Non si scherza sulla sicurezza informatica, ma ci sono Pubbliche Amministrazioni che continuano a farlo. Se la Provincia di Cuneo ha ammesso l’errore e si è redenta, la ASL abruzzese Lanciano- Vasto- Chieti chiede agli utenti di pagare le prestazioni online attraverso una procedura priva di certificazione di sicurezza. Notizia diffusa dal quotidiano digitale PrimaDaNoi.it e verificata personalmente. Quando si accede alla pagina della ASL per pagare il ticket, cancellare prenotazioni, informarsi sui tempi di attesa, il lucchetto del browser – in alto a sinistra nella barra dell’indirizzo – avverte che c’è qualcosa che non va. Si clicca sul lucchetto e si scopre che:
- l’identità di questo sito web non è stata verificata;
- il certificato del server non corrisponde all’URL
- Il certificato del server è scaduto
- Il certificato del server non è affidabile.
Ovvero, il sito sta usando una connessione protetta (SSL) non certificata da una Certification Authorityufficiale. Date uno sguardo qui per i dettagli sugli indicatori di sicurezza dei siti web.
E’ una grave lacuna, perché stiamo parlando di dati sensibili, cioè informazioni personali, carte di credito, eccetera, per di più siamo in un ambito delicato come quello sanitario.
Eppure l’annuncio ufficiale sul sito della ASL induce all’errore. C’è scritto che “Tutte le operazioni saranno effettuate in condizioni di estrema sicurezza, grazie a un sistema di protezione crittografato utilizzato per garantire trasferimenti riservati di dati nel web”.
Ci dispiace smentire la ASL, ma senza la certificazione ufficiale da parte di una CA indipendente, terza rispetto al gestore di un sito, la sicurezza proprio non c’è. Lo ha detto e ribadito anche il Garante per la protezione dei dati personali, nel provvedimento del 18 settembre 2008 (Anagrafe tributaria: sicurezza e accessi) che riguardava l’Agenzia delle Entrate:
“Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in mancanza di una Ca affidabile, non offre le garanzie di certezza dell’identità dell’erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell’applicazione”.
“L’Agenzia deve prevedere che tutte le applicazioni accessibili da rete pubblica in forma di web application siano implementate con protocolli https/ssl provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale, evitando il ricorso a certificati di tipo self-signed”.
Per approfondire, segnalo il documento dell’associazione Cittadini di Internet su certificazione digitale e Pubblica Amministrazione nel Web.