Cybersecurity

Con una copia di un gestionale per Farmacie, qualcuno potrebbe accedere al Fascicolo Sanitario di milioni di italiani

La stessa credenziale di accesso al Fascicolo Sanitario Elettronico è condivisa tra oltre 10.000 farmacie italiane. Quello che questo significa per il farmacista e per i pazienti.

ApoCert Research Lab
9 min
WhatsAppEmail
Con una copia di un gestionale per Farmacie, qualcuno potrebbe accedere al Fascicolo Sanitario di milioni di italiani

I software gestionali più diffusi nelle farmacie italiane si collegano ogni giorno al Fascicolo Sanitario Elettronico, al sistema di ricetta elettronica nazionale e ai portali sanitari regionali. Per farlo, utilizzano delle credenziali, una sorta di chiave digitale. Un'analisi indipendente condotta da ricercatori di sicurezza informatica ha scoperto che la stessa chiave apre la porta di tutte le farmacie che usano lo stesso software. Migliaia di farmacie. La stessa identica chiave.

Non si tratta di un errore di configurazione. È una scelta del produttore del software.

Come funziona, spiegato senza tecnicismi

Il gestionale di una farmacia utilizza una tessera d'ingresso digitale per accedere ai sistemi del Servizio Sanitario Nazionale: il Fascicolo Sanitario Elettronico, la ricetta dematerializzata, i portali regionali.

Questa tessera non dice "io sono la Farmacia Rossi". Dice "io sono il software X". Identifica il produttore, non la singola farmacia.

Il codice identificativo della farmacia, registrato nei sistemi sanitari, è solo un parametro che il software aggiunge dopo. Non è legato alla tessera. Non è verificato dal sistema ricevente. Si può cambiare.

Il codice di qualsiasi farmacia italiana è un dato pubblico: è disponibile gratuitamente sul portale del Ministero della Salute, in un file scaricabile da chiunque con i dati di tutte le 20.160 farmacie del Paese.

Messi insieme, questi due fatti compongono un quadro allarmante.

Chi ha la "tessera" può fingersi qualsiasi farmacia

Chiunque abbia una copia del software, un backup, un PC dismesso, un portatile dell'assistenza tecnica, possiede la tessera d'ingresso che funziona per tutte le farmacie che usano quel gestionale. Oltre 10.000 farmacie. Il 55-60% delle farmacie italiane.

Non servono competenze particolari. Non servono strumenti costosi. Per accedere al sistema di ricetta dematerializzata nazionale e al Fascicolo Sanitario di sei regioni su nove, servono un computer, una connessione internet e meno di un quarto d'ora. Tre regioni (Lombardia, Friuli Venezia Giulia e Sardegna) richiedono in aggiunta la tessera fisica dell'operatore farmacista — rispettivamente CRS, OAuth2 PKCE e CNS — ma i token di sessione salvati sui PC delle farmacie consentono di bypassare questa autenticazione senza che l'operatore sia fisicamente presente.

Con quella tessera e il codice di una farmacia qualsiasi, reperibile in pochi secondi online, è possibile:

  • Consultare le prescrizioni di qualsiasi paziente, conoscendone il codice fiscale
  • Registrare erogazioni mai avvenute, configurando una frode al SSN imputata alla farmacia vittima
  • Annullare erogazioni reali, impedendo a un paziente di ricevere il farmaco prescritto
  • Accedere al Fascicolo Sanitario Elettronico con due modalità distinte:
    • Accesso diretto (sole credenziali software, nessun intervento umano): Veneto, Emilia-Romagna, Puglia, Liguria, Umbria, Bolzano
    • Accesso con autenticazione interattiva (richiede la tessera fisica dell'operatore farmacista, oppure il riutilizzo del token di sessione): Lombardia (CRS), Friuli Venezia Giulia (OAuth2 PKCE), Sardegna (smart card CNS)

Quando si parla di "accesso al Fascicolo Sanitario" si intende la cartella clinica completa: ricoveri, esami di laboratorio, referti, prescrizioni, consensi informati.

