Abbiamo analizzato il gestionale farmaceutico più diffuso in Italia.
Ecco cosa abbiamo trovato.
Oltre 40 vulnerabilità critiche documentate. Decine di credenziali in chiaro. Migliaia di codici fiscali di pazienti in file di testo. Un'analisi tecnica indipendente che ogni farmacista dovrebbe leggere.
Questa analisi riguarda un software gestionale installato in migliaia di farmacie italiane. Se utilizzi un gestionale farmaceutico, le evidenze documentate in questo report potrebbero riguardare anche il tuo sistema.
I risultati dell'analisi, in sintesi
Sette dati chiave emersi dall'analisi tecnica indipendente su uno dei principali gestionali farmaceutici italiani.
Credenziali di accesso archiviate senza protezione nei file del gestionale — leggibili con il Blocco Note di Windows
Codici fiscali di pazienti registrati nei log insieme ai farmaci acquistati — senza cifratura, senza cancellazione automatica
Occorrenze di password del portale sanitario regionale scritte in chiaro nei log in 6 mesi
Pazienti il cui codice fiscale appare direttamente nel nome del file delle ricette elettroniche
Minuti necessari per decifrare le credenziali del sistema nazionale di ricetta elettronica, con strumenti gratuiti
Server esterni a cui il gestionale trasmette dati dalla farmacia — alcuni senza cifratura
Ogni evidenza è documentata nel report completo con i percorsi dei file per la verifica autonoma.
Scarica il ReportCosa significa per te come farmacista
Il Regolamento europeo sulla protezione dei dati (GDPR) identifica nel farmacista titolare il Titolare del Trattamento ai sensi dell'Art. 4.7. Questo significa che la responsabilità per la protezione dei dati dei pazienti è sua — non del fornitore del software gestionale.
Il principio di accountability, sancito dall'Art. 5.2 del GDPR, richiede che il Titolare sia in grado di dimostrare di aver adottato misure tecniche e organizzative adeguate. Non basta adottarle: bisogna poterlo documentare.
In caso di ispezione da parte del Garante, la prima domanda è sempre la stessa: “Quali misure ha adottato per proteggere i dati sanitari dei suoi pazienti?” Se il farmacista non ha documentazione, se non ha mai verificato cosa fa il proprio gestionale con i dati, la sua posizione diventa difficilmente difendibile.
Il report documenta fatti verificabili. La decisione su come agire resta al farmacista, nella piena consapevolezza della propria responsabilità legale.
Tre evidenze dall'analisi
Cosa rischi concretamente
A questi costi si aggiunge un obbligo spesso sottovalutato: quando il rischio per i diritti e le libertà delle persone è elevato, il GDPR impone al Titolare di notificare personalmente ogni paziente coinvolto.
Significa scrivere — individualmente — a centinaia o migliaia di pazienti per informarli che i loro dati sanitari sono stati esposti. Il codice fiscale, il farmaco acquistato, potenzialmente la diagnosi. Il danno reputazionale per una farmacia di quartiere, dove il rapporto con il paziente è personale, è difficile da quantificare.
Le vulnerabilità documentate nel presente report sono state formalmente comunicate al Garante per la Protezione dei Dati Personali, come previsto dalla normativa vigente in materia di protezione dei dati personali.
Cosa contiene il report
- 1L'elenco delle vulnerabilità documentate con livello di gravità
- 2I percorsi esatti dei file del gestionale dove verificare autonomamente alcune delle vulnerabilità sul proprio PC
- 3La mappa dei flussi di dati sensibili verso server esterni
- 4Le azioni raccomandate in ordine di priorità
Scarica il Report Completo
Gratuito. 10 pagine. Include le istruzioni per verificare da solo sul tuo PC.
ApoCert è la prima società italiana specializzata nella sicurezza dei dati e conformità GDPR esclusivamente per il settore farmaceutico. Abbiamo condotto l'analisi tecnica più approfondita mai realizzata su un gestionale farmaceutico in Italia.