Attacco ASL 1 Abruzzo e gravità del danno: nuovi scenari CGUE

Dopo un primo periodo in cui è passato relativamente sotto silenzio, oggi si parla moltissimo dell’attacco del gruppo cybercriminale Monti che con un ransomware ha violato il sistema informatico dell’ASL 1 Abruzzo, non solo mettendo fuori uso l’intera azienda sanitaria, ma anche esfiltrando in rete i dati di tutti i pazienti. Oltre 500 giga di dati sanitari, particolari e sensibili si trovano ora alla mercé del popolo del web, con conseguenze immaginabili in ambito economico (parliamo di risarcimento dei danni, sanzioni, sforzo economico per il ripristino dei sistemi) e di immagine.
Si tratta di un “banale” (virgolette d’obbligo) ransomware, che ha violato il sistema informatico della ASL bersaglio, criptando tutti i dati ivi presenti. La caratteristica del ransomware, che è un tipo di attacco sferrato per chiedere un riscatto (in inglese, appunto, ransom) sta nel fatto che normalmente i cybercriminali hanno a disposizione la cosiddetta doppia estorsione: da un lato possono chiedere all’azienda vittima per restituire i dati criptati (meglio, per renderli nuovamente disponibili), dall’altro possono forzare la mano con una seconda richiesta di denaro per non diffondere i dati nel web.
La diffusione di dati personali nel web (sia comuni, sia, come nel caso in esame, particolari, ossia sanitari e sensibili) integra diverse fattispecie e può portare a numerose conseguenze: si tratta, evidentemente, di un reato da parte di chi la commette, integra parimenti un reato per chi, nel dark web o anche nel web di superficie, in qualsiasi modo si impossessi dei medesimi dati, scaricandoli e salvandoli, e li tratti in modo illecito, può portare a pesanti sanzioni e conseguenze economiche il Titolare del trattamento dei dati che si è visto attaccare (le conseguenze economiche di un data breach, che si sostanziano in danno reputazionale e di immagine, fermo produttivo, sanzioni del Garante della Privacy, sono enormi), nonché la possibilità, per gli interessati coinvolti, di chiedere un risarcimento del danno.
In questo articolo ci occuperemo proprio di questo aspetto, ossia di come e quando gli interessati che vedono i propri dati diventare pubblici nel web possano chiedere ed ottenere un risarcimento presso il Titolare (la ASL Abruzzo in questo caso) che avrebbe dovuto proteggere le loro informazioni sensibili ma che ha, di fatto, fallito.
Volume per l’approfondimento: Reati contro la P.A. e reati informatici

1. L’attacco alla ASL 1 in Abruzzo

L’ASL 1 di Avezzano, Sulmona e L’Aquila ha annunciato di aver subito, il 3 maggio scorso, un attacco ransomware da parte del gruppo cybercriminale Monti, attacco che ha causato la disabilitazione dei sistemi informatici dell’organizzazione. A seguito di questo episodio, gli stessi criminali, non avendo ricevuto dalla ASL la somma richiesta come riscatto, hanno esfiltrato i dati diffondendoli nel dark web, accompagnando questa azione (già criminale di per sé) con richieste di riscatto direttamente nei confronti degli interessati (cosa che non si era mai verificata prima).
La quantità di dati resi pubblici ammonta a circa 520 GB e include informazioni sensibili come cartelle cliniche, referti di analisi genetiche, valutazioni psicologiche di minori, documenti di inventario e modelli di documenti utilizzati dagli ambulatori e dagli uffici dell’ASL per certificazioni, referti e altre documentazioni relative alle prestazioni mediche.
Mentre sia le Autorità sia il Garante della Privacy hanno pubblicamente invitato i cittadini a non scaricare alcun dato sottratto illegalmente, sui social media e sul web in generale, si stanno diffondendo notizie riguardanti le azioni intraprese dagli utenti per tutelare i propri diritti attraverso l’assistenza di avvocati specializzati.

2. Gli strumenti di tutela

Diverse sono le modalità che si possono attuare per tutelare i propri diritti.
Innanzi tutti il Regolamento per la Protezione dei dati prevede due strumenti:

• Il reclamo (articoli 77 GDPR e articoli 141, 142, 143 del Codice privacy), che prevede la possibilità per l’interessato di chiedere all’Autorità Garante per la protezione dei dati personali di accertare la violazione di un diritto che il Regolamento riconosce agli interessati o la violazione delle norme in materia di trattamento dei dati personali da parte del Titolare del trattamento.
• Il ricorso (articolo 79 GDPR) nei confronti del titolare del trattamento e la richiesta di risarcimento del danno (articolo 82 GDPR) per chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento”.

Dunque, in alternativa gli interessati potranno rivolgersi al Garante, oppure all’Autorità Giudiziaria ordinaria (Tribunale): nel primo caso, le conseguenze saranno in capo al Titolare, senza alcun “vantaggio” per gli interessati. Qualora invece gli interessati desiderino ottenere un ristoro economico, dovranno adire il Tribunale.

