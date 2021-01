Nessuna smentita circa i sospetti di vulnerabilità di “Smart4You” che adesso è accessibile soltanto se si apre entro 24 ore dal tampone. Nespeca: “La Asur ha denunciato eventuali intrusioni non autorizzate”, ma chi garantisce che non ve ne possano essere altre? Nbs Srl non replica. Mentre il sindaco di Grottammare Piergallini sbaglia il paragone

GROTTAMMARE – Si infittisce il mistero attorno allo screening organizzato dalla Regione Marche e in particolar modo dall’Area Vasta 5 attraverso il portale Cureprimarie.it (del quale oggi non sono accessibili informazioni non trascurabili come il “Chi Siamo” e “Contatti“) e l’App Smart4You. Mentre sono state depositate sia l’interrogazione parlamentare della senatrice Maria Laura Mantovani (M5S) che quella della consigliera regionale marchigiana Pd Anna Casini,

Innanzitutto, durante la conferenza stampa organizzata dal Comune di Grottammare per lo screening, la presentazione di Sandro Novelli, titolare della Nbs Srl, azienda che ha l’incarico di gestire alcuni servizi informatici ma anche l’App, ha rivelato diverse novità rispetto a quanto era stato detto in precedenza, ad esempio prima dello screening ad Ascoli e San Benedetto.

Come testimonia il video della conferenza, alla nostra domanda abbiamo ottenuto soltanto la risposta della direttrice sanitaria Maria Teresa Nespeca e non dalla Nbs (di seguito riporteremo alcune dichiarazioni di Novelli di risposta all’Ufficio Stampa di Grottammare e durante la presentazione della registrazione per lo screening) e qualche considerazione, a nostro avviso non proprio centrata, del sindaco Piergallini di Grottammare. Cercheremo di dettagliare il nostro commento di seguito, ponendo, in corsivo, le nostre domande e le nostre considerazioni.

L’App risulta inaccessibile dallo scorso 6 gennaio. Un articolo de Il Manifesto, casualmente pubblicato nello stesso giorno, ha evidenziato come vi fosse un “buco” nella sicurezza della privacy.

Nespeca: “L’App è un servizio aggiuntivo. Chiariamo definitivamente che all’interno dell’App non c’è alcuna cartella clinica ma si troveranno soltanto i dati relativi allo screening”.

Questo ci era stato detto invece durante la presentazione dello stesso servizio a San Benedetto (30 dicembre): “Al termine dell’esame verrà rilasciato ai partecipanti un Qr Code in un tesserino: in questo modo il cittadino potrà leggere e vedere i dati riguardanti prenotazioni, referti, notifiche e tutto ciò che l’Area Vasta 5 dovrà comunicare da ora in avanti, in modo da ridurre i tempi di segreteria e creare un canale diretto”.

“Non è stata una bella cosa sporcare una iniziativa del genere in questo modo”.

La colpa, come al solito, è della stampa che fa il suo lavoro e dice come stanno le cose. La direzione dell’Area Vasta 5 dovrebbe invece ringraziare chi, svolgendo bene il suo lavoro, ha impedito che la vulnerabilità della App provocasse danni veramente gravi ed estesi.

Novelli: “Attraverso il Qr code che verrà rilasciato al momento dello screening si potrà accedere al proprio profilo nell’app Smart4You entro 24 ore dall’esame del tampone. In caso di smarrimento o di mancato ingresso entro le 24 ore, si può tornare nel luogo dello screening e richiedere di nuovo il proprio Qr code, mentre quando lo screening finirà si potranno chiedere informazioni all’Urp dell’ospedale. Ma poiché l’App rilascia soltanto i dati sullo screening, chi non ha ricevuto messaggi di positività può ritenersi negativo quindi da lunedì non avrà bisogno di accedere all’App che poi servirà per nuovi servizi dell’Area Vasta 5, come ad esempio le vaccinazioni”.

Ma l’App aveva o no questo buco? E ce l’ha ancora? Perché nessuno si è sentito in dovere di smentire o confermare?

Nespeca: “In questo momento vi è una denuncia dell’Asur Marche per verificare se vi sia stato qualche accesso improprio. Le indagini della Polizia Postale o di chi altri non si sono concluse, e gli organi preposti valuteranno se qualcuno è entrato nel sistema. Vedremo se qualcuno ci ha provato e non ci è riuscito”.

Piergallini: “Viviamo in mondo un cui si è riuscito a violare anche il Pentagono, e in cui le persone hanno una ipersensibilità alla privacy ma poi danno tutti i loro dati a Facebook o Instagram”.

Il problema non è questo e la denuncia servirà a trovare, eventualmente, eventuali comportamenti individuali passibili di reato.

Qui si discute se l’App – compresa all’interno di un pacchetto informatico costato 256 mila euro per 14 mesi e assegnato perché l’Area Vasta 5 afferma di non essere riuscita a prepararsi alla gestione del sistema informatico regionale nei tempi stabiliti causa emergenza Covid-19 – avesse i requisiti di sicurezza minimi necessari. Non serviva un hacker per cambiare di una unità progressiva il numero assegnato dal Qr Code al cittadino. E un hacker, chi lo sa cosa potrebbe fare in un sistema così vulnerabile.

Certo, chi lo ha fatto ha commesso un reato ma siamo tutti uomini e donne di mondo e sappiamo che un qualsiasi utente può schermare la sua identità informatica in maniera assoluta.

Dunque è un bene che la stampa abbia diffuso subito la notizia, e non un male, come lascia intendere Nespeca. Immaginiamo cosa sarebbe accaduto se l’App si fosse arricchita di contenuti clinici, come tra l’altro anticipato proprio dalla stessa Nespeca durante la conferenza stampa indetta il 30 dicembre scorso dal Comune di San Benedetto.

Non quindi meri “dati personali”, ma quelli più personali fra tutti, quelli sanitari. La direzione sanitaria, a quasi dieci giorni dalla notizia, non ha smentito che sia vera, di fatto ammettendo l’errore che i maldestri tentativi in atto non fanno che confermare. Ma il “buco” persisterebbe – nessuno lo ha smentito, men che meno la Nbs Srl – e ci chiediamo che senso abbia un’App accessibile entro 24 ore (o niente) e un sistema che in futuro potrebbe essere penetrato con la stessa facilità.

Nespeca parla di una “blindatura” di una porta prima chiusa a chiave. Semplicemente non ci risulta che fosse chiusa a chiave a prova di qualche malintenzionato: su questo bisogna avere e dare la sicurezza e non presupporre. O trarne le conseguenze, altro che limitazioni di 24 all’accesso di un’App.

VIDEO FANTASMA Ci riferiamo al video pubblicato sulla pagina YouTube di Sandro Novelli prima dello screening di massa ad Ascoli (18 dicembre). Il video, da noi diffuso domenica 10 gennaio, è stato definitivamente cancellato (prima era unlisted, ovvero irrintracciabile attraverso una normale ricerca) dopo due ore dal nostro link. Video che era rimasto on line anche dopo lo screening di San Benedetto (2-7 gennaio) e in quella occasione nessuno ci aveva parlato di un nuovo video dimostrativo.

Novelli: “Il video pubblicato su YouTube di volta in volta viene rimosso ed inserito in ogni campagna vaccinale perché cambiano i soggetti e anche le specificità del luogo”. Peccato non poter accedere alla documentazione precedente, per un sistema tecnico che dovrebbe essere identico a favore di un ascolano come per un massignanese. E scoprire soltanto oggi quest’altra novità.

