Dettaglio news
Scoprire chi è malato di Covid col codice fiscale: l'ATS Milano mette offline il sito e corregge la falla


mercoledì 4 novembre 2020
di s-mart.biz



Bastava inserire il codice fiscale di un cittadino per scoprire la sua positività o meno al Covid: questo il grave bug denunciato da una testata online rispetto al portale per la gestione dell'emergenza Covid di ATS, l'Agenzia per la Tutela della Salute.

ATS ha creato un database contenente i dati solo ed esclusivamente delle persone risultate positive. Tra i dati inseriti, oltre ovviamente la positività, ci sono i dati anagrafici e il codice fiscale. L'utente che deve conoscere il risultato di un test o tampone, deve solo inserire il proprio codice fiscale e il numero di telefono: se è risultato o è stato positivo, il sistema dichiarerà che l'account è già registrato, confermando quindi la positività. La volontà di AST è nobile, va detto: l'idea era quella di garantire alle persone un meccanismo veloce e immediato di verifica del proprio status di salute, digitalizzato e snello, anche nella volontà di ridurre il carico di lavoro sui call center regionali. Il cittadino risultato positivo può, tramite lo stesso portale, ricevere una serie di informazioni utili per guidarlo sui prossimi passi da seguire: eventuale quarantena o isolamento, prenotazione ulteriore tampone ecc..

Il problema è stata la pessima realizzazione tecnica di una buona idea: se dal punto di vista funzionale infatti la procedura è semplice, dal punto di vista della privacy confligge apertamente col GDPR. E' vero che il sistema non dava accesso all'intero fascicolo sanitario del soggetto, ma ciò non toglie che col semplice inserimento del codice fiscale (che, ricordiamo, non è affatto un dato riservato e che, per esempio, può banalmente essere calcolato online avendo i dati anagrafici della persona a disposizione) si possa venire a conoscenza della positività di chiunque.

La fotografia sotto mostra la schermata che viene visualizzata da chiunque inserisca il codice fiscale afferente ad una persona positiva:

I giornalisti della testata online hanno effettuato anche una controverifica: inserire nel database il codice fiscale di una persona sottoposta a tampone ma risultata negativa. Ed ecco il risultato, l'account non risulta esistente e quindi è confermata la negatività

 

ATS mette offline il sito
Dopo la pubblicazione dell'articolo, l'ATS Milano ha deciso di mettere temporaneamente offline il sito, probabilmente in attesa di correggere il problema che, effettivamente, potrebbe costare pesanti sanzioni. Dopo qualche ora il sito torna on, ma è scomparso il sistema di registrazione via SMS, che permetteva di scorprire la positività al Covid tramite codice fiscale. Non è chiaro, ad ora quindi, come i nuovi utenti possano registrarsi.

   




CONDIVIDI QUESTA PAGINA!