Potrebbero interessarti anche:

• Attacco hacker in Italia e nel mondo: perché è grave
• Attacco ransomware all’Agenzia delle Entrate, chiesto il riscatto
• Attacco ransomware in Sardegna: attenzione al dark web

3. Il danno oggetto di risarcimento

Il considerando 75 del GDPR elenca quali sono i danni che si possono verificare in caso di violazioni del Regolamento e che possono essere oggetto di risarcimento. Essi sono:

• Discriminazioni
• Furto o usurpazione d’identità;
• Perdite finanziarie;
• Pregiudizio alla reputazione;
• Perdita di riservatezza dei dati personali protetti da segreto professionale;
• Decifratura non autorizzata della pseudonimizzazione;
• Rischio per i diritti e le libertà fondamentali degli interessati, o impedimento dell’esercizio del diritto di controllo sui dati personali che li riguardano;
• Trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
• Valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
• Trattamento di dati personali di persone fisiche vulnerabili, in particolare minori;
• Trattamento di una notevole quantità di dati personali e un vasto numero di interessati.

In diverse delle fattispecie sopra esposte rientra il caso del data breach della ASL Abruzzo, che potrà essere esentata da responsabilità solo dimostrando che il danno non le è in alcun modo imputabile, per aver essa adottato tutte le misure di sicurezza tecniche e organizzative adeguate al rischio, secondo i parametri indicati dall’articolo 32 GDPR (lo stato dell’arte, i costi di attuazione, la natura, l’oggetto, il contesto e le finalità del trattamento, nonché i rischi di varia probabilità e gravità).

4. La posizione della giurisprudenza

Tuttavia, potrebbe non essere così semplice ed immediato per gli interessati coinvolti ottenere il ristoro dei danni subiti.
La giurisprudenza italiana ed europea ha più volte sottolineato che il danno derivante da trattamento illecito non è in re ipsa, ma va dimostrato in concreto.
In particolare, con riferimento al danno non patrimoniale, (rifacendosi alle sentenze storiche che hanno formato la giurisprudenza in materia, SS.UU. 26972/2008), la Suprema Corte italiana ha costantemente ribadito che i criteri per ritenere un danno effettivamente risarcibile sono la gravità della lesione, la serietà del danno, il nesso di causa (per approfondire consigliamo la lettura di questo articolo, in merito alla risarcibilità del danno derivante dal data breach di Libero Mail avvenuto nel gennaio 2023).

5. La sentenza della Corte di giustizia del 4 maggio 2023: un possibile revirement

In una recentissima sentenza,pronunciata nella causa C-300/21, la Corte di Giustizia europea ha tuttavia affrontato la questione sollevata da un giudice austriaco sotto una luce diversa, che potrebbe essere destinata a mutare l’orientamento giurisprudenziale anche in Italia.
La Corte è stata chiamata dal Tribunale austriaco a decidere:

• se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 del GDPR sia sufficiente la violazione di disposizioni del GDPR per ottenere un risarcimento, oppure serva che il ricorrente abbia effettivamente patito un danno;
• se esistano parametri per il calcolo del risarcimento, in altre fonti di diritto europeo;
• se sia legittimo e compatibile con il diritto dell’Unione la tesi per cui non sia sufficiente un mero fastidio o inconveniente, ma sia necessario un danno di grave entità per ottenere un risarcimento.

Quanto al primo punto, la Corte precisa che dalla lettura dell’articolo 82 GDPR emerge che sono necessarie tre condizioni: il danno, la violazione di un articolo del regolamento, il nesso di causa, sottolineando come la mera violazione delle norme del regolamento non possa costituire un danno di per sé, in quanto ciò costituirebbe una duplicazione sanzionatoria rispetto alle previsioni degli articoli 77 e 78 del Regolamento che, infatti, non fanno riferimento all’esistenza di un danno per l’interessato.
Quanto alla quantificazione del danno, la Corte chiarisce che il GDPR non contiene parametri per quantificare il danno che siano applicabili a tutti gli Stati membri e, pertanto, lascia a ciascun ordinamento nazionale la libertà di fissare ed applicare i propri parametri. Secondo la Corte, “l’articolo 82 del GDPR deve essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.”
Infine, sulla questione della gravità del danno non patrimoniale e della sua conseguente risarcibilità, la Corte afferma che questa interpretazione restrittiva che limita il risarcimento del danno ai danni di una certa gravità, va contro gli obiettivi del Regolamento, dichiarando che “L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità”.
Resta dunque l’onere per l’interessato di provare di aver subito un danno, ma sembra cadere ogni vincolo in merito alla sua gravità o entità.
Questo cambio di orientamento potrebbe incidere in maniera significativa sulle cause per risarcimento dei danni non patrimoniali derivanti da violazioni del GDPR ed in particolare sul data breach della ASL Abruzzo, di cui tutto si può dire fuorché sia di lieve entità. È facile, dunque, aspettarsi una pioggia di ricorsi contro l’esfiltrazione dei dati sul web, dati che, lo ricordiamo, sono quasi tutti appartenenti alle categorie di cui all’art. 9 del GDPR.
D’altro canto, questo revirement della Corte di Giustizia, destinato a ripercuotersi anche sugli orientamenti giurisprudenziali nazionali, dovrebbe altresì portare con sé una maggiore attenzione dei titolari al tema della protezione dei dati personali, per evitare il proliferare di class action: attenzione e consapevolezza che tutti gli addetti ai lavori auspicano e a cui si guarda con una certa rinnovata speranza, alla vigilia del quinto anniversario di entrata in vigore del GDPR: un po’ come dire, meglio tardi, che mai.

Volume consigliato