Regione Molise ha messo in atto una serie di interventi per affrontare e risolvere la situazione.

In primo luogo, ha condotto un’analisi approfondita per risalire alla causa del problema, esaminando i log di tutti i moduli applicativi a ogni livello e, successivamente, analizzando il codice per identificare e correggere il bug che aveva originato la vulnerabilità.

Una delle prime azioni concrete era quella di bloccare l’accesso diretto alla pagina “https://fse.regione.molise.it/fseui/list” attraverso una chiamata diretta da browser, impedendo così che utenti non autorizzati potessero sfruttare la vulnerabilità.

Inoltre, ha implementato un controllo all’interno del codice sorgente, per garantire che la stessa pagina non fosse visibile né utilizzabile dagli utenti con il ruolo di Assistito, evitando così che questi ultimi potessero accedere a funzionalità riservate a professionisti sanitari.

Conclusioni

La sanzione imposta dal Garante per la protezione dei dati personali, pur essendo significativa, non appare particolarmente gravosa, soprattutto considerando la natura e la gravità della violazione.

Nella sua valutazione, il Garante ha preso in considerazione vari fattori, tra cui la natura della vulnerabilità, che non era facilmente rilevabile né facilmente sfruttabile, richiedendo una conoscenza precisa dell’URL da parte di utenti malintenzionati.

Inoltre, la Regione Molise ha dimostrato un elevato livello di collaborazione, attivandosi rapidamente per risolvere il problema e notificando tempestivamente l’incidente, come richiede il Regolamento europeo sulla protezione dei dati (Gdpr).