Custodire i propri dati sanitari

Premessa

È sempre più difficile oggi giorno per l’utente medio orientarsi in modo corretto nel mondo digitale: fenomeni come phishing, smishing, social engineering e attività fraudolente sono purtroppo diventati parte della quotidianità.

Per questo motivo è fondamentale acquisire una maggiore consapevolezza su come operare online in maniera sicura, come custodire adeguatamente i propri dati personali e quali comportamenti evitare per non incorrere in situazioni spiacevoli o potenzialmente dannose.

I dati in questione sono di natura altamente sensibile: oltre a contenere informazioni relative allo stato di salute, la maggior parte dei referti ospedalieri e ambulatoriali, generalmente già nell’intestazione, riporta le informazioni fondamentali della persona, quali nome e cognome, codice fiscale, indirizzo di residenza, numero di telefono, eventuali esenzioni o invalidità.

L’utente medio spesso sottovaluta l’importanza di custodire in modo appropriato i dati personali: è infatti diffuso il convincimento che tali informazioni non abbiano particolare valore, alimentato dall’idea di “non essere nessuno” e quindi di non rappresentare un reale interesse nei confronti di eventuali malintenzionati.

Quando i dati sanitari finiscono nelle mani sbagliate

• Episodi di Doxxing: Il doxxing è la pratica di raccogliere e divulgare pubblicamente informazioni personali o identificative di una persona senza il suo consenso, spesso con l’intento di intimidire, molestare o danneggiare la vittima. Tradizionalmente associato a indirizzi, numeri di telefono o altri dettagli personali, può includere anche dati clinici e referti che contribuiscono a creare l’effetto “impronta digitale”, rendendone quasi impossibile la rimozione totale dal web
• Truffe mirate di Social Engineering: Conoscere i dati sanitari di un individuo permette a un truffatore di creare l’inganno perfetto. Ad esempio, con tali informazioni è relativamente semplice spacciarsi per conto di un’ASL che, riportando i dettagli di un esame effettuato di recente, chiede di regolarizzare un pagamento entro pochi giorni o fornire estremi bancari per un rimborso. La precisione dei particolari e il senso di urgenza potrebbero spingere l’utente a fidarsi senza remore
• Furto di identità per farmaci e agevolazioni indebite: Dati clinici eventualmente esposti potrebbero essere utilizzati per ottenere a proprio nome farmaci costosi o sotto controllo (oppiacei, ecc.) oppure potrebbero essere sfruttate esenzioni e ottenere indebitamente vantaggi economici
• Profilazione commerciale e discriminazione: Non tutti i malintenzionati sono solamente hacker; i dati trapelati potrebbero essere utilizzati per targeting pubblicitario aggressivo. Ancora, un datore di lavoro o un’assicurazione giunti a conoscenza di una determinata patologia, potrebbero utilizzare tale informazione (sebbene illegalmente) per valutare il soggetto come profilo a rischio, negando un contratto o un rimborso assicurativo
• Esposizione pubblica involontaria: L’integrazione tra dispositivi mobili e servizi cloud può generare gravi rischi per la riservatezza qualora i meccanismi di sincronizzazione non siano configurati correttamente. Un caso emblematico riguarda Google Maps, dove l’attivazione automatica del caricamento della galleria fotografica verso i profili Local Guide può determinare la pubblicazione involontaria di contenuti privati, inclusi documenti d’identità e referti fotografati.

Tale criticità è accentuata da possibili errori in fase di caricamento manuale nel caso di recensioni o post fotografici: l’utilizzo distratto della funzione ‘Seleziona tutto’ può infatti esporre pubblicamente file sensibili archiviati tra le miniature del dispositivo. Ad aumentare sensibilmente il rischio di data leak accidentali contribuiscono spesso la fretta e l’assenza di un’adeguata verifica dei contenuti prima della pubblicazione

Come mettere in sicurezza i propri dati sanitari

• Oltre il Fascicolo Sanitario: Indubbiamente l’introduzione del Fascicolo Sanitario Elettronico (FSE) rappresenta un grande passo avanti nella gestione dei dati clinici e offre robusti sistemi di autenticazione. Tuttavia, il servizio presenta ancora limiti strutturali nell’organizzazione dei documenti, rendendo complessa una consultazione personalizzata e sistematica della propria storia medica e a ciò si aggiunge che non sempre tutti i referti confluiscono automaticamente in esso.

