Data breach, FSE Molise: le sanzioni del Garante privacy

Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.

Il data breach, causato da una vulnerabilità del sistema informatico,aveva consentito a un cittadino autenticato con il ruolo di “assistito”, attraverso una manipolazione della URL, di effettuare una ricerca di informazioni relative a sette individui presenti nell’Anagrafe regionale del Molise. L’accesso non autorizzato aveva riguardato i dati anagrafici; di residenza e domicilio; e quelli contenuti in documenti e referti sanitari degli utenti coinvolti.

Nel corso dell’attività istruttoria, il Garante ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise.

Nel caso specifico, l’Autorità ha sanzionato la Regione Molise in quanto titolare del Portale e la Società Molise dati, in qualità di responsabile dell’attività di implementazione tecnica del FSE, per non aver effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering, la società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale.

Nel progettare i sistemi informatici utilizzati nell'ambito del FSE, inclusi i sistemi di autenticazione e autorizzazione, Engineering S.p.A., non aveva infatti adottato le misure adeguate a limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano. Ciò aveva quindi permesso l’illecito da parte di un soggetto terzo, che superata la procedura di autenticazione, aveva potuto utilizzare funzionalità a cui non era autorizzato, mediante la modifica della URL.

(info: Newsletter n. 531 del 31 gennaio 2025 Garante Privacy)