Circa un mese fa, l’Azienda Sanitaria Locale 1 Abruzzo ha subito un attacco ransomware che ha scosso profondamente il settore sanitario regionale e nazionale.
Dopo un primo momento nel quale è passato praticamente sotto silenzio, oggi, il data breach dell’ASL 1 in Abruzzo, rivendicato dal gruppo criminale Monti, non solo si rivela essere sempre più grave ma indica inequivocabilmente che il settore sanitario è sempre più sotto l’assedio del cyber crimine.
Non a caso, l’ultimo rapporto dell’Associazione italiana per la sicurezza informatica (Clusit), evidenzia come quello della sanità sia stato il secondo settore più colpito dagli attacchi informatici in Italia nel 2022, con una crescita del 16% rispetto al 2021.
Come se ciò non bastasse, oltre il 70% degli attacchi ha avuto impatti gravi o molto gravi sulle strutture sanitarie colpite.
Secondo Clusit, dunque, i dati mostrano che la sanità è uno dei target più allettanti per gli hacker: d’altra parte, una cartella clinica, con il suo ricco “bottino” di informazioni dettagliate, utili anche per portare a termine altre attività malevole come i furti di identità, può valere, nel dark web, fino a 2.000 dollari.
Ma vediamo cosa è successo nel dettaglio, cosa dovrebbero fare ora gli enti colpiti e quali sono gli strumenti a disposizione degli interessati per tutelare i propri diritti.
Asl Abruzzo, il disastro è completo: pubblicati tutti i dati
Indice degli argomenti
Data breach dell’ASL 1 Abruzzo: cosa è successo
Parte tutto il 3 maggio scorso quando l’ASL 1 Abruzzo subisce un grave attacco informatico che non solo ha bloccato tutti i sistemi dell’azienda sanitaria, ma ha anche esfiltrato i dati personali di tutti i pazienti delle province di Avezzano, Sulmona, e L’Aquila.
È il più classico degli attacchi ransomware, condotto attraverso un malware o software dannoso, progettato per bloccare l’accesso a un sistema informatico o per crittografare i dati presenti al suo interno.
Lo scopo degli attaccanti, solitamente, è cercare di estorcere del denaro alle vittime chiedendo, appunto, un riscatto (“ransom”) in cambio della restituzione dell’accesso ai dati o del ripristino del sistema.
Questi ransomware possono infettare i dispositivi e i sistemi informatici attraverso diverse vie, come gli allegati di posta elettronica o il download di file infetti, comunque sfruttando le vulnerabilità presenti nel sistema. L’infezione, come detto, consiste nel crittografare i file presenti nel sistema o nel bloccarne l’accesso. La richiesta di pagamento alla vittima costituisce così il prezzo del riscatto della chiave di decrittografia o del ripristino dell’accesso.
Le conseguenze di un attacco ransomware possono essere gravi perché le vittime possono subire la perdita permanente dei dati crittografati, l’interruzione delle attività aziendali, la perdita di informazioni sensibili e non ultimo danni reputazionali.
Nel caso dell’ASL 1 Abruzzo, il gruppo criminale Monti che ha rivendicato l’attacco si è spinto oltre: nei giorni successivi all’attacco stesso prima ha reso noto di aver esfiltrato i dati personali contenuti nei database violati e, per mettere ancor più sotto pressione l’ente, ha iniziato, dall’otto maggio scorso, a rilasciare poco a poco, alcuni dei dati esfiltrati, nel dark web (circa 10 GB).
Una volta che il periodo stabilito per l’intimato pagamento è spirato vanamente, il gruppo criminale ha rilasciato l’intero contenuto frutto della sottrazione: circa 520 GB di dati, tra cui referti, cartelle cliniche, valutazioni psichiatriche, analisi genetiche, tutti con i nomi e cognomi dei pazienti in chiaro. Tra questi anche minori e detenuti, anche in regime carcerario di 41bis.
E ancora documenti, template e modelli di cui si servivano ambulatori e uffici per rilasciare documenti relativi alle prestazioni mediche, certificazioni, referti. E dati tecnici: password delle mail aziendali o per i sistemi intranet che hanno consentito ai cybercriminali l’accesso al backend dell’Asl; i dati dei collaboratori, con le relative carte di identità e dati sui dipendenti; dati di archivio, o relativi a forniture.
Subito dopo il rilascio di questa gigantesca mole di dati si sono susseguite una serie di dichiarazioni, tra cui quella del Governatore della Regione Abruzzo, Marco Marsilio, che prima ha ricordato che scaricare i dati esfiltrati costituisce reato e poi ha invitato a non aprire i documenti per non farne circolare ulteriormente i contenuti.
