di Giacomo Dotta*
L’emergenza Coronavirus sta mettendo alla prova l’Italia sotto molti aspetti e non è certo un caso se nelle ultime ore le tensioni tra Stato e Regioni son venute a moltiplicarsi: l’improvvisazione di qualcuno, il protagonismo di altri, la fragilità dei protocolli e un sistema evidentemente non ben coordinato per poter affrontare una situazione simile, hanno dato luogo ad una grande frammentazione di azioni mal coordinate tra di loro. In alcuni casi, però, l’interventismo potrebbe aggiungere problemi ulteriori a quelli che in parte già ci sono.
Il caso è ad esempio quello di una Azienda Sanitaria Locale pugliese, quella di Taranto dove per raccogliere informazioni sui cittadini si è affidato il tutto ad un modulo su Google Moduli. Leggete questa storia, c’è molto da imparare sul fatto che la fretta sia cattiva consigliera e la rigidità dei protocolli sia invece una guida utile soprattutto in casi di emergenza.
Quella raccolta dati su Google Moduli
Affidarsi a Google Moduli in caso di emergenza assoluta potrebbe essere una scelta pragmatica, ma si sta parlando in questo caso della Puglia, ossia di una regione che al momento non registrava alcun caso positivo al Coronavirus: di emergenza, insomma, sicuramente non si può parlare. Semmai di situazione seria, con la premura di agire per evitare il contagio, ma anche con le necessarie cautele onde evitare problemi collaterali.
Con lecite finalità preventive tali da omologare il comportamento della Regione a quello delle altre, il governatore Emiliano ha emesso una serie di misure precauzionali (Pdf) tra le quali si può leggere:
“…] gli individui che dal 1 febbraio 2020 sono transitati ed hanno sostato nei comuni di cui all’allegato 1 [zone colpite da Coronavirus] sono obbligati a comunicare tale circostanza al Dipartimento di prevenzione dell’azienda sanitaria competente per territorio, ai fini dell’adozione, da parte dell’autorità sanitaria competente, di ogni misura necessaria, ivi compresa la permanenza domiciliare fiduciaria con sorveglianza attiva”
Ogni ASL è dunque deputata alla raccolta dei dati così come da indicazioni regionali, ma non vengono indicate modalità operative specifiche. Così come la maggior parte delle ASL si limita a riportare i dettami regionali, la sola ASL di Taranto tenta di farsi proattiva e porta online un vero e proprio modulo da compilare. Il problema sta nelle modalità.
“Il Dipartimento di Prevenzione ASL Taranto rende disponibile un form di compilazione online per rendere più agevole il censimento dei cittadini rientrati dalle regioni nelle quali ci sono stati casi di coronavirus. […] I cittadini provenienti da Piemonte, Lombardia, Veneto, Emilia Romagna, e che vi abbiano soggiornato negli ultimi 14 giorni, che rientrano nel territorio della provincia di Taranto devono, pertanto, comunicare la circostanza al proprio medico di medicina generale o, in mancanza accedere al link e compilare il form online. Clicca qui.”
Vengono forniti due strumenti all’utente interessato: un link e un QR Code. Entrambi rimandano non ad una pagina sul sito dell’ASL Taranto (dunque verificabile, certificato, trasparente, inoppugnabile) ma su un form creato con gli strumenti di Google Moduli. L’utente, insomma, viene rimandato su un sito terzo, privo di qualsivoglia riferimento certo all’Azienda Sanitaria stessa.
Sul modulo vengono chiesti dati personali quali cognome, nome, numero di telefono, residenza, email. Al click vengono spedite le informazioni e l’utente non ha ovviamente certezza alcuna di quale sia il destinatario della missiva. Dove saranno raccolti i dati? Con quali protocolli di sicurezza? Ma c’è dell’altro.
E se qualcuno producesse un modulo fake?
Chi conosce Google Moduli ben sa quanto semplice sia replicare un modulo altrui. Lo prevede la facilità dello strumento, pensato per consentire la produzione di un modulo in pochi minuti, scegliendo poche opzioni e rendendolo immediatamente utilizzabile. Ipotizziamo dunque che qualcuno produca un modulo del tutto identico e che faccia circolare l’indirizzo su Facebook o WhatsApp (come sta ampiamente succedendo in Puglia in queste ore per spargere la voce sulla richiesta di informazioni avviata a livello regionale). Ipotizziamo che le persone rispondano, convinte di aver inviato i propri dati alle autorità competenti.
