La combinazione numero di cellulare e codice fiscale rendeva semplice identificare chi è risultato positivo al coronavirus. Aperta un’istruttoria

Bastavano il cellulare e il codice fiscale di un cittadino della provincia di Milano per sapere se era risultato positivo al Covid-19. Inserendo quei due dati su Milano Cor, il portale creato dall’agenzia della tutela della salute ambrosiana (Ats) per raccogliere informazioni sui contagiati nella provincia più colpita d’Italia dalla seconda ondata di coronavirus, il sito dichiarava in chiaro se l’utente era già registrato. Un indizio più che sufficiente per inquadrarlo come un caso positivo al test del Sars-Cov-2. La falla nel sistema di protezione delle informazioni è venuta presto a galla e nei giorni scorsi è stata denunciata pubblicamente, tra gli altri da Matteo Flora, fondatore della società di reputazione digitale The fool. E a stretto giro, a quanto apprende Wired, si è mosso l’Autorità garante per la protezione dei dati, che ha aperto un’istruttoria sul portale di Ats Milano.

Il buco nella sicurezza

Il sito è stato lanciato a fine ottobre. Come ha spiegato allora il direttore dell’agenzia locale, Walter Bergamaschi, l’obiettivo era alleggerire il lavoro di monitoraggio e assistenza delle persone che sono risultate positive al test del Covid-19. Insieme al risultato dell’esame arrivava anche un sms per registrarsi al sito Milano Cor, che offre informazioni sulle misure di prevenzione e isolamento, un diario clinico per segnalare l’insorgenza di eventuali sintomi, un sistema di prenotazione dei tamponi fai da te e uno schedario per raccogliere i dati di parenti e conviventi che devono osservare a loro volta la quarantena (e per i quali si può sempre prenotare in autonomia il test al termine dell’isolamento fiduciario).

L’obiettivo era scaricare l’Ats di Milano da alcune attività di contact tracing manuale, attraverso le interviste telefoniche, dato che l’impennata dei contagi ha mandato in crisi la catena del tracciamento. Secondo i dati forniti da Bergamaschi e riferiti da Il Giorno, a fine ottobre 3.433 pazienti si erano iscritti al sito. Di questi, 2.026 hanno compilato il diario dei sintomi e fornito i dati di 3.169 conviventi. Il problema è che, pur con le buone intenzioni di semplificare la comunicazione verso i cittadini, Ats Milano non ha previsto un sistema che ne tutelasse la privacy.

L’indagine del Garante

Per fare il login servivano il codice fiscale e il numero di cellulare. Questa formula non dava accesso al fascicolo online, tuttavia, se le chiavi erano presenti nei suoi database, restituiva la schermata “Utente già registrato“. Una prova sufficiente per capire che la persona è positiva al Covid-19 (o lo è stata in passato). E i dati per fare due più due non sono dei più difficili da reperire, come evidenzia Flora nel suo video: “Tutti i dipendenti di un’azienda, dove io per le paghe ho cellulare e codice fiscale; tutti gli studenti di una classe; tutti i membri di un’associazione; tutte le persone che sono andate in un certo hotel; tutti i clienti e fornitori“. E dire che, come ricorda l’esperto, questo tipo di errata progettazione dei sistemi di protezione dei dati è nota da tempo: “Da dieci anni si parla di come questa cosa non andrebbe fatta“.

Le segnalazioni, come quella contenuta nel video di Flora o quella firmata dall’associazione Privacy Network, sono state raccolte dal Garante della privacy. Il collegio guidato da Pasquale Stanzione ha inviato ai vertici una richiesta di informazioni per capire cos’ha non ha funzionato. L’autorità vuole conoscere il numero delle persone di cui sono stati resi disponibili, anche se in via indiretta, i referti, quelle che hanno compilato il diaro online, le misure di sicurezza già adottate, le azioni per chiudere la falla e la base giuridica del trattamento dei dati. Nel frattempo, come riferisce Dday, dopo aver messo offline il sito, Ats Milano lo ha riattivato senza la contestata funzione sms.