Anche il Garante per la protezione dei dati personali ha diffuso un comunicato in tal senso ricordando che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato.
Considerata la gravità della violazione che mette a rischio i diritti e le libertà di tutte le persone coinvolte, è stata inevitabile la comunicazione della violazione agli interessati da parte dell’ASL, avvenuta con un comunicato stampa pubblicato sul sito dell’ASL stessa.
Allo stato non risulta, però, che i pazienti siano stati avvertiti personalmente.
Il precedente. L’inasprimento delle leve estorsive nel tempo
Pur nella sua gravità, quello all’ASL 1 Abruzzo non è certo il primo incidente in ambito sanitario che si sia mai verificato. Anzi, analizzare i casi passati può aiutarci a capire come agire per proteggere i diritti e le libertà degli interessati.
Già nel 2020, in Finlandia, Vastaamo, una società privata, convenzionata con il sistema sanitario pubblico finlandese che forniva servizi di psicoterapia, ha comunicato un data breach che poi ha portato al fallimento dell’azienda.
Fondata nel 2008, gestiva venticinque cliniche private e impiegava circa 200 dipendenti, fra terapisti e personale. Era talmente popolare nel paese da essere soprannominata “il McDonald’s della psicoterapia”.
Oggetto di violazione, nel caso di Vastaamo, sono stati i database i quali contenevano informazioni personali dei pazienti, come i loro nomi, i loro recapiti, indirizzi e-mail, numeri di previdenza sociale, ma anche nomi delle cliniche alle quali si sono rivolti e soprattutto cartelle cliniche e le note di terapisti e dei medici di ciascuna sessione di terapia, oltre a stralci di conversazioni tra questi e i pazienti. Queste note contenevano, tra le altre cose, informazioni su relazioni extraconiugali e tentativi di suicidio.
Gli attaccanti hanno poi chiesto un riscatto da 40 bitcoin minacciando la pubblicazione delle cartelle cliniche e dei dati personali dei pazienti: “non chiediamo molto […], meno di 10 euro a paziente, una frazione minima dei circa 20 milioni di fatturato annuo di questa azienda” e per fare ulteriormente pressione hanno pubblicato centinaia di cartelle cliniche al giorno su una bacheca Tor (un forum pubblico) incluse quelle di politici e agenti di polizia.
Ma dopo che l’estorsione alla società fallì, gli hacker non si sono limitati alla diffusione dei dati… Gli estorsori hanno inviato comunicazioni dirette ai pazienti di cui avevano ottenuto i dati, chiedendo loro di pagare un riscatto per evitare la pubblicazione dei loro dati personali sensibili. Duecento euro pagati in Bitcoin, con l’importo che aumentava a 500 euro se il pagamento non fosse avvenuto entro 24 ore dalla richiesta. Comunicazioni del genere sono state inviate a circa 30.000 vittime.
In seguito al data breach l’Autorità Garante finlandese ha irrogato una sanzione a Vastaamo da 608.000 euro e per le ricadute dirette derivanti dalla violazione di dati, nel febbraio del 2021 la società è stata costretta a dichiarare il fallimento.
Se pensiamo che nei primi attacchi ransomware i criminali informatici utilizzavano esclusivamente la cifratura dei dati dell’organizzazione colpita come mezzo di estorsione. Dobbiamo ammettere che hanno fatto molti progressi, se così possiamo dire.
Nell’ultimo rapporto Clusit si dà atto come nel corso del tempo, i cyber attaccanti abbiano sviluppato metodi efficaci per aumentare il loro potere estorsivo arrivando a combinare fra loro livelli multipli di estorsione: doppia, tripla e quadrupla. Aggiungono gradualmente nuovi ricatti a quelli già messi in atto, nel caso in cui i primi non siano sufficienti per ottenere il pagamento del riscatto.
Nella doppia estorsione, oltre alla cifratura dei dati delle vittime, gli aggressori minacciano di divulgare tali dati sul dark/clear web. Nella tripla estorsione, alla cifratura e alla minaccia di divulgazione dei dati, solitamente viene aggiunto anche un attacco servizi IT della vittima esposti su Internet. Nella quadrupla estorsione, gli aggressori interagiscono direttamente con soggetti che dipendono dall’organizzazione colpita (dipendenti, clienti, fornitori) minacciando di pubblicare i dati a loro riferiti e così via.
