Attraverso lo strumento della segnalazione, previsto dall’art. 144 Cod. Privacy, ai sensi del quale “Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento.”, il team legale di Privacy Network ha portato a conoscenza dell’Autorità Garante per la protezione dei dati personali alcune criticità riguardanti la sicurezza del sistema “Tampone in un click” istituito dalla Regione Lombardia che consente l’accesso alla refertazione sui test relativi al COVID-19.
In conseguenza a tale segnalazione, l’Authority ha aperto un’istruttoria a riguardo. È stata portata all’attenzione dell’Authority una criticità riguardanti il sistema di autenticazione a due fattori adottato, con l’invio del codice OTP sul proprio numero di telefono. Il problema è però che il codice di autenticazione, in questo modo, viene inviato al numero di telefono inserito nel modulo e non ad un numero già associato all’utente, vanificando in larga parte l’efficacia della misura, dal momento che è lasciato nella piena disponibilità del compilatore.
Insomma: vero è che la strong authentication (e dunque, l’autenticazione a due o più fattori) rappresenta una misura di sicurezza per gli account e la gestione degli accessi, ma richiede una corretta progettazione ed implementazione. I fattori di autenticazione sono qualcosa che sai (e dunque: password, PIN o, in questo caso, codice fiscale e numero tessera sanitaria), qualcosa che hai (e dunque: smartphone, token), qualcosa che sei (e dunque: riconoscimento biometrico come impronta digitale o viso). L’autenticazione diventa a due (o più) fattori quando i due (o più) fattori sono però di natura diversa. In questo caso sono stati selezionati invece fattori di identica natura (qualcosa che sai: codice fiscale, numero tessera sanitaria, numero di telefono), consentendo in sostanza un accesso tramite autenticazione semplice.
Il problema di sicurezza sollevato è così piuttosto chiaro: tramite questo sistema di accesso, chiunque abbia copia della tessera sanitaria di una persona è in grado di consultare l’esito del tampone, dal momento che gli unici dati richiesti per l’autenticazione consistono in codice fiscale, ultime 5 cifre della tessera sanitaria e un numero di telefono su cui viene inviato il codice di accesso temporaneo. Ora, qualunque sarà l’esito dell’istruttoria del Garante, ci si attende che nella predisposizione di nuovi sistemi soprattutto in un ambito delicato come quello sanitario (in quanto idoneo a produrre impatti rilevanti nei confronti degli interessati) si seguano sempre i principi di privacy by design e privacy by default, garantendo tanto la conformità dei trattamenti alla normativa quanto livelli di sicurezza adeguati.