Nessuno contesta la buona fede dell’ASL Taranto, che anzi ha cercato proattivamente una soluzione per dar corpo alle richieste della Regione; nessuno contesta la buona fede dell’utente, che compila il form pur senza verificarne la sicurezza, certo della buona fede dell’ASL e di chi ha inoltrato il messaggio. Ma in questo meccanismo si aprono scenari sconcertanti, del tutto ovvi e del tutto pericolosi.
Abbiamo fatto un test che ci ha richiesto appena 10 minuti di tempo: abbiamo prodotto un modulo fake, uguale in tutto e per tutto al modulo predisposto dall’ASL Taranto. Sulla pagina abbiamo esplicato che si tratta di un fake, così che nessuno possa sfruttarlo a fini maligni. Chiunque avrebbe potuto fare quel che abbiamo sperimentato noi ed avrebbe drenato informazioni da persone in situazione di fragilità, poiché potenzialmente contagiate. La combinazione tra il timore del contagio e la fragilità del sistema adottato per la raccolta dei dati potrebbe portare ad organizzare facili truffe a domicilio, sfruttando email, telefono o una visita porta a porta di sicura pericolosità (come già successo altrove in Italia in questi giorni).
Confrontate i due moduli e la pericolosità di questo sistema emerge in tutta chiarezza:
Il modulo era segnalato sul sito ASL Taranto, ma al tempo stesso era condiviso in gran quantità sui social network o tramite messenger: siccome anche l’url non dava alcun riferimento affidabile, il modulo non certificava in alcun modo la provenienza dello stesso. Sfidiamo chiunque a distinguere il vero dal falso partendo semplicemente dalle url:
- https://forms.gle/WJYGRYQVccTSeCaw8 (Modulo dell’ASL di Taranto, non più raggiungibile)
- https://forms.gle/MtJNurJKkSmmx1nV9 (Modulo FAKE prodotto da noi)
Ovviamente nessuno può capire dove sta atterrando dopo il click a partire dall’indirizzo, dunque la truffa sarebbe estremamente semplice da portare avanti: una semplice opera di spam, magari affidata all’innocente passaparola dei cittadini sui social network, e il gioco è fatto.
Cosa abbiamo fatto
Abbiamo provato in più modi a contattare l’ASL di riferimento, cioè quella di Taranto, riuscendo a distanza di 12 ore dalla scoperta ad entrare in comunicazione con alcuni responsabili i quali, in modo estremamente cortese e collaborativo, hanno compreso la situazione e vi hanno posto sollecito rimedio. Il modulo è stato portato offline in queste ore e con ogni probabilità sarà sostituito a breve da soluzioni più sicure.
All’insegna della responsible disclosure, raccontiamo questa storia a soluzione avvenuta poiché chiunque avrebbe potuto ricavare medesima idea e tentare una truffa che in poche ore si sarebbe potuta mandare a segno con grande facilità. Non si segnalano invece problemi di sorta, i dati sono stati raccolti nel database corretto e saranno utilizzati secondo le modalità indicate. A cambiare da adesso in avanti sarà però la metodologia scelta per la raccolta, evitando di aprire semplici opportunità di raggiro per sciacalli e malintenzionati.
Si raccomanda inoltre agli organi di stampa locali che han comunicato l’iniziativa originale di notificare anche le nuove modalità di raccolta dati, così da evitare che il passaparola del primo form possa continuare e tutti possano sapere come agire per garantire la prevenzione da contagio.
Questa è una storia che può insegnare molto ad associazioni, aziende, pubbliche amministrazioni e tutti coloro i quali in questa fase hanno un ruolo di responsabilità: la fragilità degli individui di fronte ad una emergenza sociale costringe ad una attenzione maggiore, suggerendo una applicazione ancor più rigida dei protocolli. Al di là di fretta e pragmatismo, insomma, perché la privacy è un bene da proteggere anche ai tempi del Coronavirus.
*articolo tratto dal sito Punto-Informatico.it