Esami, patologie, ricette e medicine. Tutte le informazioni sulla nostra salute finiscono nei centri di calcolo delle Regioni che poi affidano la protezione dei dati sensibili (a peso d'oro) a ditte private. Un documento riservato di Lombardia Informatica rivela i rischi e le incognite di questo business. Dalla perizia emergono 56 "non conformità" agli obblighi di legge in materia di tutela dei dati. Il fornitore, che da dieci anni gestisce il servizio in solitaria, incassa però 600mila euro al mese.
Spendono 600mila euro al mese per proteggere la loro privacy. Alla prima verifica però, i lombardi scoprono che “non si ha evidenza dell’adozione di misure di sicurezza minime presso i fornitori”. E’ quanto si legge in un documento esclusivo, una minuziosa perizia delle misure di prevenzione che Lombardia Informatica, società in house di Regione Lombardia, utilizza per custodire i dati sanitari di 10 milioni di cittadini. La relazione è uscita dal perimetro della società a capitale regionale e alza il velo su quel che può riservare agli italiani la frontiera della digitalizzazione della sanità pubblica, quella che trasforma in dato elettronico l’operazione alla cistifellea, l’assunzione del farmaco retrovirale o la prenotazione di una tac.
Mentre facciamo esami, veniamo ricoverati o doniamo il sangue – senza quasi accorgercene – lasciamo dietro di noi una piccola miniera di informazioni digitali, beni “intangibili” per legge che possono trasformarsi in valuta sonante nelle mani di chi può farne commercio, mettendole magari a disposizione di società di assicurazioni, grandi cliniche e case farmaceutiche. Nel cosiddetto “deep web” quelle informazioni vengono già vendute a pacchetto, con tanto di tariffario: cinque euro per un’identità digitale generica, il doppio se completa di informazioni sanitarie come il codice di patologia (diagnosis code) o dati relativi al trattamento farmacologico. Da tempo la magistratura e il Garante della Privacy hanno concentrato la loro attenzione sul rischio di traffici illeciti di dati sanitari.
Anche senza scomodare i pirati informatici però ci sono dei rischi: quando ad esempio il sistema informativo socio-sanitario digitalizzato manifesta al suo interno falle tali da esporre – anche involontariamente – le informazioni sullo stato di salute dei cittadini. Ed è il rischio che si è corso in Lombardia, la regione che voleva essere alla testa della rivoluzione bit-sanitaria e finisce invece per porre con più urgenza che mai il tema della corretta conservazione dei dati sensibili degli italiani. Proprio la Lombardia infatti, insieme a Emilia e Veneto, si è offerta di validare le specifiche di dettaglio per l’interoperabilità dei sistemi regionali del “Fascicolo sanitario elettronico”, la cartella sanitaria virtuale che a regime dovrà custodire le informazioni cliniche e sanitarie di tutti gli assistiti dal SSN, compresi 100 miliardi di documenti clinici che produce ogni anno e 600 milioni di ricette dell’assistenza farmaceutica convenzionata. Il punto è: siamo sicuri?
Torniamo al documento riservato. Riporta, come detto, i risultati dell’audit interna che Lombardia Informatica (LISpa) ha commissionato a una società esterna per verificare se il fornitore cui affida i servizi informatici lo fa nel rispetto degli adempimenti previsti dalla legge (D. Lgs 196/2003) e dal Testo unico sulla Privacy. Si tratta di Santer, società del gruppo Reply Spa, colosso nazionale del settore con 10 sedi in Italia e 16 all’estero e un fatturato consolidato di 632 milioni di euro. Una parte rilevante degli utili arriva proprio da Regione Lombardia che dal 2005, tramite gara, gli affida il servizio di rilevazione e gestione della spesa farmaceutica. Al costo, per il contribuente, di circa 600mila euro al mese.
