Va al mercatino delle pulci per acquistare dei dischi rigidi a 5 euro e trova 500 giga di dati insoliti - okmugello.it © N. c.
Dentro i vecchi hard disk comprati per caso c’erano cartelle cliniche, dati personali e documenti mai cancellati
Quello che doveva essere solo un affare da mercatino si è trasformato in un caso internazionale di violazione dei dati personali. In Belgio, vicino all’aeroporto di Weelde, un uomo olandese ha acquistato cinque hard disk usati per pochi spicci. Dentro, senza alcuna protezione, ha trovato centinaia di cartelle cliniche, numeri identificativi, indirizzi e informazioni sanitarie sensibili di cittadini olandesi, raccolti tra il 2011 e il 2019. I supporti, tutti da 500 gigabyte, non erano stati cancellati prima di essere messi in vendita.
I dischi usati contenevano dati sanitari di pazienti di Utrecht, Houten e Delft
La scoperta è stata fatta da Robert Polet, appassionato di tecnologia, che ha comprato i dischi per soli 5 euro ciascuno. Li aveva trovati esposti su una bancarella in un mercato delle pulci. Una volta collegati al suo computer, si è reso conto che non si trattava di vecchi backup anonimi, ma di un’enorme mole di dati sensibili: documenti medici, diagnosi, nomi completi, date di nascita, codici fiscali e persino storie cliniche complete.
I file riguardavano residenti delle città olandesi di Utrecht, Houten e Delft. Analizzando meglio le cartelle, Polet è riuscito a risalire a un nome: Nortade ICT Solutions, società olandese ormai chiusa, che forniva servizi IT a cliniche e strutture sanitarie. L'azienda, secondo quanto ricostruito, sarebbe la precedente proprietaria dei dischi. E la cosa più grave è che non aveva cancellato i contenuti.
Polet, allarmato, è tornato al mercatino per cercare di acquistare tutti gli altri dischi ancora disponibili. L’obiettivo era evitare che qualcuno meno scrupoloso potesse metterci le mani. Perché quei dati, se finiti online o usati male, avrebbero potuto causare danni enormi: truffe, furti d’identità, accessi non autorizzati a servizi sanitari o assicurativi. Tutto a partire da un acquisto di seconda mano.
La legge olandese impone la cancellazione certificata dei dati medici
Secondo la normativa vigente nei Paesi Bassi, la rimozione di dati sanitari personali deve essere effettuata solo da tecnici specializzati, attraverso procedure certificate e con verifica finale. Ma Nortade ICT Solutions, che aveva cessato l’attività, potrebbe aver deciso di saltare questo passaggio, preferendo recuperare qualche soldo dalla vendita dei dischi anziché sostenere i costi della cancellazione professionale.
La vicenda ha sollevato seri dubbi sulla gestione dei dati da parte di molte aziende ormai chiuse, i cui archivi digitali continuano a circolare, magari senza che nessuno se ne accorga. Il fatto che dispositivi con queste informazioni siano stati messi in vendita senza alcuna crittografia, né protezione, né cancellazione sicura, ha fatto scattare l’allarme tra gli esperti di privacy.
Il caso è ora sotto osservazione da parte delle autorità olandesi, ma l’eco si sta allargando ad altri Paesi. Spagna, Francia, Italia: ovunque le piccole aziende sanitarie si affidano a fornitori IT esterni, spesso senza piani reali per la dismissione sicura dei dispositivi. E già si teme che episodi simili possano ripetersi, magari sotto il radar, senza che nessuno li scopra.
