Se finora gli attacchi hacker sembravano quasi tutti concentrati verso il sistema bancario e finanziario, con la plausibile spiegazione di una maggiore facilità di monetizzare le informazioni trafugate riguardanti carte di credito e credenziali di accesso ai conti online degli utenti, recentemente pare che le informazioni sanitarie rappresentino la nuova frontiera del grande business (lecito e illecito) dei dati.
Infatti, nei giorni scorsi negli Usa sono state date notizie di due violazione massive di dati sanitari, una che ha colpito 974.000 pazienti della clinica dell’Università di Washington, e l’altra che ha riguardato 326.000 utenti del UConn Health, un grande centro medico accademico.
In entrambi i casi, i pirati informatici sono riusciti ad accedere a nominativi, date di nascita, indirizzi email, dati relativi alla fatturazione, informazioni sugli appuntamenti per visite mediche ed esami clinici, informazioni sulla salute dei pazienti, e anche il social security number (SSN) di alcune migliaia di persone.
Peraltro, non sono solo i cybercriminali ad essere attratti dalle informazioni che riguardano la salute degli utenti, tanto è che sempre in questi giorni il Wall Street Journal ha puntato ancora una volta il dito su Facebook, sostenendo che 11 popolari app utilizzate per il popolare social network raccolgono dati sanitari come battito cardiaco, pressione sanguigna, cicli mestruali e persino stati di gravidanza. E questa ultima notizia ha avuto un impatto talmente dirompente da allertare in prima persona il governatore dello stato di New York, Andrew Cuomo, che ha parlato di “oltraggioso abuso della privacy”, disponendo l’immediata apertura di un’indagine.
Benché queste situazioni ben diverse tra loro abbiano in comune solo lo sviscerato interesse di accaparrarsi più dati sanitari possibile, il fatto che hacker e colossi del web trovino le porte spalancate quando mettono in atto i loro stratagemmi evidenzia una preoccupante scarsa cultura della privacy sia da parte degli utenti che da parte degli addetti ai lavori, che sicuramente tengono molto alla loro salute ma molto meno però ai dati che la riguardano:
i primi, infatti nella maggior parte dei casi non si curano affatto di leggere le informative su quali informazioni saranno trattate e per quali finalità, dando in modo disinvolto il loro consenso pur di installare sbrigativamente l’app desiderata. Per quanto riguarda i secondi, specialmente i manager del mondo della sanità, stentano ancora ad acquisire la necessaria consapevolezza e continuano a lesinare oltremodo sui budget, come se investire per proteggere i dati sanitari fosse un inutile spreco di soldi.
Se il mondo del fintech investe sempre di più nella sicurezza dei dati ed il sistema bancario è sempre più ostico da violare, quello della sanità finisce invece per fare l’effetto del miele per le api, attirando con tutte le sue vulnerabilità l’interesse degli hacker, che possono comunque mercificare i dati sulla salute delle persone utilizzando le email dei malati per inviare loro specifici messaggi promozionali di farmaci contraffatti sulla base delle loro patologie, oppure vendendo i database sul deep web o addirittura a case farmaceutiche, magari spacciando tali banche dati come lecite e a “norma di Gdpr”. A tal proposito, occorre rammentare che l’art.167 ter del Codice Privacy (Dlgs 196/2003) prevede che “chiunque, al fine trarne profitto per sè o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala e’ punito con la reclusione da uno a quattro anni.”
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi