Proprio in un periodo in cui il tema della privacy online è ancora importantissimo, negli Stati Uniti accade un incidente che ha messo a repentaglio quella di numerosi cittadini. Blue Shield of California, uno dei principali fornitori di piani assicurativi sanitari nella superpotenza occidentale, ha comunicato ai propri membri una potenziale esposizione di dati personali e sanitari che sarebbe stata causata da un errore di configurazione di Google Analytics.
Gli Stati Uniti e l’incidente di Blue Shield
La scoperta della falla è avvenuta lo scorso 11 febbraio 2025, e purtroppo i dati trapelati non sono solo dei mesi precedenti. Infatti molte informazioni sensibili raccolte da Blue Shield tra l’aprile 2021 e il gennaio 2024 (quindi quasi tre anni) sono finite nelle mani di Google Ads, che non avrebbe mai dovuto riceverli. Appena venuta a galla la cosa, la compagnia di assicurazioni ha adottato una politica trasparente, notificando precauzionalmente tutti gli utenti che potrebbero essere stati coinvolti.
L’uso di Google Analytics da parte della compagnia serviva unicamente per ottimizzare i suoi portali web, ma una configurazione errata ha permesso la trasmissione di dati verso un sistema pensato per il marketing, un passaggio che ha esposto dettagli identificativi di natura sanitaria, tra cui:
- nomi e tipi di piani assicurativi;
- informazioni demografiche (città e CAP);
- genere;
- dimensioni del nucleo familiare;
- ID associati agli account online;
- dettagli sulle richieste di rimborso sanitario (date, fornitori di servizi e somme a carico del paziente).
Va considerato poi che anche le ricerche effettuate sui medici attraverso i portali Blue Shield potrebbero aver contribuito a costruire dei profili individuali precisi, facilmente associabili ai singoli utenti. Per fortuna non pare che siano state condivise anche altre informazioni sensibili quali documenti e stati finanziari, e Blue Shield ha assicurato i clienti che nessun attore malevolo esterno ha avuto accesso ai dati, e che Google non li ha utilizzati per fini diversi dalla pubblicità mirata.
La compagnia ha interrotto ogni connessione tra Google Analytics e Google Ads già da gennaio 2024, prima ancora di individuare il problema, e dopo la scoperta ha adottato delle misure correttive immediate e avviato delle revisioni dei sistemi interni per rafforzare ulteriormente le pratiche di sicurezza. L’azienda ha anche espresso rammarico per quanto accaduto, sottolineando il proprio impegno continuo nella salvaguardia delle informazioni personali. Ma ovviamente l’incidente ha avuto un enorme peso sulla reputazione che si era costruita negli anni, e non è neanche da escludere che alcuni clienti decidano di portarla in tribunale.
