Mit drei Geldbußen in Höhe von jeweils 10.000 Euro, die der Region Molise , der Molise Dati Company und Engineering Ingegneria informatica SpA auferlegt wurden , hat der Datenschutzbeauftragte die Verfahren festgelegt, die nach dem Eindringen in das regionale FSE-Portal zwischen November und Dezember 2022 eingeleitet wurden.
Der Datenverstoß, der durch eine Schwachstelle im IT-System verursacht wurde, hatte es einem authentifizierten Bürger in der Rolle „Betreuter“ ermöglicht, durch eine Manipulation der URL nach Informationen zu sieben im Regionalregister von Molise eingetragenen Personen zu suchen. Durch den unbefugten Zugriff seien personenbezogene Daten betroffen gewesen; des Wohnsitzes und des Domizils; und die in Dokumenten und Gesundheitsberichten der betroffenen Benutzer enthaltenen Informationen.
Während der Untersuchung stellte der Garant fest, dass der Verstoß durch eine Sicherheitslücke im Authentifizierungssystem verursacht wurde, das für den Zugriff auf die elektronische Gesundheitsakte der Region Molise verwendet wurde.
In diesem konkreten Fall verhängte die Behörde eine Sanktion gegen die Region Molise als Eigentümerin des Portals und gegen das Unternehmen Molise Dati als Verantwortliche für die technische Umsetzung des FSE, weil sie keine Kontrollen durchgeführt hatten, um das mögliche Vorhandensein ähnlicher Fehler in der von Engineering entwickelten Software festzustellen, dem Unternehmen, das die Region Molise für die Entwicklung der technischen Komponenten des Portals beauftragt hatte.
Bei der Konzeption der innerhalb der FSE eingesetzten IT-Systeme, einschließlich der Authentifizierungs- und Autorisierungssysteme, hatte Engineering SpA keine geeigneten Maßnahmen ergriffen, um den Zugriff der Benutzer ausschließlich auf die sie betreffenden Informationen zu beschränken. Dies ermöglichte somit die rechtswidrige Handlung eines Dritten, der nach erfolgreichem Authentifizierungsverfahren durch die Änderung der URL Funktionen nutzen konnte, zu denen er keine Berechtigung hatte.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10095854