Lazio Doctor Covid era un’app realizzata da LazioCrea e serviva a favorire il collegamento tra i pazienti cronici e sotto sorveglianza e il loro medico curante, permettendo di condividere informazioni personali come temperatura e pressione sanguigna al proprio medico di base, nel periodo più nero della pandemia da coronavirus.
Giovanni Rocca ha raccontato per filo e per segno le vulnerabilità riscontrate utilizzando l’app. Si tratta di gravi errori di configurazione del sistema, che in gergo tecnico sono chiamate vulnerabilità informatiche. L’individuazione e lo sfruttamento di tali falle da parte di un attaccante male intenzionato può essere un grosso problema, perché possono compromettere la sicurezza dell’intero sistema. Tuttavia, non è stato questo il caso di Rocca, che nell’app ci è entrato per guardare come e cosa non funzionasse, ma poi si è limitato a segnalarlo pubblicamente. Esporre le vulnerabilità di un sistema è un’azione nobileperché permette, a chi di dovere, di correggere un errore che altrimenti potrebbe essere sfruttato da persone con scopi magari illeciti, e avere risvolti peggiori.
Una volta entrato nell’applicazione LaziodrCovid tramite indirizzo email, numero di telefono e codice fiscale di una terza persona residente nella regione Lazio (che ha acconsentito a tale utilizzo), il sistema forniva un token di accesso, ovvero un codice che contiene informazioni sul singolo utente e sulle azioni che può compiere. Rocca ha riscontrato come il codice non fosse verificato né validato dal sistema, e quindi potesse essere utilizzato per visionare non solo le informazioni dell’utente per cui accedeva, ma anche quelle di tutti gli altri pazienti.
Sul suo blog, l’esperto di sicurezza informatica, ha anche raccontato come il sistema permettesse la modifica – e quindi la possibile alterazione – del parametro “temperatura corporea” di un famigliare del paziente che gli aveva fornito le credenziali di accesso. In pratica, l’app LaziodrCovid forniva accesso a dati biometrici e personali di tutti gli utenti iscritti.
Dopo alcune ore dalla pubblicazione dell’analisi, LazioCrea ha risolto le vulnerabilità indicate da Rocca. Il 30 marzo 2020 le falle dell’app sono state confermate anche da una comunicazione del Centro nazionale anticrimine informatico per le infrastrutture critiche (Cnaipic), in cui si legge che “l’applicazione Android LaziodrCovid espone inavvertitamente i dati dei pazienti”. Nella nota il Cnaipic fa anche riferimento alla possibilità, per chiunque ne abbia le conoscenze tecniche, di “accedere al nome del medico di famiglia per il codice fiscale indicato”, così come di “inviare la verifica sms (“n” volte illimitate) al numero di telefono crittografato”.
Nonostante ciò Rocca si è visto recapitare un avviso di garanzia dalla procura di Ancona con l’accusa di “accesso abusivo a sistema informatico”, reato previsto dall’articolo 615 ter del codice penale e che prevede una pena da uno a cinque anni di carcere. La causa scatenante è stata la querela del 31 marzo depositata da LazioCrea che, nonostante avesse modificato l’app esattamente come suggerito dall’esperto di sicurezza – e dopo aver ricevuto e preso atto della nota del Cnaipic – ha comunque proceduto nei suoi confronti.
Rocca è stato assolto perché il fatto non sussiste. Secondo l’avvocato Giovanni Battista Gallus, che ha difeso Rocca a processo, l’esito non era affatto scontato: “Appare davvero inconcepibile che un soggetto, del tutto gratuitamente e in maniera disinteressata, che avvisa delle gravissime vulnerabilità di una piattaforma, venga denunciato e descritto come un criminale. Vulnerabilità che avrebbero potuto compromettere la sicurezza dei trattamenti di dati personali di migliaia di persone”.
Infatti se le verifiche effettuate sull’app da Rocca non fossero state rese pubbliche, i dati di migliaia di cittadini e dei relativi medici curanti sarebbero stati esposti agli attacchi – questi sì illeciti – di criminali informatici, interessati a sfruttare le vulnerabilità del sistema per impossessarsene o alterarli. Un fenomeno, quello dei cyber attacchi alle strutture sanitarie italiane, che è al centro degli ultimi report del Clusit. Infatti, secondo l’associazione italiana per la sicurezza informatica la sanità è un settore estremamente strategico per gli attaccanti malevoli, soprattutto per il valore dei dati personali che possono essere sottratti.