Ma nel caso di data breach in un ambito delicato come quello sanitario, le prime vittime sono senza dubbio gli interessati (cioè, le persone a cui i dati si riferiscono) che vedono i loro dati “sensibilissimi” diffusi nel web e che per questo sono a rischio di azioni estorsive e non solo da parte dei criminali informativi, ma anche da parte di chiunque entri in contatto con quei dati che avrebbero dovuto restare riservati e che invece sono stati divulgati.
Ricordiamo anche che esiste una disciplina specifica per i soggetti a maggior tutela, cioè, persone sieropositive, donne che si sono sottoposte ad una IVG o che hanno scelto di partorire in anonimato, vittime di violenza sessuale o pedofilia, persone che fanno uso di sostanze stupefacenti o alcol, persone che usufruiscono di servizi come i consultori familiari.
I dati di questi soggetti, normalmente, nemmeno alimentano automaticamente il fascicolo sanitario elettronico, proprio per tutelare il loro diritto all’oscuramento, ma sono visibili soltanto in seguito alla prestazione di un consenso esplicito da parte del paziente stesso.
Ora, invece, tutte queste informazioni sono liberamente fruibili sul web da chiunque con conseguenze inimmaginabili per le vite stesse di questi pazienti-interessati.
Cosa dovrebbero fare gli enti colpiti
Come già rilevato, il settore sanitario è ormai assediato dagli attacchi cyber. Il data breach dell’ASL 1 Abruzzo, benché drammatico, è solo l’ultimo in ordine di tempo.
L’evoluzione digitale ha sicuramente offerto dei vantaggi (specie nel periodo pandemico durante il quale ha subito una brusca accelerazione) ma ha anche messo a disposizione dei cyber criminali, a causa delle carenze nell’adozione di buone pratiche di sicurezza, nuove opportunità di aggressione alle strutture sanitarie, mettendo a rischio la riservatezza dei pazienti.
In termini di prevenzione di attacchi futuri è indispensabile che le strutture sanitarie implementino misure di sicurezza stringenti investendo nella protezione dei sistemi informatici e nella seria formazione del personale che deve essere “allenato” a riconoscere le tecniche più comunemente utilizzate (come il phishing) per ottenere l’accesso iniziale al sistema.
Occorre essere consapevoli, infatti, che un’inversione di tendenza nella continua espansione di questo genere di fenomeni si avrà quando gli attaccanti considereranno più complesso e meno profittevole, nel bilanciamento fra costi/benefici, il ricorso ai cyberattacchi per il perseguimento dei loro obiettivi estorsivi.
Si possono suggerire l’adozione di buone pratiche di sicurezza informatica, come l’installazione di software antivirus e firewall aggiornati, l’aggiornamento regolare dei sistemi operativi e delle applicazioni, l’implementazione di procedure di backup regolari per garantire la disponibilità dei dati in caso di attacco ransomware e usare molta cautela nell’apertura di allegati o link sospetti.
In caso di “infezione” la collaborazione con l’Autorità e con consulenti esperti per valutare le opzioni disponibili e minimizzare le conseguenze dell’attacco diventa indispensabile, perché scegliere di pagare il riscatto (scelta eticamente discutibile ma che non costituirebbe reato) o non pagarlo, è una decisione che deve essere presa con tutta la cautela del caso.
In ogni caso, anche dopo un eventuale pagamento, non vi è alcuna garanzia che i dati o l’accesso verrebbero ripristinati (o che comunque non siano stati esfiltrati dati).
Il data breach dell’ASL Abruzzo e il risarcimento del danno da violazione del GDPR
Gli strumenti a disposizione degli interessati
Questo è lo scenario inquietante in cui ci troviamo e a questo punto ci si chiede cosa possano fare gli interessati, che nel nostro caso sono anche i pazienti a cui sono stati sottratti i dati, per difendersi. Innanzitutto, ricordiamo che il GDPR prevede due possibilità di:
- Presentare reclamo (art. 77 gdpr; artt. 141, 142, 143 Codice privacy) ovvero chiedere all’Autorità Garante di accertare la violazione delle norme in materia di protezione dei dati personali da parte del Titolare del trattamento. Ma attenzione: in questa sede non si potrà chiedere il risarcimento del danno.
- In alternativa, proporre ricorso giurisdizionale (quindi in Tribunale) nei confronti del titolare del trattamento (art. 79 GDPR) chiedendo il risarcimento del danno subito (art. 82 GDPR) per chiunque subisca un danno materiale o immateriale causato da una violazione delle norme sulla protezione dei dati personali.
