Diritto e Fisco | Articoli

Siti della P.A. non sicuri: certificazioni inattendibili

10 luglio 2012 | Autore:


> Diritto e Fisco Pubblicato il 10 luglio 2012



Il sito delle Asl di Cuneo e di Chieti-Lanciano-Vasto è privo di certificazione di sicurezza. 

Una vecchia storia, ormai, quella dello Stato che predica bene e razzola male: questa volta la questione nasce dal sito delle Asl di Cuneo e di Chieti-Lanciano-Vasto, da cui è possibile pagare il ticket attraverso una procedura online sprovvista però di qualsiasi certificazione di sicurezza. In pratica, quando il cittadino accede al sito delle predette aziende per regolarizzare le prestazioni sanitarie, cancellare le prenotazioni o informarsi sui tempi di attesa, benché sulla barra dell’indirizzo web vi sia l’icona a forma di lucchetto (che dovrebbe essere il simbolo di una maggiore garanzia per l’utente) scopre invece che non vi è alcuna sicurezza.

È lo stesso sito dell’Asl ad autodenunciarsi e a dichiarare che:

Questa connessione non è affidabile (…). Non è possibile confermare la sicurezza del collegamento. Il cup.asl2abruzzo.it utilizza un certificato di sicurezza non valido (…). Il certificato non è attendibile in quanto non è stata fornita alcuna catena dell’emittente (…). Il certificato è scaduto il 15/12/2011 alle ore 19.22”.

In altre parole, significa che:

– l’identità del sito non è stata verificata;

– il certificato del server non corrisponde all’Url;

– il certificato del server è scaduto;

– il certificato del server non è affidabile.

Ciò succede perché la “connessione protetta” (cosiddetta SSL, ossia Secure Sockets Layer) non è stata certificata da uno degli organismi abilitati a farlo (un Certification Authority ufficiale, o più semplicemente CA). Infatti, solo determinate autorità sono preposte dalla legge a certificare la sicurezza dei siti internet che trattano dati particolarmente delicati (v. conti correnti bancari, dati sulla salute o sui dati sensibili dei cittadini, ecc.). In particolare, le certificazioni effettuate da CA indipendenti sono attendibili e affidabili, al contrario di quelle self signed, ossia fatte dallo stesso sito, senza l’intervento di un CA esterno.

Stupisce che, ancora una volta, è proprio dallo Stato, che dovrebbe essere preposto alle massime tutele del cittadino e, in particolar modo dei più deboli e sprovveduti, provengano proprio le principali insidie. Non è, infatti, neanche remota la possibilità del cittadino che paghi il ticket online, fornendo gli estremi della propria carta di credito, col rischio che essa venga intercettata e utilizzata da terzi per fini illeciti.

Nel caso di specie, il problema è tanto più allarmante quanto più si pensi al tipo di dati che le Asl trattano: campi come quello sanitario meriterebbero un’attenzione superiore rispetto a qualsiasi altro.

A peggiorare la situazione vi è il fatto che, nella sezione news dello stesso sito dell’Asl, si afferma, in modo quindi fuorviante, l’esatto contrario, ossia che “le operazioni effettuate in condizioni di estrema sicurezza, grazie a un sistema di protezione crittografato utilizzato per garantire trasferimenti riservati di dati nel Web, di un significativo passo in avanti in tema di accessibilità”.

Sulla necessità di una certificazione dei siti della Pubblica Amministrazione da parte di un C.A. si è già pronunciato il Garante della privacy, con riferimento al sito dell’Agenzia delle Entrate. L’Authority aveva affermato, in tale circostanza: “Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in mancanza di una Ca affidabile, non offre le garanzie di certezza dell’identità dell’erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell’applicazione“.

”L’Agenzia deve prevedere che tutte le applicazioni accessibili da rete pubblica in forma di web application siano implementate con protocolli https/ssl provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale, evitando il ricorso a certificati di tipo self-signed“.

 


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

1 Commento

  1. La cosa è particolarmente preoccupante se ci considera che il costo di un certificato SSL, nei casi più a buon mercato, si attesti a poco più di 30 euro l’anno per ciascun dominio… vale davvero la pena fare queste “figuracce”, e soprattutto non offrire la sicurezza informatica necessaria, pur di non acquistare un prodotto valido?

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI