L’emergenza coronavirus è terminata lo scorso 31 marzo, ma non il problemi legati alla comunicazione dei dati giornalieri sul Covid. Per alcuni giorni, chiunque avrebbe potuto alterare i dati dei bollettini sull’andamento dell’epidemia di coronavirus che regolano le misure sanitarie del nostro Paese. Poteva decidere di cancellare l’epidemia in Sicilia o creare un picco di contagi in Val d’Aosta. E tutto perché chiunque poteva accedere al portale dove immettere questi dati.
Tutto nasce da una circolare ministeriale dell’8 aprile scorso, firmata da Giovanni Rezza, direttore generale della prevenzione sanitaria e già membro del disciolto Comitato tecnico scientifico, e Andrea Urbani, responsabile della programmazione sanitaria. Un documento che invita regioni e province autonome a proseguire nella comunicazione relative a tamponi, positività, ricoveri e posti letto disponibili.
Fin qui nulla di male. Il vero guaio riguarda le modalità con le quali raccogliere questi dati. Il ministero della Salute ha scelto di affidarsi ad una piattaforma commerciale. Sulla quale, questo il vero problema, avrebbe potuto accedere chiunque, inserendo i dati. Il primo ad accorgersi del bug è stato su Twitter, Stefano Tonini. Nel post veniva riportata la circolare ministeriale nella quale è specificato che, dopo la fine dell’emergenza e quindi della collaborazione con la Protezione civile il 31 marzo, i dati giornalieri sul Covid, compresi i i ricoveri in ospedale, dovevano essere inseriti dai responsabili non su un sistema informatico interno ma su un form creato attraverso la piattaforma SurveyMonkey, un sito che serve a creare e compilare sondaggi, utilizzato sia dalle aziende per le ricerche di mercato che da singoli utenti per usi meno commerciali.
🆕 08/04/2022 Circolare @MinisteroSalute
📌Rilevazione giornaliera dati #COVID19: dati aggregati, posti letto attivati e accessi presso i servizi di Pronto Soccorso https://t.co/ZdCHUUer4w#Coronavirus #AM #TI #ICUCovid #Omicron #11aprile
cc/ @vi__enne @ondatait @539th pic.twitter.com/ZipljZStn8— Stefano Tonini (@tonini_stef) April 11, 2022
Il problema era tutto nella sicurezza. Come ricostruito da Wired, per accedere al portale e immettere i dati venivano richieste tre informazioni: nome e cognome dell’utente, un indirizzo mail e il numero di telefono del referente regionale per la rilevazione dei dati sul Covid-19. E chiunque fosse in possesso di quei dati anche con credenziali non verificate, poteva quindi accedere al portale. Molti utenti hanno azzardato un accesso ed hanno spiegato che non era richiesta una password per confermare l’identità, tanto che qualcuno si è “firmato” come Vladimir Putin. Al momento il portale è stato disattivato e al link indicato nella circolare del Ministero compare una pagina vuota e un messaggio: «Questo link è stato disattivato per motivi tecnici. Contattare l’Ufficio 6 della Direzione Generale della Programmazione Sanitaria del Ministero della salute per avere indicazioni sulle nuove modalità di trasmissione dei dati».
