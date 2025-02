In merito ai provvedimenti emessi dal Garante per la Protezione dei Dati Personali il 27 novembre 2024, relativi a una vulnerabilità riscontrata nel Portale regionale del Fascicolo Sanitario Elettronico (FSE), la Regione Molise e Molise Dati S.p.A., società in house in ambito ICT, desiderano chiarire gli eventi e riaffermare il proprio costante impegno nella protezione dei dati personali e nella sicurezza informatica.



 Fatti e contestualizzazione

Il 24 gennaio 2023, la Regione Molise ha notificato tempestivamente al Garante una possibile violazione dei dati personali, dovuta a una vulnerabilità del sistema che ha permesso a un utente autenticato di accedere, attraverso una manipolazione intenzionale della URL, ai dati di altri assistiti. L’incidente ha coinvolto sette utenti e non ha determinato alcun utilizzo improprio o dannoso delle informazioni.

A seguito della segnalazione, la Regione e Molise Dati hanno immediatamente avviato una analisi approfondita delle cause e delle modalità dell’evento, richiedendo verifiche tecniche a Engineering Ingegneria Informatica S.p.A., soggetto responsabile della progettazione della piattaforma. L’anomalia è stata corretta tempestivamente, con l’implementazione di misure di sicurezza rafforzate per evitare il ripetersi di simili situazioni.



 Rigore e tempestività nella gestione della sicurezza

È importante sottolineare che sia Regione Molise che Molise Dati S.p.A. hanno sempre operato con la massima diligenza, rispettando i principi di privacy by design e privacy by default, affidandosi a partner tecnologici specializzati.



Il Garante, pur rilevando la presenza di una vulnerabilità, ha riconosciuto che:

 La Regione ha agito prontamente per risolvere l’anomalia e rafforzare la sicurezza.

 La responsabilità primaria della vulnerabilità è stata attribuita a Engineering Ingegneria Informatica S.p.A., che ha commesso un errore di codifica del software.

 Non vi è stata alcuna intenzionale negligenza o violazione consapevole delle norme sulla protezione dei dati da parte di Regione Molise e Molise Dati.

 Come evidenziato dal Garante, non vi è colpa grave da parte della Regione Molise e di Molise Dati.

 Azioni correttive e miglioramenti alla sicurezza informatica

A seguito dell’evento, sono state adottate ulteriori misure di sicurezza avanzate, tra cui:

 Blocco degli accessi non autorizzati tramite modifiche alla struttura delle URL.

 Maggiore controllo dei permessi di accesso agli utenti del sistema FSE.

 Audit periodici e rafforzamento delle procedure di penetration testing e vulnerability assessment.

 Sicurezza informatica: una sfida globale



È importante riconoscere che i sistemi informatici, essendo frutto dell’ingegno umano, non sono esenti da errori o vulnerabilità. Anche le più grandi multinazionali, con risorse significative dedicate alla sicurezza, hanno affrontato violazioni di dati.



Ad esempio, nel 2023, una vulnerabilità nello strumento di trasferimento di file MOVEit ha permesso a criminali informatici di sfruttare centinaia di organizzazioni a livello globale, esponendo dati sensibili. Tra le vittime figurano enti governativi, banche e fornitori di servizi sanitari.



Nello stesso anno, la società australiana di servizi finanziari Latitude ha subito una violazione che ha interessato oltre 14 milioni di clienti, con dati rubati tra cui numeri di patente e registri finanziari.



Nel 2021, Microsoft ha subito un significativo attacco informatico che ha permesso agli aggressori di accedere agli account di posta elettronica, rubare e-mail e installare malware per mantenere un accesso prolungato agli ambienti delle vittime. L’attacco è stato attribuito a un gruppo di cyber spionaggio noto come Hafnium. L’incidente ha avuto un impatto globale, con stime che indicano che circa 250.000 server sono stati compromessi, inclusi quelli di circa 30.000 organizzazioni negli Stati Uniti e 7.000 nel Regno Unito. Tra le vittime figurano enti governativi, istituzioni accademiche, aziende private e organizzazioni non governative.



Questi esempi evidenziano come nessun sistema sia completamente immune alle minacce informatiche. La Regione Molise e Molise Dati S.p.A. sono consapevoli di queste sfide e si impegnano costantemente a migliorare le proprie misure di sicurezza informatica per proteggere i dati personali dei cittadini.



 Conclusioni

La Regione Molise e Molise Dati S.p.A. continuano a lavorare con trasparenza e responsabilità, garantendo il massimo livello di protezione dei dati personali dei cittadini e collaborando attivamente con le autorità per il miglioramento continuo della sicurezza informatica.