ASCOLI PICENO – Di seguito il testo dell’interrogazione parlamentare con la quale la senatrice carpigiana Maria Laura Mantovani (M5S) ha chiesto, nella seduta del 13 gennaio 2021 in qualità di prima firmataria, al Ministro della Sanità Roberto Speranza, informazioni in merito al “buco dello screening” evidenziato con un articolo del giornalista Mario Di Vito de “Il Manifesto” da noi successivamente ripreso. La senatrice già nel recente passato si era interessata a vicende connesse alla gestione dei dati in tema di epidemia coronavirus.

***

Premesso che:

da notizie a mezzo stampa, si apprende dell’esistenza di gravi irregolarità nella gestione dei dati dello screening di massa per il COVID-19 nella Regione Marche (“Il Manifesto” del 6 gennaio 2021″);

centinaia di migliaia di profili di utenti, completi di anagrafica e cartelle cliniche, sarebbero potenzialmente accessibili da chiunque con pochi semplici passaggi, senza nemmeno il bisogno di tentare azioni di hacking troppo complesse;

– le pratiche digitali delle aziende sanitarie delle province di Ascoli e Macerata sono accessibili attraverso l’app “Smart4You”, sviluppata dalla Nbs S.r.l. di San Benedetto del Tronto. Per accedere alle pratiche è necessario un codice QR (un crittogramma che memorizza informazioni destinate ad essere lette su smartphone) che viene rilasciato automaticamente su un talloncino che viene consegnato a chiunque decida di sottoporsi allo screening, avviato da dicembre 2020 su tutto il territorio regionale delle Marche;

– il codice QR è un codice numerico che identifica l’utente e riconosce l’accesso ad una serie di servizi, tra cui la consultazione del dossier medico con le cartelle cliniche, le varie prenotazioni ospedaliere effettuate e i relativi esiti (anche se la direttrice dell’Area Vasta 5 Maria Teresa Nespeca ha affermato il contrario nell’ultima conferenza stampa, ndr). L’elaborazione del codice non avviene però in maniera casuale: segue un criterio progressivo, ossia ogni numero corrisponde ad un utente e basterebbe, quindi, cambiare una cifra per accedere al profilo di un altro utente;

– per evitare rischi di violazione della privacy è necessario cambiare il nome utente e la password, ma degli oltre 83.000 cittadini marchigiani che, attualmente, si sono fatti fare il tampone, solo in pochi hanno deciso di completare la registrazione, cambiando tali codici. Inoltre, esiste già il profilo con i dati e i vari documenti di tutti i cittadini marchigiani, la cui anagrafe viene custodita, secondo l’informativa sulla privacy della app, dall’azienda intestataria del sito, ossia la Nbs;

– i dati che potrebbero essere violati sono considerati di terzo livello, ovvero informazioni strettamente personali, come i dati anagrafici e le informazioni di natura medica. Questi ultimi sono considerati molto preziosi, sia per i malintenzionati sia per motivi di mercato;

– un ulteriore rischio per lo screening marchigiano sarebbe rappresentato dal malfunzionamento del sito “cureprimarie”, il network sanitario del professionista per il cittadino dell’Area Vasta 5, sempre gestito dalla Nbs;

– attraverso questo sito, la prenotazione del tampone avviene con l’inserimento del proprio codice fiscale nell’apposito form. Inserendo il codice comparirebbe però automaticamente il numero telefonico dell’utente. Sarebbe quindi sufficiente calcolare il codice fiscale di ciascun cittadino delle province di Ascoli e Macerata per ottenerne anche il contatto telefonico.

Considerato che:

– la Nbs, azienda specializzata in sistemi di ultima generazione, che vanta una comprovata esperienza nell’ambito sanitario, avrebbe vinto, negli ultimi anni, diversi appalti da centinaia di migliaia di euro con l’azienda sanitaria unica regionale delle Marche. Avrebbe inoltre avviato decine di collaborazioni a vario titolo con altre Regioni e Province italiane;

– a parere degli interroganti, i fatti dimostrerebbero un alto rischio di violazione della privacy dei dati degli utenti che dovrebbero essere, al contrario, protetti dalla Nbs;

si chiede di sapere:

– se il Ministro in indirizzo sia a conoscenza dei fatti riportati e quale sia la sua valutazione in merito;

– se non ritenga opportuno avviare un’indagine presso le aziende sanitarie della regione Marche interessate per capire se c’è stata un’effettiva violazione dei dati degli utenti, i livelli di sicurezza cyber adottati sui servizi informatici e le inadempienze riscontrate;

– se, attualmente, vi siano progetti in essere, a livello nazionale, con la Nbs S.r.l. e, nel caso, se siano state effettuate le necessarie valutazioni e i dovuti controlli sul rispetto dei livelli di sicurezza, adottati da tale azienda, necessari per garantire i dati personali degli utenti;

– se consideri prioritario garantire la sicurezza informatica dei dati personali del cittadino e, nel contempo, consentire un’estrapolazione di questi, in forma anonimizzata, al fine di migliorare la gestione sanitaria del nostro Paese, in particolare in questo periodo di emergenza dovuto al diffondersi del COVID-19.