ATTACCO HACKER ALLA ASL 1: IL GARANTE AMMONISCE L’AZIENDA PER I DATI PERSONALI VIOLATI DI OLTRE 10MILA PERSONE

Domenico Verlingeri 0 Comments

Un’ammonizione formale per “mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali” di 10.631 persone. È quanto ha stabilito il Garante per la protezione dei dati personali nei confronti della Asl 1 Avezzano-Sulmona-L’Aquila, a due anni dal grave attacco informatico subito dall’azienda sanitaria. Il provvedimento certifica l’illiceità del trattamento dei dati personali e apre ora la strada a una valanga di potenziali richieste di risarcimento danni, sia in sede civile che presso i giudici di pace.

Il pronunciamento dell’autorità per la privacy – riportato oggi da Il Centro – risale al 13 febbraio scorso, giorno in cui si è riunita la commissione del Garante, presieduta dal giurista Pasquale Stanzione. Il provvedimento trae origine da un’istanza presentata da una paziente aquilana, difesa dall’avvocato Berardino Terra.

Il 3 maggio 2023 la Asl 1 fu vittima di un attacco ransomware condotto dal gruppo hacker filorusso Monti, noto per l’utilizzo di strumenti sofisticati in grado di criptare i dati e richiedere riscatti in bitcoin. L’evento ha causato il blocco di diversi servizi e l’esfiltrazione di dati personali altamente sensibili. In totale, secondo quanto ricostruito, i dati violati riguardano 3.814 tra dipendenti e consulenti e 6.817 assistiti, tra cui anche minori, vittime di violenza, rifugiati e persone vulnerabili.

Le informazioni sottratte – come specifica ancora Il Centro – comprendono dati anagrafici, codici di accesso, coordinate di pagamento, documenti di identificazione, appartenenza sindacale per il personale interno. Ancora più delicati i dati degli assistiti: origine etnica, orientamento sessuale, informazioni sanitarie (schede paziente, terapie, diagnosi, dimissioni), condanne penali e reati.

L’azienda sanitaria ha cercato di difendersi con una corposa documentazione che evidenzia l’impegno profuso per rafforzare le misure di sicurezza informatica, la collaborazione con la polizia postale, la complessità dell’attacco subìto e le attività messe in campo per minimizzare i danni. Tuttavia, secondo il Garante, i cybercriminali sono riusciti a compiere diverse operazioni propedeutiche all’attacco, segno evidente di una vulnerabilità preesistente e della non conformità delle misure adottate.

L’autorità garante ha inoltre rilevato l’assenza di misure organizzative efficaci per garantire l’adeguata formazione e consapevolezza del personale autorizzato all’accesso ai sistemi informatici, sottolineando come l’Asl, in quanto titolare del trattamento di dati così sensibili, debba ispirare un elevato grado di fiducia da parte degli assistiti, garantendo trasparenza e sicurezza.

L’ammonimento ufficiale non comporta al momento sanzioni economiche, ma rappresenta un precedente che potrebbe spalancare la porta a richieste risarcitorie. Un danno, oltre che d’immagine, potenzialmente milionario per la sanità pubblica abruzzese.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *