La stampa sarda (ma la notizia è stata subito ripresa in Rete) ha dato molto rilievo al fatto che sia stata denunziata una (presunta) pericolosa vulnerabilità della rete wireless di una Unità Sanitaria Locale. La denuncia è stata fatta oggetto di un’interrogazione al Consiglio Regionale Sardo, reperibile sul
sito del promotore .
Stando a quanto si legge su Informatica-oggi : “Con l’aiuto di esperto d’informatica, sono penetrati, tramite un punto d’accesso wireless a Cagliari, nella rete dell’Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici”. Il quotidiano La Sardegna del primo marzo è ancora più esplicito: “Cartelle cliniche e dati sensibili di numerosi pazienti possono essere visionati e scaricati senza grandi difficoltà. Se si ha dimestichezza con la rete wireless (connessione senza fili) basta appostarsi sotto la finestra di alcuni uffici dell’azienda sanitaria con un pc o un telefono cellulare wi-fi e in meno di dieci minuti, con un semplice programma (crack) di ricerca wi-fi, il gioco è fatto”. L’articolo riporta anche che “i consiglieri, dopo le segnalazioni di alcuni minorenni che hanno ammesso di aver scaricato documenti sanitari dell’ASL 8 tramite connessione wi-fi, hanno ingaggiato un esperto di informatica per verificare”.
La risposta della ASL locale non si è fatta attendere: sempre Informatica-oggi riporta che “L’Asl ipotizza che l’accesso denunciato abbia riguardato un pc inserito in una rete locale, nel quale peraltro erano presenti file riguardanti dati sensibili di pazienti: l’azione del tutto volontaria e niente affatto casuale è molto grave . Perciò l’Azienda ha segnalato l’episodio all’autorità giudiziaria.” Da parte dell’Azienda Sanitaria si precisa anche che in ogni caso l’accesso sarebbe protetto da password.
La notizia fornisce lo spunto per alcune considerazioni, sia in tema di accesso abusivo a sistema informatico, sia con riguardo all’adozione delle misure di sicurezza in ambito sanitario, ai sensi del Codice della Privacy.
Basandosi su quanto riportato, sembrerebbe che si sia proceduto a forzare la chiave WEP di cifratura, e si sia poi potuto accedere liberamente ai dati contenuti nei sistemi della ASL.
Si può supporre che fosse stata implementata una cifratura con chiave WEP, in quanto tutte le fonti riferiscono che la stessa sia stata “craccata” in pochi minuti. D’altronde, si tratta di una vulnerabilità oramai assodata, ed una banalissima ricerca in Rete fornisce tutti i tools per superare questa chiave di cifratura.
La facilità con cui la cifratura è stata superata, e l’altrettanto (apparente) facilità con cui si è potuto accedere ai dati contenuti nella rete locale (stando a quanto riferito dai quotidiani), non deve peraltro trarre in inganno.
La giurisprudenza formatasi in tema di accesso abusivo a sistema informatico (art. 615 ter cod. pen.), ritiene infatti che la configurabilità di tale reato richieda appunto che il sistema sia “protetto da misure di sicurezza” e che l’agente, per accedervi, abbia in qualche modo neutralizzato tali misure.
Ora, nel caso di specie, il sistema sembrerebbe effettivamente protetto da una misura di sicurezza (stando a quanto riportato dalla stampa), ancorché facilmente rimovibile e sicuramente inappropriata, vista la natura dei dati trattati.
Il fatto che la misura sia inidonea o insufficiente (si pensi ad esempio anche ad un filtraggio degli accessi a livello di MAC address) non può comunque ritenersi equivalente all’ipotesi in cui le misure siano totalmente assenti (nel qual caso, come più volte ribadito dalla Suprema Corte, il reato non sussisterebbe – vd ad esempio Corte di Cassazione, Sez. VI, 27 ottobre 2004, n. 46509, su Penale.it ).
In sintesi, anche una protezione inefficace e antiquata, costituisce comunque una “misura di sicurezza”.
Occorre però svolgere alcune riflessioni in tema di trattamento di dati personali, sotto il profilo delle misure di sicurezza, e non solo delle misure minime, previste dall’All. B. del D.lgs 196/03, ma anche delle misure “idonee” di cui all’art. 31 del Codice della Privacy.
L’all. B del Codice, difatti, impone l’adozione di una serie di misure di sicurezza, che rappresentano lo standard minimale ed imprescindibile per ogni sistema che tratti dati personali, e la cui mancata adozione è sanzionata da precetto penale.
Tra queste misure minime, oltre a quelle comuni (adozione di credenziali di autenticazione, antivirus, firewall, etc.) ve ne sono alcune che devono essere implementate in caso di trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
In particolare, occorre adottare tecniche di cifratura o codici identificativi, anche al fine di consentire il trattamento disgiunto di tali dati dagli altri dati personali che permettono di identificare direttamente gli interessati.
Ma, aldilà delle misure minime, condizione per la liceità dei trattamenti è che vengano rispettati gli obblighi di sicurezza di cui all’art. 31 del Codice, e che pertanto i dati personali siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
E, prendendo spunto dal “caso” così come descritto dai media, sembra difficile sostenere che l’adozione di una cifratura WEP per proteggere i dati di una ASL sia da ritenersi misura “idonea”, proprio perché è oramai un dato assodato che si tratti di una tecnica di cifratura assolutamente insufficiente e superata, da evitare anche in ambito casalingo, e assolutamente inaccettabile in una struttura sanitaria.
In conclusione, ed aldilà delle (facili) polemiche, la notizia potrebbe servire come spunto per iniziare una verifica seria e capillare circa l’effettiva adozione delle misure di sicurezza (non solo informatiche) nella sanità e, più in generale, nell’ambito della Pubblica Amministrazione.
Avv. Giovanni Battista Gallus
www.giuristitelematici.it