Per non essere costretti ad affidarsi esclusivamente al cartaceo, è buona norma archiviare i file seguendo un ordine logico e suddividendoli per aree tematiche. Per i referti fotografati, è preferibile convertirli in formato PDF ricercabili tramite tecnologia OCR (Optical Character Recognition). Per avere il massimo della privacy, è poco raccomandabile fare upload su servizi online di conversione ma è molto più sicuro ricorrere a software offline e open source (come ad esempio gImageReader)

• Crittografia desktop: Se possibile, abilitare la crittografia del disco del proprio computer: a differenza dei moderni smartphone Android e iPhone che hanno la crittografia dei dati attivata di default su filesystem e backup, i computer Windows, macOS e la maggior parte delle distribuzioni Linux richiedono infatti ancora dei passaggi manuali per abilitare rispettivamente BitLocker, FileVault e LUKS
• L’importanza degli account separati: In contesti domestici, è fondamentale abbandonare l’abitudine dell’account unico in favore di account utente separati per ogni membro della famiglia. Ogni account deve essere protetto da una password robusta (mai lasciata vuota). Questa pratica non risponde solo a un’esigenza di privacy, ma è una misura di sicurezza attiva: impedisce che un errore accidentale (come la cancellazione di un file o l’installazione di un software malevolo) possa colpire i dati di tutti. Inoltre, è consigliabile assegnare privilegi di Amministratore a un solo utente e utilizzare account standard per l’uso quotidiano, così da limitare i danni in caso di infezioni da virus o malware
• Non lasciare la porta aperta: Una volta scaricato o consultato un referto, è una pratica fondamentale effettuare sempre il logout manuale dalla propria area riservata (Fascicolo Sanitario, portale del laboratorio o assicurazione). Molti utenti commettono l’errore di chiudere semplicemente l’applicazione o la scheda del browser, ma questo non interrompe necessariamente la sessione di lavoro.

Spesso quest’ultima rimane attiva in background anche per diverse ore (a seconda delle impostazioni lato server) e ciò diventa particolarmente critico soprattutto su dispositivi mobili: in caso di smarrimento, furto o prestito momentaneo dello smartphone, chiunque acceda al browser potrebbe rientrare nei dati sanitari senza dover reinserire le credenziali. Il logout forzato invece cancella i token di accesso temporanei

• Cloud sì, ma in sicurezza: L’adozione di servizi cloud consolidati (quali Google Drive, iCloud, OneDrive, Dropbox o MEGA) rappresenta senz’altro il primo passo per una corretta gestione dei propri dati. Tuttavia, sebbene tali piattaforme offrano elevati standard di sicurezza, l’affidamento incondizionato a un unico fornitore non è mai una scelta prudente.

I casi di data breach sono rari, mentre il fattore critico rimane spesso l’utente: la compromissione di credenziali di accesso deboli o il loro smarrimento possono determinare la perdita definitiva dei file o la loro esposizione a terzi. Una strategia di sicurezza efficace deve quindi prescindere dalla reputazione del servizio e basarsi su principi di ridondanza e protezione attiva. Per questi motivi è indispensabile attivare un secondo fattore di autenticazione (2FA).

Per una sicurezza di grado avanzato, l’ideale sarebbe caricare archivi compressi e protetti da password di modo da non lasciare file in chiaro: la maggior parte dei tool di compressione come 7zip, WinZip, Keka, ecc consentono infatti di creare archivi con password cifrati da algoritmo AES-256 (lo standard attuale della cifratura simmetrica). Alcuni servizi (come OneDrive) offrono anche un “Vault” o “Cartella Personale” protetta da un ulteriore PIN

• Strategie di archiviazione sicura: Ricordiamo che nell’informatica, disporre di una sola copia dei dati non è solo insufficiente, ma è una deriva pericolosa che alimenta un falso senso di sicurezza (la cosiddetta “Sindrome del falso backup”). Ogni file è infatti esposto a rischi costanti come cancellazioni accidentali, corruzione dei dati, guasti hardware o outage dei servizi cloud a cui ci si appoggia.

È fondamentale distinguere tra sincronizzazione e protezione: affidarsi esclusivamente a un agent cloud senza ulteriori copie locali non è un vero backup, ma significa semplicemente delegare i propri dati al “computer di qualcun altro” senza altri paracadute. Si pensi al caso di un ransomware che renda illeggibili tutti i file del proprio PC: il software di sincronizzazione caricherà immediatamente quei file infettati sul servizio cloud, sovrascrivendo quelli validi. Per questi motivi è bene fare riferimento al gold standard dell’archiviazione, la regola del 3-2-1 di cui abbiamo già accennato qui

• Gestione delle credenziali: Se la crittografia rappresenta la cassaforte, il password manager è il custode delle chiavi che ne consente l’accesso. Considerando che l’ecosistema Google è oggi il più diffuso e, per molti aspetti, il più pratico rispetto ai concorrenti, è opportuno evidenziare come, sotto il profilo della privacy e dell’integrazione con la sicurezza hardware, possa risultare meno rigoroso rispetto agli approcci adottati da Apple e Mozilla.

