C’è un buco nella gestione dei dati dello screening di massa per il coronavirus nelle Marche. Sono centinaia di migliaia i profili degli utenti, completi di anagrafica e cartelle cliniche, potenzialmente accessibili da chiunque con pochi semplici passaggi, senza nemmeno il bisogno di tentare azioni di hacking troppo complesse. Basta cambiare un numero, letteralmente, e il gioco è fatto.
Per accedere alla app Smart4You, sviluppata dalla Nbs Srl di San Benedetto del Tronto e in uso per tutte le pratiche digitali delle aziende sanitarie delle province di Ascoli e Macerata, serve un Codice QR (il crittogramma a moduli neri che memorizza informazioni destinate a essere lette su uno smartphone) che viene rilasciato automaticamente su un talloncino che viene consegnato a chiunque decida di sottoporsi allo screening che da dicembre va avanti a macchia di leopardo su tutto il territorio regionale. Questo Codice QR consente l’accesso alla app Smart4You e non è altro che un codice numerico che identifica l’utente e gli dà accesso a una serie di servizi, tra cui la consultazione del proprio dossier medico con le cartelle cliniche, le varie prenotazioni ospedaliere effettuate e i relativi esiti.
Il codice numerico, però, non è elaborato in maniera casuale, ma segue un semplice criterio progressivo: a ogni numero corrisponde un utente e basta cambiare una cifra per accedere al profilo di qualcun altro. Certo, cambiando nome utente e password si evita ogni rischio, ma degli oltre ottantatremila cittadini marchigiani che, sin qui, si sono fatti fare il tampone non sono poi molti quelli che hanno deciso di completare la registrazione, senza considerare che il profilo con i dati e i vari documenti esiste già per tutti i cittadini marchigiani, la cui anagrafica viene custodita, secondo l’informativa sulla privacy della app, «dall’azienda intestataria del sito», ovvero la Nbs Srl, che dovrebbe garantirne la sicurezza.
Si tratta di dati di terzo livello, ovvero informazioni strettamente personali, che dovrebbero essere inaccessibili a chiunque per ovvi motivi: oltre a tutta la parte anagrafica (nome, cognome, data e luogo di nascita, residenza e domicilio) ci sono le informazioni di natura medica, privatissime e, di conseguenza, preziosissime sia per chi decidesse di appropriarsene con cattive intenzioni, sia da un punto di vista, per così dire, di mercato: siamo oltre il livello del segreto industriale, possedere i dati medici di centinaia di migliaia di persone vale un capitale. Inutile, o quasi, a questo punto specificare che spiare o appropriarsi di dati altrui senza consenso esplicito è un reato. Allo screening marchigiano si accede anche attraverso il sito cureprimarie.it (il «network sanitario del professionista per il cittadino», come si legge sulla schermata iniziale), sempre di Nbs, e qui c’è un altro buco piuttosto rilevante: la prenotazione del tampone si effettua attraverso l’inserimento del proprio codice fiscale nell’apposito form.
Il problema è che, una volta inserito questo, il proprio numero di telefono compare in automatico. In altre parole, basta avere o calcolare il codice fiscale di qualsiasi cittadino delle province di Ascoli e Macerata per ottenerne pure il contatto telefonico.
La Nbs Srl, azienda specializzata in «sistemi di ultima generazione» con una certa comprovata esperienza nell’ambito sanitario: negli ultimi anni sono diversi gli appalti da centinaia di migliaia di euro vinti con l’Asur delle Marche, oltre a decine di collaborazioni a vario titolo attivate con altre regioni e province italiane, da nord a sud.