Certificati online, la Sit (Società Italiana di telemedicina) rassicura: non ci sarà alcun blocco attraverso il codice fiscale, ma alcune criticità permangono

E' quindi sempre possibile a chiunque bloccare l'accesso di un altro utente al sistema mediante un attacco mirato. L'importante è che il sistema sia dotato di accorgimenti atti a mitigare efficacemente l'impatto di questa vulnerabilità. Nel caso specifico il portale prevede che ogni utente medico abbia una “credenziale di emergenza” da utilizzare in caso di blocco dell'accesso principale. Ciò è analogo a quanto avviene nei telefoni cellulari, dove mediante il codice PUK si può ripristinare l'operatività di un telefonino bloccato in seguito al ripetuto inserimento di un PIN errato. Sfruttando questa credenziale di emergenza il medico che abbia l'accesso principale bloccato può ugualmente accedere al sistema e ripristinarne la corretta operatività rimuovendo il blocco in modo facile e veloce, senza conseguenze pratiche sulla propria attività o sulla comunità dei propri assistiti. “Per quanto riguarda le presunte vulnerabilità del sistema – precisano alla Sit -, occorre innanzitutto ricordare che l'art. 64 del Codice dell’amministrazione digitale vigente prevede l'accesso ai siti web della PA sia con dispositivi di autenticazione forte (carta di identità elettronica e carta nazionale dei servizi) sia, in via transitoria, con dispositivi deboli (user ID e password, purché rispettino alcune misure di sicurezza come l'identità certa degli utilizzatori n.

d.r.). Inoltre le linee guida per i siti web della PA, emanate in ottemperanza a quanto previsto dall’art. 4 della direttiva del Ministro per la pubblica amministrazione e l’innovazione n. 8/2009, con riferimento all’acceso ai servizi on-line prevedono espressamente l'utilizzo, come User ID, del codice fiscale degli utenti, nonché il blocco obbligatorio del sistema dopo diversi tentativi errati d'inserimento della password. Il portale SistemaTS è tuttavia dotato di un'apposita procedura on-line di ripristino della password del medico certificatore eventualmente bloccata, la quale si basa su di un sistema di rilevazione di due domande-risposte segrete inserite dal medico stesso in fase di registrazione. Tramite tale verifica egli può autonomamente, ed in pochi secondi, ripristinare on-line la propria password in caso di errato inserimento, dimenticanza od uso fraudolento della stessa, senza alcuna necessità di recarsi alla ASL per ottenere una nuova busta con le sue credenziali d'accesso al sistema. Tale procedura è esaustivamente descritta al punto 5, pagina 7, del manuale operativo (versione 25/11/2009) per l'autenticazione al portale del SistemaTS. Analogamente per la certificazione d'invalidità civile INPS, che utilizza sempre i codici fiscali dei medici come user ID, il pronto ripristino della password è garantito dall'inserimento, in fase di registrazione, del numero di cellulare e dell'indirizzo e-mail del medico certificatore. A parere degli esperti della Società Italiana di Telemedicina e sanità elettronica, quindi, il presunto problema non è specifico del sistema di certificazione on-line di malattia o di invalidità civile ed è per certi versi solo teorico. Del medesimo problema soffrono infatti, ad esempio, tutti i servizi on-line che utilizzano come identificativo utente il suo indirizzo di posta elettronica, il quale è noto per definizione almeno a tutti coloro con cui egli è entrato, anche solo una volta, in contatto. La criticità evidenziata non è dunque da riferirsi alla scelta di un determinato identificativo utente o nella presenza del blocco automatico per troppi tentativi di accesso errati, ma nella effettiva disponibilità di una modalità mediante la quale poter ripristinare facilmente e rapidamente un accesso bloccato a seguito di errore o di dolo. Essendo tale possibilità a  disposizione del medico utente sia del portale SOGEI che quello INPS, ed attivabile facilmente on-line, il problema evidenziato è comunque marginale. Naturalmente la sua effettiva funzionalità dipende dalla cura con cui il singolo medico ha effettuato la registrazione al portale: se egli non ha provveduto ad inserire i dati necessari al ripristino in caso di blocco, sebbene chiaramente richiesti, non potrà avvalersi della procedura di emergenza in caso di blocco ma dovrà effettivamente recarsi di persona presso la ASL o presso l'INPS per richiedere nuove credenziali, vanificando così completamente l'utilità e l'efficacia del sistema on-line. Clicchi qui per commentare.