Per questo motivo è buona prassi utilizzare regolarmente lo strumento ufficiale Google Password Manager per effettuare un controllo delle credenziali salvate, sostituendo tempestivamente le password deboli, compromesse o riutilizzate su più servizi.

Google, inoltre, ha introdotto recentemente la facoltà di crittografare le password sul dispositivo prima che vengano salvate nel gestore password cloud: ciò rappresenta un notevole salto in avanti per quanto riguarda privacy e crittografia end-to-end. Il metodo per sbloccare il proprio keyring (la password personale di Google, il blocco schermo del telefono o una passkey) è completamente in capo all’utente. Di contro, perdere il device impiegato per l’abilitazione o la password di Google significa perdere l’accesso alle password memorizzate (principio della Zero-Knowledge Architecture); è comunque prevista una procedura di recupero attraverso numero di telefono e indirizzo email secondario.

Per una sicurezza di grado avanzato, Google consente anche, previa impostazione di una passkey, di utilizzare chiavette fisiche conformi agli standard FIDO (es. Titan Security Key) per sbloccare tutte le proprie credenziali memorizzate. In un’ottica di massima sicurezza, la strategia ideale prevede il superamento dei gestori password commerciali in favore di soluzioni open source che garantiscano il controllo esclusivo del database.

Progetti come KeePass e il suo derivato moderno KeePassXC rappresentano attualmente lo standard di riferimento: operando interamente offline, eliminano il rischio che le credenziali vengano trasmesse o archiviate su server di terzi parti. Sebbene offrano integrazioni di auto-compilazione avanzate per browser e app, il rovescio della medaglia è la totale responsabilità dell’utente circa gestione della sincronizzazione, dell’integrità del database e ridondanza dei backup

• Riconoscere il phishing sanitario: In presenza di email o messaggi che annunciano la disponibilità di referti online pronti per essere scaricati, specialmente se provenienti da mittenti con cui non si è mai interagito, è necessario verificare la legittimità della comunicazione prima di procedere: posizionando il cursore del mouse sopra il link (o tenendo premuto a lungo su mobile senza sollevare il dito), apparirà l’indirizzo reale di destinazione. In caso di dubbi, verificare la presenza di comunicazioni ufficiali nell’app IO o FSE e utilizzare appositi scanner online per valutare l’affidabilità del collegamento:
  • Safe Browsing site status
  • Phishing Link Checker for emails and URLs | EasyDMARC
  • VirusTotal: URL 

Diffidare di email che creano un senso di urgenza nella richiesta e ricordare che nessuna struttura sanitaria, per motivi di privacy GDPR, invia referti medici come file allegati alla mail o chiede di inviare credenziali o estremi bancari

• Protezione fisica e antifurto: Dal momento che lo smartphone è ormai il custode della nostra identità digitale – e considerato che la maggior parte delle persone utilizza quotidianamenti strumenti come il gestore password di Google o il Portachiavi iCloud – è bene accertarsi che le impostazioni relative al blocco schermo, alla reimpostazione da remoto e protezione dai furti siano attive:
  • Android: Remote Lock 

Impostazioni > Google > Tutti i servizi > Protezione dai furti

• • Iphone: Find Devices – Apple iCloud

Impostazioni > Protezione del dispositivo rubato

• Isolamento dei media sensibili: Su mobile, impostare una Safe Folder (Android) o un album Nascoste (iPhone) se si intende fotografare documenti riservati. Prestare attenzione anche a notifiche o suggerimenti che invitano a taggare foto e, prima di postare, tenere presente che potrebbe essere stato abilitato in precedenza il cross-posting tra piattaforme social.

