Dopo la prima analisi su un gestionale usato da oltre 10.000 farmacie italiane, la domanda era inevitabile: si tratta di un caso isolato o di un problema di settore? Per rispondere, i ricercatori hanno analizzato un secondo software, prodotto da un'azienda completamente diversa, utilizzato da circa 4.000 farmacie italiane per la gestione del laboratorio galenico.
Quello che è emerso conferma i peggiori sospetti.
La password che conosce qualsiasi informatico al mondo
Il secondo gestionale analizzato utilizza un database per conservare i dati dei pazienti: le preparazioni galeniche personalizzate, i farmaci preparati su ricetta medica, le prescrizioni. Per accedere a questo database serve una password.
La password è quella predefinita di fabbrica del sistema di database. È la stessa che il produttore ha deciso di mantenere invariata su tutte le 4.000 installazioni. Non è una password scelta dalla farmacia. Non è una password provvisoria da cambiare al primo avvio. È il valore che il database imposta automaticamente quando viene installato per la prima volta.
Qualsiasi informatico la conosce. È la prima cosa che si impara aprendo il manuale. Basta cercare su Google il nome del database seguito dalla parola "password" per trovarla in dieci secondi, scritta in chiaro su migliaia di pagine web, forum, tutorial e corsi online. È, in pratica, come non avere nessuna password.
La farmacia non può cambiarla. Se un farmacista, nell'improbabile ipotesi in cui ne fosse a conoscenza, provasse a modificarla, il software smetterebbe di funzionare. La connessione al database avviene internamente al software con credenziali che il produttore ha scelto di non modificare rispetto ai valori di fabbrica. Non esiste un'interfaccia per aggiornarle.
Cosa c'è dentro quel database
Quella password di fabbrica apre la porta a dati sanitari di categoria speciale, protetti dall'Articolo 9 del GDPR. Nel caso analizzato, il database conteneva:
- Oltre 1.500 preparazioni farmaceutiche personalizzate, ciascuna con il nome del paziente
- Preparazioni contenenti sostanze stupefacenti, con identificazione del paziente
- Preparazioni contenenti sostanze dopanti
- Preparazioni contenenti veleni
- Dati relativi a preparazioni di cannabis medica, utilizzate per il trattamento di patologie come dolore cronico, sclerosi multipla, epilessia
- Schede di lavoro cliniche complete in formato digitale
Si tratta di informazioni che rivelano lo stato di salute di centinaia di persone, in molti casi legate a terapie con sostanze controllate. Una violazione di questi dati non comporterebbe solo un danno alla privacy: potrebbe avere conseguenze sulla vita personale e professionale dei pazienti coinvolti.
Dati protetti, accesso libero
Un database contenente preparazioni con stupefacenti, sostanze dopanti, veleni e cannabis medica, ciascuna associata al nome del paziente, è accessibile con la password predefinita di fabbrica del database, reperibile in dieci secondi su Google. La farmacia non ha modo di cambiarla senza rendere inutilizzabile il software.
Proteggono i propri dati. Non quelli dei pazienti.
L'analisi ha rivelato un dettaglio che merita attenzione.
All'interno dello stesso database, il produttore del software conserva anche le proprie schede tecniche farmaceutiche: dati di farmacopea, numeri identificativi delle sostanze, saggi di identificazione, condizioni di conservazione. Si tratta di una compilazione con valore commerciale, che il produttore rivende come parte del servizio.
Ebbene, queste schede tecniche sono cifrate. Il produttore ha applicato un sistema di protezione che rende illeggibili i propri dati proprietari a chiunque acceda al database.
I dati dei pazienti, invece, sono in chiaro. Nessuna cifratura. Nessuna pseudonimizzazione. Nessuna protezione.
Nello stesso database coesistono dunque due livelli di sicurezza: uno per le informazioni commerciali del produttore, un altro, inesistente, per i dati sanitari dei cittadini. Il produttore ha dimostrato di possedere le competenze tecniche per proteggere i dati. Ha scelto di applicarle solo ai propri.
Nessuna traccia di chi accede ai dati
L'analisi ha evidenziato un'altra assenza significativa: il software non registra chi accede ai dati, quando, da quale postazione, né quali informazioni vengono consultate o modificate. Non esiste alcun registro degli accessi, quello che in gergo tecnico si chiama "audit trail".
Questo significa che, in caso di violazione dei dati o di accesso non autorizzato, sarebbe impossibile ricostruire cosa è successo. Nessuno potrebbe stabilire se qualcuno ha consultato le preparazioni di cannabis medica di un paziente, se ha esportato l'elenco dei pazienti in terapia con stupefacenti, o se ha modificato una scheda di lavorazione.
L'Articolo 5 del GDPR impone il principio di "accountability", la capacità di dimostrare la conformità al regolamento. Senza un registro degli accessi, questa dimostrazione è materialmente impossibile.