Non vi sono dubbi che il data breach della ASL 1 Abruzzo possa potenzialmente riguardare più d’una delle fattispecie indicate dal considerando 75 GDPR che evidenzia la natura dei danni che possono concretizzarsi a seguito del verificarsi della violazione di dati, come discriminazione, furto d’identità, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale e via dicendo.
Per ciascuno di questi possibili danni il titolare è responsabile: potrà andare esente da responsabilità solo dimostrando che il danno non è in alcun modo imputabile all’ente, avendo esso adottato tutte le misure di sicurezza tecniche e organizzative adeguate al rischio, secondo i parametri indicati dall’articolo 32 GDPR, Sarà compito dell’Autorità di controllo valutare l’adeguatezza delle misure adottate.
Allo stesso tempo non sarà sufficiente per gli interessati coinvolti nel breach chiedere il risarcimento dei danni deducendo semplicemente la violazione di dati: occorrerà la prova di aver subito un pregiudizio concreto.
La giurisprudenza nazionale, infatti, ha in più occasioni ribadito che il danno derivante da trattamento illecito non è in re ipsa, cioè non esiste per il solo fatto che sia avvenuta una violazione, ma va dimostrato in concreto circostanziando il danno e la gravità della lesione, facendo riferimento a specifici articoli del regolamento e ai considerando 85 e 7; fornendo prove concrete del danno subito e di cui si richiede il risarcimento; dimostrando che si tratta di un danno di entità rilevante e fornendo la prova del nesso di causalità.
Un possibile parziale ma significativo cambio di rotta viene dalla giurisprudenza europea e in particolare dalla sentenza del 4 maggio scorso, pronunciata nella causa C-300/21 della Corte di Giustizia Europea che precisa come dalla lettura dell’articolo 82 GDPR emerga come ai fini del riconoscimento di un risarcimento siano necessarie tre condizioni: il danno subìto, una violazione di una norma del regolamento e il nesso causale tra la violazione e il danno.
Se, infatti la mera violazione delle norme costituisse un danno, l’art 82 del GDPR perderebbe ogni utilità in quanto questo costituirebbe una duplicazione sanzionatoria rispetto alle previsioni degli articoli 77 e 78 del Regolamento che, infatti, non fanno riferimento all’esistenza di un danno per l’interessato.
Sulla questione dell’entità del danno però la Corte precisa che un’interpretazione restrittiva che ancorasse il risarcimento del danno ai danni di una certa gravità, andrebbe contro gli obiettivi del Regolamento dato che l’art. 82 deve essere interpretato nel senso che «esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità».
L’interessato, quindi, ha sì l’onere di provare di aver subito un danno, ma la Corte sembra aver creato una breccia sulla risarcibilità dei danni di lieve entità derivanti dalle violazioni di dati.
Questo cambio di orientamento da un lato potrebbe incidere sulle cause per risarcimento dei danni non patrimoniali derivanti da violazioni delle norme a tutela dei dati personali, mutando l’orientamento nazionale e dall’altra potrebbe spingere i titolari del trattamento a non sottovalutare le conseguenze del mancato rispetto del regolamento, considerato che la prospettiva consiste nel vedersi sommersi da migliaia di ricorsi.
Cosa devono fare i cittadini coinvolti?
Cosa quindi dovrebbero fare concretamente i cittadini coinvolti in questa gigantesca violazione di dati, che ricordiamo, si trovano in una posizione di estrema vulnerabilità e ricattabilità?
Per prima cosa sarebbe utile accertarsi che i propri dati siano stati effettivamente esfiltrati.
Il consiglio è di non provare a fare tutto da soli ma affidarsi a professionisti esperti, dando mandato a un legale che potrà, a sua volta, avvalersi di altri consulenti affinché, nell’ambito del diritto di difesa, svolga delle indagini difensive.
Ricordiamo, infatti, che il trattamento dei dati è sempre lecito quando è necessario per la salvaguardia degli interessi vitali dell’interessato (e in questo caso non si potrebbero definire altrimenti!) e che lo svolgimento di investigazioni difensive da parte del difensore costituisce un compito di interesse pubblico.
Nell’adempimento di un simile mandato il difensore potrà fare tutti gli accertamenti del caso per valutare insieme all’interessato quale strada intraprendere successivamente.
Se presentare il reclamo, o intraprendere la strada del Tribunale, civile per ottenere un risarcimento del danno, tenendo presente quanto detto sopra; o anche penale se si è o si è stati vittima di estorsione.