L’accertamento è scattato solo nel 2014 sull’ultimo contratto di servizio che copre il quadriennio 2012-2015. L’incarico va a Deloitte che, a sua volta, si avvale dell’israeliana Maglan EuropeSrl, società specializzata nella simulazione di attacchi informatici. Con quali esiti? In una nota Lombardia Informatica assicura che “i dati sensibili dei cittadini lombardi sono in sicurezza” e invita ad agire “con la massima responsabilità nel dare informazioni in merito a presunte carenze rispetto agli standard di privacy e sicurezza, onde evitare ingiustificati allarmi”. Le “presunte carenze” però, documenti alla mano, consistono in 56 “non conformità” in ordine alle soluzioni organizzative, amministrative e tecniche adottate a tutela dei dati trattati. Alcune così gravi da dovervi porre rimedio “immediatamente”. Leggiamole. “Non si ha evidenza dell’adozione di misure di sicurezza minime presso i fornitori”, viene indicato a proposito delle garanzie di riservatezza dei dati processati e custoditi all’interno del Centro Elaborazione Dati di Lombardia Informatica.
Leggiamo oltre: “Non si ha evidenza dell’esecuzione di un’analisi di rischi (…) Non è stato rilevato un processo strutturato di sviluppo del software che preveda tutte le fasi volte a garantire la sicurezza (…) Non vengono definite procedure e controlli per verificare la presenza di codice potenzialmente dannoso o vulnerabile nelle applicazioni”. Falle tecnologiche, ma non solo. L’audit ne rileva altre, ascrivibili al fattore umano e organizzativo: “Le responsabilità gestionali vengono gestite in maniera informale con il coinvolgimento del personale sistemistico che opera nell’ambito tecnologico (…) Viene rilevata assenza di separazione di responsabilità tra chi opera in produzione e in ambienti di sviluppo test”. Tanto più che “I dati utilizzati dal software nell’ambiente di sviluppo e test sono una copia dei dati di produzione e contengono dati personali reali (…)”. Non è un dettaglio, visto che “Le utenze con relative password per l’accesso ai DB sono risultate vulnerabili a semplici attacchi” e dunque decifrate e “rese leggibili in chiaro”.
Insomma, ce n’è da far drizzare i capelli al Garante al quale però Regione Lombardia – titolare del trattamento dei dati – non risulta abbia mai inviato l’esito della verifica. Il documento potrebbe interessare anche le Procure, visto che la legislazione vigente assimila le inadempienze nella tutela dei dati sensibili a veri e propri reati (D.Lgs 196/2003). E invece è rimasto nel cassetto e il contratto da 7 milioni di euro l’anno, nel frattempo, non è stato rescisso dall’ente pubblico. “Per non interrompere il servizio”, spiega una nota della società. Sulla decisione, probabilmente, ha inciso anche la vicinanza della naturale scadenza, fissata al 31 dicembre 2015. LISpa concede così al suo fornitore il beneficio di un ravvedimento operoso: un piano di rimedio per “procedere senza indugio alla rimozione delle vulnerabilità di livello alto e critico riscontrate”.
Lo fa consapevole della gravità della situazione, tanto da cautelarsi al tempo stesso su eventuali e futuri rischi, ricordando al fornitore che nel contratto si è impegnato a “manlevare e tenere indenne LISpa da tutte le conseguenze derivanti a eventuale inosservanza delle norme vigenti, ivi incluse le prescrizioni tecniche, di sicurezza, di igiene e sanitarie…”. Nella nota LISpa precisa anche che i costi dell’audit, circa 30mila euro, “sono stati integralmente riaddebitati al fornitore”. Ma è una magra consolazione. La penalità non cancella il fatto che per lungo tempo i dati sanitari dei cittadini siano stati esposti al rischio di vulnerabilità esterne e interne, come si legge nella documentazione. E’ successo con certezza documentale dal 2012 al 2015, forse anche nei sei anni precedenti di affidamento del servizio. E non basta certo la penale a sollevare i dubbi sulla via italiana alla digitalizzazione sanitaria. Quella che promette di semplificarci la vita e ridurre i costi del servizio, ma che imbarca anche rischi e ombre per i quali non ci sono ricette né cure, ma solo bende.