{"id":2986,"date":"2017-05-27T19:52:09","date_gmt":"2017-05-27T17:52:09","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2986"},"modified":"2017-05-27T19:52:09","modified_gmt":"2017-05-27T17:52:09","slug":"the-authentication-process-in-personal-health-record-service","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/05\/27\/the-authentication-process-in-personal-health-record-service\/","title":{"rendered":"Il processo di autenticazione nel Fascicolo Sanitario Elettronico"},"content":{"rendered":"

Dal punto di vista della privacy, il Servizio Pubblico per l’Identit\u00e0 digitale – SPID \u00e8 a norma con il GDPR, in quanto adeguata misura di cautela per proteggere i dati personali (Art. 32).<\/p>\n

Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, ci si autentica a livello 2 (Level of Assurance 3 (LoA3) dello standard ISO\/IEC DIS 29115) e non a livello 3 (Level of Assurance 4 (LoA4) dello standard ISO\/IEC DIS 29115).<\/p>\n

Ci\u00f2 per\u00f2 sembra in contrasto con il GDPR poich\u00e9, in base alla definizione di SPID, il livello 2 non \u00e8 un\u2019adeguata misura di cautela per i dati personali sanitari. Il livello di protezione massima, livello 3 (Level of Assurance 4 (LoA4) dello standard ISO\/IEC DIS 29115), esiste gi\u00e0 ed \u00e8 fornito gratuitamente al cittadino, non con SPID ma tramite la Tessera Sanitaria.<\/p>\n

Il recepimento della norma non ha tenuto conto dello standard ISO\/IEC DIS 29115: ci\u00f2 \u00e8 probabilmente accaduto per il fatto che, gi\u00e0 in passato, per incentivare l\u2019uso dei servizi online al cittadino, alcune aziende sanitarie hanno effettuato un abbassamento dei livelli di sicurezza nel processo di autenticazione, implementando un meccanismo OTP \u2013 One Time Password. Di conseguenza il rischio legato a questo processo \u00e8 aumentato.<\/p>\n

I cittadini che utilizzano SPID o altri sistemi di autenticazione via OTP, per\u00f2, non sono informati del fatto che i loro dati non sono garantiti con il livello di sicurezza massimo previsto.<\/p>\n

Esistono numerosi malware in grado di intercettare la password e l\u2019OTP veicolata sul medesimo dispositivo: l\u2019autenticazione su smartphone con OTP tramite SMS pu\u00f2 essere tranquillamente \u2018bucata\u2019.<\/p>\n

Credo che possa crearsi un dibattito interessante a partire dalle seguenti domande:<\/p>\n

– In caso di violazione dei dati sanitari, la responsabilit\u00e0 come verrebbe ripartita?<\/p>\n

– Pu\u00f2 essere anche estesa all\u2019IP \u2013 Identity Provider che ha fornito il servizio di autenticazione con un livello di assurance non aderente allo standard?<\/p>\n

Grazie per i vostri contributi!<\/p>","protected":false},"excerpt":{"rendered":"

Dal punto di vista della privacy, il Servizio Pubblico per l’Identit\u00e0 digitale – SPID \u00e8 a norma con il GDPR, in quanto adeguata misura di cautela per proteggere i dati personali (Art. 32). Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, ci si autentica a livello 2 (Level of Assurance 3 (LoA3) dello standard\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":170,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,3],"tags":[150,374],"class_list":["post-2986","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","category-roles-and-liabilities","tag-healthcare","tag-spid"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/170"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2986"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2986\/revisions"}],"predecessor-version":[{"id":2991,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2986\/revisions\/2991"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}