Il processo di autenticazione nel Fascicolo Sanitario Elettronico

di | 27 May 2017

Dal punto di vista della privacy, il Servizio Pubblico per l’Identità digitale – SPID è a norma con il GDPR, in quanto adeguata misura di cautela per proteggere i dati personali (Art. 32).

Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, ci si autentica a livello 2 (Level of Assurance 3 (LoA3) dello standard ISO/IEC DIS 29115) e non a livello 3 (Level of Assurance 4 (LoA4) dello standard ISO/IEC DIS 29115).

Ciò però sembra in contrasto con il GDPR poiché, in base alla definizione di SPID, il livello 2 non è un’adeguata misura di cautela per i dati personali sanitari. Il livello di protezione massima, livello 3 (Level of Assurance 4 (LoA4) dello standard ISO/IEC DIS 29115), esiste già ed è fornito gratuitamente al cittadino, non con SPID ma tramite la Tessera Sanitaria.

Il recepimento della norma non ha tenuto conto dello standard ISO/IEC DIS 29115: ciò è probabilmente accaduto per il fatto che, già in passato, per incentivare l’uso dei servizi online al cittadino, alcune aziende sanitarie hanno effettuato un abbassamento dei livelli di sicurezza nel processo di autenticazione, implementando un meccanismo OTP – One Time Password. Di conseguenza il rischio legato a questo processo è aumentato.

I cittadini che utilizzano SPID o altri sistemi di autenticazione via OTP, però, non sono informati del fatto che i loro dati non sono garantiti con il livello di sicurezza massimo previsto.

Esistono numerosi malware in grado di intercettare la password e l’OTP veicolata sul medesimo dispositivo: l’autenticazione su smartphone con OTP tramite SMS può essere tranquillamente ‘bucata’.

Credo che possa crearsi un dibattito interessante a partire dalle seguenti domande:

– In caso di violazione dei dati sanitari, la responsabilità come verrebbe ripartita?

– Può essere anche estesa all’IP – Identity Provider che ha fornito il servizio di autenticazione con un livello di assurance non aderente allo standard?

Grazie per i vostri contributi!

Categoria: Impatti Rischi e Misure Ruoli e Responsabilità Tag: ,

Informazioni su Giampaolo Franco

Giampaolo Franco, degree in Computer Science, Certified Information Security Manager (CISM). Dr. Franco has more than 10 years of experience in governance, risk management, and compliance at Azienda Provinciale per i Servizi Sanitari (APSS, the main healthcare provider of the Autonomous Province of Trento). He is involved in several activities at APSS, including business continuity and disaster recovery, risk analysis, privacy compliance, awareness, internal / external audits, incident management, optimization and quality control of IT processes. Previous work experiences include project management, analysis and programming for several financial institutions. He has also been a consultant for the University of Trento, working in a project aimed to define organizational and security aspects related to the introduction of integrated models of digital teaching in school. Dr. Franco continues to pursue research, education and awareness activities related to information security for the Public Administration with remarkable passion and leadership. He is a member of the ISACA VENICE Chapter, Oracle Community for Security and contributor of Europrivacy. In 2016 he's the winner of the European Institute of Innovation & Technology - EIT Digital pre-incubation programme with a project on Art&Technology.

Un pensiero su “Il processo di autenticazione nel Fascicolo Sanitario Elettronico

  1. riccardo.abeti

    Per quanto ne so, la modalità di accesso ai FSE nelle diverse Regioni è piuttosto eterogenea. In caso di violazione occorre definire dove la violazione vada ad incidere e il perimetro che è stato violato. Se il breach avviene attraverso carenze dei sistemi alimentanti il FSE oppure se le carenze siano imputabili a chi gestisce il sistema FSE (la singola regione).
    Può inoltre capitare che la violazione venga condotta, ad esempio, attraverso la piattaforma resa disponibile dal MEF.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.