Un account amministratore senza password
Il quadro si completa con un ultimo elemento. L'account di amministratore del sistema, quello che ha accesso illimitato a tutti i dati, risulta configurato senza alcuna password. Chiunque possa aprire il software può accedere come amministratore, senza che il sistema richieda alcuna autenticazione.
L'account è rimasto in questa condizione dalla sua creazione. Il software non ha mai richiesto l'impostazione di una password al primo avvio. È una scelta di progettazione del produttore, non una negligenza della farmacia.
Il conflitto di interessi
L'indagine ha portato alla luce anche un aspetto che esula dalla sicurezza informatica ma che è rilevante per comprendere il contesto.
Da visure camerali pubbliche, i soci della società che produce questo software detengono partecipazioni in altre aziende operanti in settori potenzialmente concorrenziali rispetto alle farmacie clienti: società che vendono materie prime per preparazioni galeniche, società che producono e commercializzano preparazioni galeniche, integratori e prodotti affini, e società di e-commerce di prodotti erboristici e farmaceutici.
In sostanza, le stesse persone che controllano il software gestionale controllano anche aziende che operano negli stessi mercati delle farmacie a cui il software è venduto.
Il contratto di licenza del software contiene una clausola che autorizza il produttore a utilizzare le informazioni ricevute durante l'assistenza tecnica "per la propria attività, compreso il supporto e lo sviluppo di altri progetti". Durante le sessioni di assistenza, il personale del produttore ha accesso al database della farmacia: volumi di acquisto, fornitori utilizzati, tipologie di preparazioni, dati sui pazienti.
La clausola limita la tutela alla sola non-identificabilità della farmacia. Non menziona i dati dei pazienti. Non menziona le informazioni commerciali riservate della farmacia. E soprattutto, non informa il farmacista dell'esistenza degli interessi concorrenziali in capo ai soci del fornitore.
Trasparenza e conflitto di interessi
Il GDPR impone al responsabile del trattamento obblighi di trasparenza verso il titolare. L'omessa comunicazione di un conflitto di interessi strutturale, documentato da visure camerali pubbliche, potrebbe configurare una violazione del principio di trasparenza e, in determinate circostanze, di leale concorrenza.
Anche il contratto contraddice sé stesso
Un elemento ulteriore riguarda la documentazione contrattuale. In un allegato, il produttore dichiara formalmente di non trattare "alcun dato particolarmente sensibile riferibile all'interessato". In un altro allegato dello stesso contratto, compilato dalla stessa azienda, tra i dati trattati durante l'assistenza compare la voce: "stato di salute, assistenza sanitaria, prestazioni sanitarie".
Le due dichiarazioni sono in contraddizione diretta. Una delle due è necessariamente non veritiera. In entrambi i casi, la discrepanza configura una violazione dell'obbligo di trasparenza previsto dal GDPR.
Nello stesso contratto, il produttore si impegna al rispetto della "Privacy by Design", il principio che impone di integrare la protezione dei dati fin dalla progettazione del sistema. L'analisi tecnica dimostra sistematicamente il contrario: password di fabbrica mai cambiate, cifratura assente sui dati dei pazienti, nessun registro degli accessi, account amministratore senza password.
Non è sfortuna: è un problema di settore
Due gestionali diversi. Due produttori diversi. Due architetture software differenti. Gli stessi problemi strutturali.
Nel primo caso, una tessera d'ingresso condivisa tra migliaia di farmacie che apre l'accesso al Fascicolo Sanitario di 34 milioni di italiani. Nel secondo, la password predefinita di fabbrica del database, quella che qualsiasi informatico conosce, a protezione di preparazioni con stupefacenti, cannabis medica e veleni.
Non è una coincidenza. È il risultato di un settore che ha costruito i propri strumenti digitali negli anni Novanta e non li ha mai aggiornati alle regole del 2018. Il GDPR è in vigore da otto anni. Le password sono ancora quelle di fabbrica.
Questi software gestiscono i dati sanitari più sensibili che esistano, conservati nelle farmacie che rappresentano il primo punto di contatto tra i cittadini e il sistema sanitario. I produttori di questi software operano in una posizione di quasi-monopolio nei rispettivi segmenti di mercato: le farmacie non hanno alternative reali, e nella maggior parte dei casi non hanno nemmeno le competenze tecniche per valutare il livello di sicurezza di ciò che hanno acquistato.
Il problema non si risolve con un aggiornamento software o con una circolare del Ministero. Richiede un intervento regolatorio, una certificazione di sicurezza obbligatoria per i software che trattano dati sanitari, e una responsabilizzazione dei produttori proporzionata alla gravità dei dati che i loro prodotti custodiscono.
Le vulnerabilità sono state comunicate alle Autorità competenti.
Il report completo
L'analisi completa di entrambi i gestionali, con i dettagli tecnici tradotti in linguaggio comprensibile, le implicazioni legali e le azioni possibili, è disponibile nel report gratuito.
