Non un bug o una falla di sicurezza: lo scandalo del sistema di prenotazione per le vaccinazioni anti-COVID della Asst Santi Carlo e Paolo di Milano, che ha permesso a un numero imprecisato di persone di ottenere il vaccino pur senza averne diritto, è qualcosa di decisamente più grave. Dalle parti della Asst,infatti, hanno sbagliato completamente a progettare il sistema di prenotazione, ignorando qualsiasi regola di sicurezza e di buon senso.
Il sistema, teoricamente rivolto ai dipendenti delle strutture sanitarie gestite dall’Asst, era basato su un semplice account Office365, attraverso il quale è stata creata una pagina di prenotazione. Il link alla pagina è stato poi inviato agli oltre 4.000 dipendenti della Asst via email. Il prevedibile risultato di questa procedura è stato che, nel giro di poche ore, il link ha iniziato a circolare via SMS e gruppi Whatsapp.
Un “incidente” che, da solo, rappresenta già un problema di sicurezza notevole, ma che non avrebbe avuto conseguenze così gravi se fossero stati previsti dei controlli sulla pagina di prenotazione. Invece, al suo interno non è stato implementato alcun sistema di autenticazione e nessuna verifica: tra i dati richiesti solo nome, cognome, codice fiscale, numero di telefono e indirizzo email.
E se dalle parti dell’Asst parlano di un generico “incrocio dei dati” eseguito per controllare eventuali abusi, le segnalazioni degli ascoltatori di Radio Popolare sono più che sufficienti per smentirne l’esistenza. Se davvero fossero stati fatti (per esempio confrontando i codici fiscali inseriti nelle prenotazioni con quelli dei dipendenti che ne avevano effettivamente diritto) gli eventuali “furbetti del vaccino” sarebbero stati individuati subito. Così non è stato.
Tutto sommato, siamo stati fortunati. Se un pirata informatico avesse messo le mani su quel link, avrebbe potuto infatti provocare molti più danni, intasando per esempio l’agenda con false prenotazioni che avrebbero bloccato l’intera campagna vaccinale rivolta agli operatori sanitari.
Rimangono, comunque, le gravi responsabilità di chi ha progettato un sistema assolutamente inadeguato alla gravità del momento e soprattutto, quelle di chi non ha vigilato sulle procedure.
In Lombardia, infatti, la pianificazione e gestione dei sistemi informatici è affidata all’Agenzia Regionale per l’Innovazione e gli Acquisti (ARIA) il cui compito, si legge sul sito istituzionale, sarebbe quello di “digitalizzare e dematerializzare i servizi erogati dalla Pubblica Amministrazione, progettare nuove soluzioni e sperimentare tecnologie in ambito e-health e e-government”.
Insomma: secondo logica, a dettare le linee guida per gestire il piano di prenotazioni vaccinali avrebbe dovuto essere proprio ARIA. Evidentemente, non l’ha fatto. O lo ha fatto male.
di Marco Schiaffino