Comportamenti che mettono a rischio la privacy

• Abbandono di tracce fisiche: Non lasciare mai file in chiaro su chiavette USB o dischi esterni non crittografati. Perdere il controllo fisico del supporto significa perdere il controllo del dato. Allo stesso modo, non buttare mai documenti sanitari cartacei senza averli prima distrutti (tramite un distruggi-documenti a frammenti): il fenomeno di Dumpster diving (frugare nell’immondizia) è ancora una tecnica usata per furti d’identità e fornisce molti elementi chiave per attività di social engineering o password guessing
• Uso di computer aziendali o condivisi: Evitare di salvare documenti personali su desktop comuni. Ricordare che un file cancellato tramite il cestino è spesso facilmente recuperabile con software di digital forensics. Se è necessario operare su un computer non personale, usare una sessione “Guest” e non salvare nulla sul disco locale. Se ciò non è evitabile, per la cancellazione utilizzare tool per la sovrascrittura dei dati (è consigliabile usare metodi affidabili come DOD 7 o Gutmann 35)
• Password incustodite: Mai salvare password in chiaro (Note, Excel, screenshot o post-it). È fondamentale evitare password deboli o riciclate: usare sempre il generatore del browser o del password manager. Attivare un secondo fattore di autenticazione (2FA) quando possibile
• Canali di invio inappropriati: Non inviare mai referti o dati sensibili via WhatsApp, Messenger o altri social. Sebbene crittografati end-to-end, i file rimangono salvati nei backup schedulati dello smartphone (a volte non crittografati nel cloud) e nelle gallerie immagini
• Wi-Fi pubblici e attacchi MITM: Accedere a portali sanitari da aeroporti o bar espone al rischio di Man-in-the-Middle (MITM). Diffidare categoricamente se una rete Wi-Fi chiede di installare un certificato o accettare un proxy per la navigazione: sono segnali inequivocabili che qualcuno sta tentando di intercettare e decifrare il traffico dati
• L’illusione del cloud ospedaliero: Molti portali sanitari eliminano automaticamente i referti dopo 45-90 giorni in conformità alle policy di data protection secondo GDPR. Se i documenti non vengono scaricati entro tali termine, si rischia di perderli definitivamente o di dover sostenere costi per ottenerne un duplicato.

Oltre a ciò, esistono ulteriori criticità da considerare: anche quando le piattaforme rispettano le normative vigenti e adottano adeguate misure di sicurezza, i dati restano comunque esposti rischi tipici dei servizi online: accessi non autorizzati, attacchi informatici o errori di configurazione. Spesso, inoltre, le credenziali di accesso ai portali sono spesso deboli o riutilizzate su più servizi: in caso di compromissione, un malintenzionato potrebbe accedere alla cronologia clinica dell’utente.

Per ridurre al minimo i rischi, è buona prassi scaricare tempestivamente i referti non appena disponibili, conservarli in modo sicuro e, ove previsto dal portale, procedere alla rimozione della copia online, così da limitare al minimo la permanenza dei dati sensibili su piattaforme esposte a Internet

• Galleria fotografica e metadati: Evitare di conservare immagini di referti in chiaro nella galleria dello smartphone. Oltre al rischio di pubblicazione accidentale di cui parlavamo prima, molte app chiedono l’accesso all’intera libreria foto, entrando potenzialmente in possesso di dati medici. Da non dimenticare poi che le immagini contengono metadati (EXIF) che riportano data, ora, modello del dispositivo e posizione GPS se attivata
• App salute non ufficiali: Sebbene Play Store e App Store effettuino un’attenta attività di controllo e revisione prima della pubblicazione di un’applicazione, è comunque fondamentale mantenere un atteggiamento prudente prima di utilizzare applicazioni per salute e benessere. In particolare, è consigliabile evitare app poco conosciute o prive di riferimenti chiari: il rischio è che monetizzino attraverso la raccolta e la cessione a terzi di dati biometrici per finalità pubblicitarie o assicurative.

È sempre opportuno verificare l’identità dello sviluppatore e leggere con attenzione le informative sulla privacy. Inoltre, va ricordato che una volta caricati su un servizio online, i dati non sono sempre eliminabili in modo definitivo: la cancellazione può essere solo apparente, poiché le informazioni potrebbero essere già state indicizzate in altri database o trasferiti su server esterni, determinando una permanenza del dato non intenzionale. 

Conclusioni

La privacy non si apprezza mai abbastanza finché non viene violata. Sebbene il rischio zero non esista, la consapevolezza resta il nostro firewall più potente. La protezione dei dati sensibili non è una sfida riservata esclusivamente alle grandi organizzazioni, ma una responsabilità individuale con ripercussioni sulla nostra vita quotidiana: dedicare pochi minuti oggi alla prevenzione significa risparmiare anni di complicazioni domani.

Imparare a riconoscere le minacce e adottare comportamenti prudenti è l’unico modo per muoversi con serenità in un ecosistema sempre più connesso. La nostra storia clinica è un patrimonio prezioso: ora che abbiamo conoscenze e strumenti per difenderla, spetta a noi non lasciarla incustodita.