Milioni di cittadini esposti

Le regioni coinvolte coprono complessivamente milioni di persone, con livelli di esposizione differenziati in base all'architettura di autenticazione di ciascun sistema regionale:

  • Classe A — accesso diretto remoto (sole credenziali software): Veneto, Emilia-Romagna, Puglia, Liguria, Umbria, Bolzano. Circa 16 milioni di cittadini i cui FSE regionali sono raggiungibili senza alcun intervento umano aggiuntivo.
  • Classe B — accesso con autenticazione interattiva (tessera CRS/CNS richiesta, oppure token di sessione riutilizzabile): Lombardia, Friuli Venezia Giulia, Sardegna. Circa 13 milioni di cittadini con un livello di protezione aggiuntivo, che tuttavia non elimina la vulnerabilità strutturale.

Il sistema nazionale della ricetta dematerializzata (SOGEI) resta in una categoria separata: non richiede alcuna tessera fisica ed è accessibile automaticamente per tutti i cittadini italiani.

Non è un numero teorico. Le credenziali per accedere a ciascuno di questi sistemi regionali sono presenti, identiche, in ogni singola installazione del software: oltre diecimila copie distribuite nelle farmacie di tutta Italia.

L'impatto in numeri

Oltre 10.000 farmacie condividono le stesse credenziali di accesso ai sistemi sanitari. 9 regioni italiane sono coinvolte: in sei (circa 16 milioni di cittadini) l'accesso al FSE è completamente automatico; nelle altre tre — Lombardia, Friuli Venezia Giulia, Sardegna (circa 13 milioni) — è richiesta anche la tessera fisica dell'operatore, ma i token di sessione salvati sui PC delle farmacie possono essere riutilizzati. Il sistema nazionale della ricetta dematerializzata (SOGEI) non richiede alcuna tessera fisica ed è accessibile automaticamente su ogni installazione del software.

Le vulnerabilità sono state comunicate alle Autorità competenti.

Una questione di sicurezza nazionale

Non si tratta di un singolo database rubato o di una password debole. Si tratta dell'architettura di accesso all'infrastruttura sanitaria digitale del Paese.

Il sistema di ricetta dematerializzata, gestito da SOGEI (la società informatica del Ministero dell'Economia), accetta queste credenziali condivise attraverso un canale automatico che non richiede la tessera sanitaria dell'operatore. Le operazioni disponibili comprendono: consultare le prescrizioni di un paziente, registrare un'erogazione, annullarla, sospenderla, generare report mensili.

Vale la pena distinguere i due sistemi accessibili con le stesse credenziali condivise: il sistema della ricetta dematerializzata (SOGEI) contiene le prescrizioni farmaceutiche di tutti i cittadini italiani, comprese le ricette per psicofarmaci, oppioidi e sostanze stupefacenti, e ha copertura nazionale. Il Fascicolo Sanitario Elettronico contiene invece la cartella clinica completa — ricoveri, referti, esami di laboratorio, consensi informati — ed è limitato ai residenti di ciascuna regione. Entrambi i sistemi sono raggiungibili con le stesse credenziali condivise installate in ogni copia del software.

Un singolo software gestionale, per quanto diffuso, non dovrebbe essere il punto di accesso unico e indifferenziato a un'infrastruttura che custodisce i dati sanitari di milioni di persone.

Le conseguenze per le farmacie e i loro pazienti

Il meccanismo ha una conseguenza immediata che molti farmacisti ignorano: se qualcuno utilizza la "tessera" del software per operare a nome di una farmacia, è quella farmacia che risulta nei log del sistema sanitario. È al titolare della farmacia che le autorità chiederanno spiegazioni. È la sua attività che comparirà nell'eventuale indagine.

Il farmacista, nella stragrande maggioranza dei casi, non sa nemmeno che le proprie credenziali di accesso al sistema sanitario siano le stesse di 10.000 colleghi.

In caso di violazione dei dati, il GDPR prevede obblighi precisi:

  • Notifica al Garante Privacy entro 72 ore dalla scoperta della violazione
  • Comunicazione ai pazienti interessati quando il rischio per i loro diritti è elevato
  • Possibili sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo

Data la natura dei dati coinvolti, dati sanitari classificati come categoria speciale ai sensi dell'Articolo 9 del GDPR, qualsiasi violazione farebbe automaticamente scattare l'obbligo di comunicazione ai pazienti.

