Con tre sanzioni di 10 mila
euro ciascuna, irrogate rispettivamente alla Regione Molise,
alla Società Molise Dati, e a Engineering ingegneria informatica
spa, il Garante della privacy ha definito i procedimenti aperti
dopo l'intrusione nel Portale regionale del Fascicolo sanitario
elettronico (Fse) verificatasi tra novembre e dicembre 2022.
Il data breach, causato da una vulnerabilità̀ del sistema
informatico, aveva consentito a un cittadino autenticato con il
ruolo di 'assistito', attraverso una manipolazione della Url, di
effettuare una ricerca di informazioni relative a sette
individui presenti nell'Anagrafe regionale del Molise.
L'accesso non autorizzato aveva riguardato i dati anagrafici,
di residenza e domicilio, e quelli contenuti in documenti e
referti sanitari degli utenti coinvolti. Nel corso dell'attività
istruttoria, il Garante ha accertato che la violazione era stata
provocata da un bug di sicurezza nel sistema di autenticazione
con cui si accedeva al Fse.
Nel caso specifico, l'Autorità ha sanzionato la Regione
Molise in quanto titolare del Portale e la Società Molise Dati,
in qualità di responsabile dell'attività di implementazione
tecnica del Fse, per non aver effettuato verifiche finalizzate a
valutare l'eventuale presenza di simili errori nel software
sviluppato da Engineering, la società di cui quest'ultima si era
avvalsa per lo sviluppo delle componenti tecniche del Portale.
Riproduzione riservata © Copyright ANSA
