dalle regioni

Garante privacy, sanzioni per data breach ai danni del Fse molisano

1 Febbraio 2025

Si è chiuso con tre sanzioni da 10mila euro ciascuna a Regione Molise, Società Molise Dati e Engineering ingegneria informatica spa, il procedimento avviato dall’Autorità per la privacy in seguito all’intrusione verificatasi tra novembre e dicembre 2022 ai danni del Portale Fse molisano.

A renderlo noto un comunicato diffuso ieri dallo tesso Garante: il “data breach”, causato da una vulnerabilità̀ del sistema informatico, aveva consentito a un cittadino autenticato con il ruolo di “assistito” di cercare informazioni su sette persone registrate nell’Anagrafe regionale. L’accesso non autorizzato aveva riguardato i dati anagrafici – residenza e domicilio – e quelli contenuti in documenti e referti sanitari.

Nel corso dell’attività istruttoria, il Garante ha accertato che la violazione era stata provocata da un bug nella sicurezza del sistema di autenticazione con cui si accedeva al Fascicolo sanitario elettronico della Regione Molise.

Nel caso specifico, l’Autorità ha sanzionato la Regione Molise in quanto titolare del Portale e la Società Molise Dati in qualità di responsabile dell’attività di implementazione tecnica del Fse, per non aver effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering spa, la società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale.

Nel progettare i sistemi informatici utilizzati nell’ambito del Fse, inclusi i sistemi di autenticazione e autorizzazione, Engineering non aveva adottato misure adeguate a limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano. Ciò aveva quindi permesso l’illecito da parte di un soggetto terzo, che superata la procedura di autenticazione aveva potuto utilizzare funzionalità cui non era autorizzato semplicemente modificando l’url della pagina, cioè l’indirizzo web.