Conclusione della procedura di accertamento dei fatti in relazione a una banca dati di centri privati per i test COVID-19

Berna, 28.04.2023 - A seguito della segnalazione di un privato, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha condotto una procedura di accertamento dei fatti in relazione a una banca dati non sufficientemente protetta di centri privati per i test COVID-19. Nel rapporto finale pubblicato in data odierna, l’IFPDT ha concluso che i dati sanitari elaborati nella banca dati sono stati esposti a importanti rischi per la sicurezza a causa della vulnerabilità segnalata. Ma poiché, dopo essere venuti a conoscenza di tale vulnerabilità, i responsabili hanno reagito immediatamente con misure adeguate, il rischio per gli interessati è stato ridotto al minimo. Pertanto, la procedura si è conclusa senza raccomandazioni.

Nel novembre 2022 un privato ha segnalato all’IFPDT e al Centro nazionale per la cibersicurezza (National Cyber Security Centre, NCSC) una falla nel controllo degli accessi di una banca dati nella quale erano memorizzati dati sanitari provenienti da centri privati per i test COVID-19 in diverse regioni della Svizzera. A causa di una vulnerabilità nel server web, il privato ha avuto accesso alla banca dati e ha potuto scaricare una copia dei dati ivi elaborati. Il giorno stesso della segnalazione i responsabili hanno rimosso la banca dati dal server, trasferendola su un supporto dati fisico crittografato.

Nell’ambito della procedura di accertamento dei fatti che ha avviato a seguito della segnalazione pervenuta e dei primi accertamenti effettuati in virtù di essa, l’IFPDT ha riscontrato diverse lacune nella sicurezza dei dati. Sulla base dei registri degli accessi, il medico responsabile dei centri per i test ha potuto dimostrare che nessun’altra persona non autorizzata ha avuto accesso ai dati. Le misure immediate adottate hanno inoltre escluso qualsiasi ulteriore rischio per gli interessati. Alla luce di queste considerazioni e del fatto che l’attività dei centri per i test COVID-19 era già stata sospesa prima che si venisse a conoscenza della vulnerabilità, la procedura si è conclusa senza la formulazione di raccomandazioni da parte dell’IFPDT.

A causa della componente internazionale del sistema, nell’ambito di una procedura di assistenza amministrativa l’IFPDT ha scambiato informazioni con diverse autorità, in particolare con le autorità in materia di protezione dei dati di Austria e Principato del Liechtenstein.

Da un lato, il caso illustra i rischi connessi alla vulnerabilità di una banca dati. Dall’altro, l’adozione di misure immediate e la registrazione degli accessi alla banca dati hanno permesso di escludere ulteriori rischi per gli interessati.

Indirizzo cui rivolgere domande

Incaricato federale della protezione dei dati e della trasparenza (IFPDT), tel. +41 58 464 94 10, info@edoeb.admin.ch