Ma la questione va oltre il singolo farmacista. I dati esposti appartengono ai cittadini: referti oncologici, prescrizioni psichiatriche, terapie per patologie croniche, preparazioni con sostanze stupefacenti. L'eventuale accesso non autorizzato a queste informazioni costituirebbe una violazione della privacy sanitaria di milioni di italiani.

Non è un errore: è una scelta di progettazione

Questo è il punto centrale.

Non si tratta di una svista, di una password dimenticata, di un aggiornamento mancato. Si tratta di una scelta architetturale: il produttore del software ha deciso di usare un'unica tessera d'ingresso per migliaia di farmacie anziché una tessera diversa per ognuna.

Come se un produttore di serrature vendesse 10.000 porte con la stessa chiave, e poi pubblicasse il calco su internet.

I certificati digitali che il software utilizza per autenticarsi presso i sistemi sanitari regionali portano nel nome il marchio del produttore, non il codice della singola farmacia. In alcuni casi, la password di protezione contiene letteralmente il nome dell'azienda produttrice. In nessun caso contiene un riferimento alla farmacia specifica.

L'unico elemento che distingue una farmacia dalle altre 10.000 è quel codice identificativo, lo stesso che qualsiasi cittadino può leggere sullo scontrino o scaricare dal sito del Ministero.

Il quadro normativo

L'Articolo 28 del GDPR è chiaro: il titolare del trattamento (la farmacia) deve affidarsi solo a responsabili del trattamento (il produttore del software) che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.

L'Articolo 25, il principio della Privacy by Design, impone che la protezione dei dati sia integrata nella progettazione del sistema, non aggiunta come opzione facoltativa.

L'Articolo 32 richiede esplicitamente la cifratura dei dati personali e la capacità di assicurare la riservatezza dei sistemi di trattamento. Un meccanismo di autenticazione condiviso tra migliaia di soggetti è, strutturalmente, incompatibile con questi requisiti.

Segnalazione al Garante Privacy

Qualsiasi interessato, farmacista, paziente o associazione di categoria, può segnalare una presunta violazione del GDPR al Garante per la Protezione dei Dati Personali. La segnalazione è gratuita e può essere inviata tramite il portale del Garante. Le vulnerabilità descritte in questo articolo sono state comunicate alle Autorità competenti attraverso i canali formali previsti dalla legge.

Un problema che non si risolve con un aggiornamento

Questa non è una falla che si chiude con una patch o cambiando una password. È un problema strutturale che richiede un ripensamento dell'intera architettura di autenticazione verso i sistemi sanitari nazionali.

La responsabilità è distribuita: il produttore del software che ha scelto di condividere le credenziali, gli enti regionali che hanno rilasciato certificati a livello di fornitore anziché di singola farmacia, i sistemi nazionali che accettano questo modello di autenticazione senza controlli compensativi adeguati.

Fino a quando questa architettura rimarrà invariata, oltre 10.000 farmacie italiane e i milioni di pazienti che servono restano esposti a un rischio che nessuno di loro ha scelto di correre.

Il report completo

Abbiamo preparato un documento di approfondimento con tutti i dettagli tecnici tradotti in linguaggio comprensibile, le implicazioni legali per le farmacie coinvolte e le azioni che è possibile intraprendere. Il report è gratuito.

Scarica il Report Sicurezza Dati Farmacia 2026 →

Analisi Gratuita

Vuoi verificare se la tua farmacia è esposta?

Prima analisi gratuita, risposta entro 24 ore.

Contattaci →

Articoli Correlati

Abbiamo analizzato un secondo gestionale farmaceutico. Stessi problemi. Produttore diverso.
Cybersecurity

Abbiamo analizzato un secondo gestionale farmaceutico. Stessi problemi. Produttore diverso.

Dopo la prima indagine su un gestionale usato da oltre 10.000 farmacie, l'analisi si è estesa a un secondo software. La password per accedere ai dati sanitari dei pazienti è quella predefinita di fabbrica del database, la stessa su tutte le 4.000 installazioni. La farmacia non può cambiarla.

16 mar 20268 min · Leggi →