Sanzionata la Regione Molise dal Garante privacy
- Gabriele De Luca
- 3 feb
- Tempo di lettura: 2 min
Aggiornamento: 6 feb
Il Garante per la privacy ha recentemente inflitto tre sanzioni da 10mila euro ciascuna alla Regione Molise, alla Società Molise Dati e a Engineering Ingegneria Informatica S.p.A. a seguito dell'intrusione nel Portale regionale FSE avvenuta tra novembre e dicembre 2022.
Questo episodio sottolinea, ancora una volta, l'importanza di dotarsi di un Data Protection Officer (DPO) competente e qualificato per prevenire violazioni di questa natura.
Il data breach, derivante da una vulnerabilità del sistema informatico, ha consentito a un cittadino autenticato con il ruolo di "assistito" di accedere, attraverso la manipolazione della URL, a informazioni sensibili di sette individui registrati nell'Anagrafe regionale del Molise. I dati compromessi comprendevano informazioni anagrafiche, di residenza e domicilio, nonché documenti e referti sanitari.
L'indagine condotta dal Garante ha rivelato che la violazione era stata causata da un bug di sicurezza nel sistema di autenticazione del Fascicolo Sanitario Elettronico (FSE) della Regione Molise. La Regione, in qualità di titolare del trattamento, e la Società Molise Dati, responsabile dell'implementazione tecnica, non hanno effettuato le opportune verifiche per individuare e correggere tale vulnerabilità nel software sviluppato da Engineering S.p.A.
Engineering S.p.A., incaricata dello sviluppo tecnico del Portale, non aveva adottato misure di sicurezza adeguate per limitare l'accesso degli utenti alle sole informazioni di loro pertinenza. Questa carenza ha permesso a un soggetto terzo di superare la procedura di autenticazione e sfruttare funzionalità non autorizzate mediante la modifica della URL.
Questa vicenda mette in luce la necessità impellente di un DPO altamente qualificato, in grado di garantire un'adeguata supervisione delle misure di sicurezza informatica e di prevenire simili violazioni. La presenza di un professionista con competenze specifiche in materia di protezione dei dati e sicurezza dei sistemi informatici non è solo un requisito normativo, ma una garanzia essenziale per la tutela delle informazioni sensibili dei cittadini, ed è in grado di scongiurare multe consistenti.
Un DPO con team strutturato avrebbe potuto individuare tempestivamente le carenze del sistema e suggerire interventi correttivi, evitando così le pesanti conseguenze di questa violazione.
Comments