Spendono 600mila euro al mese per proteggere la loro privacy. Alla prima verifica però, i lombardi scoprono che “non si ha evidenza dell’adozione di misure di sicurezza minime presso i fornitori”. E’ quanto si legge in un documento esclusivo, una minuziosa perizia delle misure di prevenzione che Lombardia Informatica, società in house di Regione Lombardia, utilizza per custodire i dati sanitari di 10 milioni di cittadini. La relazione è uscita dal perimetro della società a capitale regionale e alza il velo su quel che può riservare agli italiani la frontiera della digitalizzazione della sanità pubblica, quella che trasforma in dato elettronico l’operazione alla cistifellea, l’assunzione del farmaco retrovirale o la prenotazione di una tac.

Mentre facciamo esami, veniamo ricoverati o doniamo il sangue – senza quasi accorgercene – lasciamo dietro di noi una piccola miniera di informazioni digitali, beni “intangibili” per legge che possono trasformarsi in valuta sonante nelle mani di chi può farne commercio, mettendole magari a disposizione di società di assicurazioni, grandi cliniche e case farmaceutiche. Nel cosiddetto “deep web” quelle informazioni vengono già vendute a pacchetto, con tanto di tariffario: cinque euro per un’identità digitale generica, il doppio se completa di informazioni sanitarie come il codice di patologia (diagnosis code) o dati relativi al trattamento farmacologico. Da tempo la magistratura e il Garante della Privacy hanno concentrato la loro attenzione sul rischio di traffici illeciti di dati sanitari.

Anche senza scomodare i pirati informatici però ci sono dei rischi: quando ad esempio il sistema informativo socio-sanitario digitalizzato manifesta al suo interno falle tali da esporre – anche involontariamente – le informazioni sullo stato di salute dei cittadini. Ed è il rischio che si è corso in Lombardia, la regione che voleva essere alla testa della rivoluzione bit-sanitaria e finisce invece per porre con più urgenza che mai il tema della corretta conservazione dei dati sensibili degli italiani. Proprio la Lombardia infatti, insieme a Emilia e Veneto, si è offerta di validare le specifiche di dettaglio per l’interoperabilità dei sistemi regionali del “Fascicolo sanitario elettronico”, la cartella sanitaria virtuale che a regime dovrà custodire le informazioni cliniche e sanitarie di tutti gli assistiti dal SSN, compresi 100 miliardi di documenti clinici che produce ogni anno e 600 milioni di ricette dell’assistenza farmaceutica convenzionata. Il punto è: siamo sicuri?

Torniamo al documento riservato. Riporta, come detto, i risultati dell’audit interna che Lombardia Informatica (LISpa) ha commissionato a una società esterna per verificare se il fornitore cui affida i servizi informatici lo fa nel rispetto degli adempimenti previsti dalla legge (D. Lgs 196/2003) e dal Testo unico sulla Privacy. Si tratta di Santer, società del gruppo Reply Spa, colosso nazionale del settore con 10 sedi in Italia e 16 all’estero e un fatturato consolidato di 632 milioni di euro. Una parte rilevante degli utili arriva proprio da Regione Lombardia che dal 2005, tramite gara, gli affida il servizio di rilevazione e gestione della spesa farmaceutica. Al costo, per il contribuente, di circa 600mila euro al mese.

L’accertamento è scattato solo nel 2014 sull’ultimo contratto di servizio che copre il quadriennio 2012-2015. L’incarico va a Deloitte che, a sua volta, si avvale dell’isra​e​liana Maglan Europe Srl, società specializzata nella simulazione di attacchi informatici. Con quali esiti? In una nota Lombardia Informatica assicura che “i dati sensibili dei cittadini lombardi sono in sicurezza” e invita ad agire “con la massima responsabilità nel dare informazioni in merito a presunte carenze rispetto agli standard di privacy e sicurezza, onde evitare ingiustificati allarmi”. Le “presunte carenze” però, documenti alla mano, consistono in 56 “non conformità” in ordine alle soluzioni organizzative, amministrative e tecniche adottate a tutela dei dati trattati. Alcune così gravi da dovervi porre rimedio “immediatamente”. Leggiamole. “Non si ha evidenza dell’adozione di misure di sicurezza minime presso i fornitori”, viene indicato a proposito delle garanzie di riservatezza dei dati processati e custoditi all’interno del Centro Elaborazione Dati di Lombardia Informatica.

Leggiamo oltre: “Non si ha evidenza dell’esecuzione di un’analisi di rischi (…) Non è stato rilevato un processo strutturato di sviluppo del software che preveda tutte le fasi volte a garantire la sicurezza (…) Non vengono definite procedure e controlli per verificare la presenza di codice potenzialmente dannoso o vulnerabile nelle applicazioni”. Falle tecnologiche, ma non solo. L’audit ne rileva altre​, ascrivibili al fattore umano e organizzativo: “Le responsabilità gestionali vengono gestite in maniera informale con il coinvolgimento del personale sistemistico che opera nell’ambito tecnologico (…) Viene rilevata assenza di separazione di responsabilità tra chi opera in produzione e in ambienti di sviluppo test”. Tanto più che “I dati utilizzati dal software nell’ambiente di sviluppo e test sono una copia dei dati di produzione e contengono dati personali reali (…)”. Non è un dettaglio, visto che “Le utenze con relative password per l’accesso ai DB sono risultate vulnerabili a semplici attacchi” e dunque decifrate e “rese leggibili in chiaro”.

Insomma, ce n’è da far drizzare i capelli al Garante al quale però Regione Lombardia – titolare del trattamento dei dati – non risulta abbia mai inviato l’esito della verifica. Il documento potrebbe interessare anche le Procure, visto che la legislazione vigente assimila le inadempienze nella tutela dei dati sensibili a veri e propri reati (D.Lgs 196/2003). E invece è rimasto nel cassetto e il contratto da 7 milioni di euro l’anno, nel frattempo, non è stato rescisso dall’ente pubblico. “Per non interrompere il servizio”, spiega una nota della società. Sulla decisione, probabilmente, ha inciso anche la vicinanza ​de​lla naturale scadenza, fissata al 31 dicembre 2015. LISpa concede così al suo fornitore il beneficio di un ravvedimento operoso: un piano di rimedio per “procedere senza indugio alla rimozione delle vulnerabilità di livello alto e critico riscontrate”.

Lo fa consapevole della gravità della situazione, tanto da cautelarsi ​al tempo stesso ​su eventuali e futuri rischi, ricordando al fornitore che nel contratto si è impegnato a “manlevare e tenere indenne LISpa da tutte le conseguenze derivanti a eventuale inosservanza delle norme vigenti, ivi incluse le prescrizioni tecniche, di sicurezza, di igiene e sanitarie…”. Nella nota LISpa precisa anche che i costi dell’audit, circa 30mila euro, “sono stati integralmente riaddebitati al fornitore”. Ma è una magra consolazione. La penalità non cancella il fatto che per lungo tempo i dati sanitari dei cittadini siano stati esposti al rischio di vulnerabilità esterne e interne, come si legge nella documentazione. E’ successo con certezza documentale dal 2012 al 2015,  forse anche nei sei anni precedenti di affidamento del servizio. E non basta certo la penale a sollevare i dubbi sulla via italiana alla digitalizzazione sanitaria. Quella che promette di semplificarci la vita e ridurre i costi del servizio, ma che imbarca anche rischi e ombre per i quali non ci sono ricette né cure, ma solo bende.