Il Podio EDI 2023, tenutosi il 30 giugno presso la sala del Consiglio cantonale di Lucerna, è stato totalmente dedicato alla nLPD che entrerà in vigore senza periodo di transizione il 1o settembre 2023. Reto Vogt, caporedattore della rivista Inside IT, è tornato a parlare dello scandalo legato alla piattaforma di vaccinazione digitale.

Da oltre 15 anni Reto Vogt scrive a proposito di informatica, computer e digitalizzazione e dal 2021 è caporedattore di «Inside IT», la principale rivista online della Svizzera con oltre 100 000 lettori. Vogt riferisce in merito a tutto ciò che ha a che fare con l’informatica, comprese le vicende che sono andate decisamente storte. Un caso del genere riguarda, ad esempio, le falle nella sicurezza della piattaforma di vaccinazione lemievaccinazioni.ch, le modalità con cui sono state affrontate e il modo in cui si dovranno gestire i circa 5 milioni di set di dati memorizzati.

Grandi lacune nei libretti di vaccinazione digitale
lemievaccinazioni.ch era una piattaforma di vaccinazione volontaria a livello nazionale in cui era possibile registrarsi e memorizzare le proprie vaccinazioni in formato digitale. «La registrazione sulla piattaforma avrebbe dovuto sostituire il libretto cartaceo giallo», ha spiegato Vogt. Responsabile della gestione della piattaforma era la fondazione lemievaccinazioni, finanziata dall’Ufficio federale della sanità pubblica (UFSP). Con la pandemia, il numero di persone registrate è cresciuto velocemente, passando da circa 100 000 a 450 000. Le lacune sono presto diventate più che evidenti. «Il tema della protezione dei dati non è mai stato affrontato seriamente. La ragione fornita dai responsabili è stata che la fondazione non era orientata al profitto. Ciò può però essere inteso anche come: non siamo tenuti a fare alcuno sforzo. Questo è stato uno dei più grandi errori e la speranza è che con la nuova legge sulla protezione dei dati molte cose cambino.»

I primi media hanno iniziato a segnalare carenze nella sicurezza già a gennaio 2021, affermando che la piattaforma era «accessibile come un elenco telefonico». Consulenti indipendenti in materia di sicurezza hanno riscontrato almeno nove gravi falle e hanno informato i media al riguardo. «Il fatto è che le verifiche in termini di sicurezza e i media hanno impedito che accadesse di peggio. Se le lacune non fossero state individuate e i consulenti in materia di sicurezza non si fossero rivolti ai media, sono convinto che questa piattaforma sarebbe in funzione ancora oggi e che i dati sarebbero stati compromessi.» 

«Un disastro»
Le carenze tecniche, ad esempio, consentivano a chiunque di registrarsi facilmente come professionista medico e quindi di avere innanzitutto accesso a tutti i dati delle persone registrate e successivamente di manipolarli. «I dati erano praticamente di dominio pubblico.» Anche i dati sulle vaccinazioni dei membri del Consiglio federale erano accessibili. «È stato un vero e proprio disastro.» La piattaforma è stata messa offline nel marzo 2021 e le attività operative sono state interrotte per mancanza di fondi. Grazie a una donazione privata, gli utenti hanno potuto riottenere i loro dati via e-mail, anche se allegati in un archivio ZIP non crittografato. «Quando pensi che non possa andare peggio di così... In realtà può ancora peggiorare», riassume Vogt con rassegnazione.

Cancellazione: sì o no?
I dati di lemievaccinazioni.ch dovevano essere cancellati, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha presentato una richiesta di cancellazione in merito nel maggio 2022 ma l’ha revocata solo un mese dopo. Il Canton Argovia ha voluto intervenire in veste di salvatore trasferendo i dati nelle cartelle del paziente della comunità di riferimento eHealth Aargau. Nell’arco di tre mesi, gli utenti sarebbero quindi stati in grado di cancellare i propri dati sulle vaccinazioni, di recuperarli o di trasferirli in una cartella informatizzata del paziente (CIP) esistente. «Si tratta di una misura puramente promozionale per la CIP. Ciò che trovo particolarmente inquietante è che a nessuno di coloro che si sono registrati è stato chiesto se fossero d’accordo con il trasferimento dei loro dati al Canton Argovia.»

Conclusioni:
Reto Vogt è chiaramente favorevole alla cancellazione di tutti i dati: «Dovrebbero sparire. Sono inutilizzabili e forse compromessi. Ma il teatrino continua. Non si è imparato nulla dagli errori.» Inoltre, gli attacchi informatici e quindi la ricerca di lacune nelle istituzioni o nei database del settore sanitario europeo continuano ad aumentare. «La situazione non migliorerà, bisogna essere preparati. Tuttavia sono sicuro che, lasciando lavorare le persone giuste, la Confederazione potrebbe uscire da questa situazione.»

Presentazione (PDF)