Nella notte tra il 31 luglio e il primo aagosto del 2021, un attacco informatico scuoteva le fondamenta del sistema sanitario regionale del Lazio, causando un grave data breach che ha compromesso la sicurezza dei dati personali di milioni di assistiti.
Come pubblicato oggi dall’autorità italiana per la protezione dei dati, le conseguenze di questo attacco hanno ora portato a una serie di sanzioni da parte del Garante, delineando responsabilità e gravi violazioni della normativa sulla privacy.
Indice degli argomenti
L’attacco a Regione Lazio in periodo Covid
L’attacco, perpetrato attraverso l’introduzione di ransomware tramite un portatile di un dipendente della Regione Lazio, ha avuto ripercussioni devastanti: blocchi d’accesso a servizi sanitari cruciali, tra cui gestione delle prenotazioni, pagamenti, ritiro dei referti e registrazione delle vaccinazioni. Asl, aziende ospedaliere e case di cura hanno dovuto fronteggiare l’impossibilità di utilizzare sistemi informativi regionali per diverse ore, e in alcuni casi anche per mesi.
Le indagini condotte dall’autorità Garante Privacy hanno rivelato una serie di gravi violazioni da parte di LAZIOcrea, la società responsabile dei sistemi informativi regionali, e della Regione Lazio stessa. Entrambe le entità sono state ritenute colpevoli di adottare sistemi obsoleti e di non implementare adeguate misure di sicurezza per prevenire e rilevare tempestivamente violazioni dei dati personali, come definito nel provvedimento.
In particolare, LAZIOcrea è stata accusata di non aver agito prontamente per gestire l’attacco informatico e le sue conseguenze, decidendo di spegnere tutti i sistemi senza essere in grado di determinare quelli effettivamente compromessi o di prevenire ulteriori propagazioni del malware. Questa mancanza di azione ha aggravato notevolmente l’impatto dell’attacco, causando disagi significativi per le strutture sanitarie regionali e i loro assistiti.
Dall’altro lato, la Regione Lazio è stata ritenuta colpevole di non aver esercitato una vigilanza sufficiente su LAZIOcrea, trascurando di garantire un livello di sicurezza adeguato ai rischi e di proteggere i dati fin dalla progettazione, come richiesto dalla normativa sulla privacy.
Le sanzioni a Regione Lazio e LazioCrea
Di fronte a queste gravi violazioni, il Garante Privacy ha inflitto sanzioni significative: 271.000 euro a LAZIOcrea, 120.000 euro alla Regione Lazio. Queste cifre riflettono la natura e la gravità delle violazioni, così come il grado di responsabilità attribuito a entrambe le parti.
Tuttavia, non tutte le strutture coinvolte hanno ricevuto sanzioni così pesanti. Ad esempio, l’Asl Roma 3 è stata multata con 10.000 euro per non aver notificato il data breach, evidenziando una differenza di approccio e di comportamento rispetto ad altre istituzioni sanitarie.
Altre incognite restano ancora oggetto di indagine, presumibilmente non ancora conclusa, come per esempio definire il pagamento (o non pagamento) del riscatto, in relazione al fatto che, dal 1 agosto 2021, nessuna ransomware gang in tutta la scena criminale globale, ha mai rivendicato questo attacco, peraltro dal nome estremamente attraente per qualsiasi criminale, lato Dark Web.
Le gravi mancanze dei sanzionati
La sanzione nei confronti di LAZIOcrea e Regione Lazio è stata comminata dal Garante privacy italiano a causa dell’inadeguatezza dei sistemi informatici, nonché della mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.
Simile circostanza si pone in netto contrasto con le attuali esigenze di maggiore sicurezza, derivanti dai crescenti attacchi informatici, nonché con le disposizioni delle sempre più numerose normative in tema di cybersicurezza. Si pensi, ad esempio, alla Direttiva NIS2 (Direttiva 2022/2555) il cui obiettivo è quello di garantire un livello comune elevato di cybersicurezza nell’Unione e della quale si attende la legge nazionale di recepimento.
Inoltre, dal punto di vista più squisitamente data protection, il Garante privacy ha rilevato la mancata predisposizione, da parte di LAZIOcrea, delle azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento, rappresentando ciò una grave violazione delle disposizioni del GDPR.
Il commento
Come dice Anna Cataleta, nota esperta privacy, presso P4i, “Quello che emerge è una nazione che ancora si ritrova ancora molto spesso a dover fare i conti con realtà – anche, come in questo caso, estremamente importanti per garantire il benessere della collettività – che non sono minimamente preparate a gestire situazioni emergenziali come quella in esame e che sono, dunque, ben lontane dal garantire gli standard di conformità loro richiesti dalle normative applicabili”.
Appunto: questo episodio mette in evidenza l’importanza cruciale di una solida sicurezza informatica nel contesto sanitario, nonché la responsabilità delle istituzioni nel proteggere i dati sensibili dei cittadini. È imperativo che misure di sicurezza efficaci siano implementate e che vi sia una costante vigilanza per prevenire futuri attacchi e proteggere la privacy dei cittadini.
