L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione da 30.000 euro nei confronti dell’ASL Napoli 3 Sud con il provvedimento n. 426 del 28 settembre 2023, per aver accertato che le misure di sicurezza attuate non hanno consentito di proteggere i dati personali degli assistiti (842.000 persone) da un attacco ransomware, in aperta violazione del principio di privacy by design, di accountability e di approccio basato sul rischio.
Per approfondimenti si consiglia: Formulario commentato della privacy
1. I fatti e la sanzione del Garante
L’ispezione alla Asl Napoli 3 Sud è scaturita dalla notifica di data breach effettuata dall’azienda ospedaliera al Garante. Un attacco informatico di tipo ransomware ha colpito i sistemi informatici dell’ente pubblico sanitario, causando la “perdita”, o meglio l’indisponibilità dei dati personali degli assistiti.
Dopo aver dichiarato il verificarsi di diversi malfunzionamenti dei sistemi sanitari preposti all’erogazione dei servizi sanitari ed alle prestazioni di laboratorio, l’azienda ha constatato che l’infrastruttura del datacenter (server, domain controller, proxy, VPN) è stata oggetto di attacco hacker di tipo cryptolocker con conseguente crittazione di tutti i dati aziendali contenuti nei server; sono stati compromessi anche gli elenchi degli utenti amministratori, di fatto rendendo da un lato impossibili gli accessi al sistema informatico aziendale e dall’altro “spegnendo” il funzionamento operativo dell’intera azienda sanitaria. dei dati aziendali e dei volumi virtuali che consentono il funzionamento di tutti gli applicativi aziendali e sono stati compromessi gli elenchi degli utenti di dominio con profilo di amministratore rendendo impossibili gli accessi ai sistemisti aziendali.
L’attacco è stato rivendicato dal gruppo di cybercriminali denominato Sabbath, che ha chiesto il pagamento di un riscatto per ottenere i codici per decrittare i dati presi in ostaggio.
In conseguenza di ciò, l’ASL, ai sensi dell’art. 33 del Regolamento UE 679/2016 (cd. “GDPR”), è stata costretta, entro le 72 ore dalla scoperta dell’attacco, a notificare il data breach al Garante.
Potrebbero interessarti:
Criteri delle sanzioni del GDPR: ordinanza storica Cassazione
Cartello che comunica malattia della persona che offre servizio: violazione privacy
2. Cos’è un ransomware
I ransomware rappresentano la maggioranza degli attacchi informatici rivolti alle infrastrutture di aziende pubbliche e private, perché sono il modo più rapido per chi li lancia per ottenere del denaro: si tratta infatti di malware, ossia programmi infetti che rendono inaccessibili i dati in un computer mediante un’operazione di criptazione di cui solo il criminale possiede la chiave. Per ottenere la chiave e poter recuperare i dati è necessario pagare un ransom, in inglese riscatto.
Si tratta di attacchi che hanno scopo estorsivo, esattamente come un sequestro di persona, solo che in questo caso si tratta di sequestro di file e dati.
I dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione, ovvero non sempre vengono diffusi. Ed infatti, l’efficacia particolare del ransomware consiste proprio nella possibilità della doppia estorsione, ovvero non solo sequestrare i dati per ottenere in cambio il pagamento del riscatto, ma anche minacciare la vittima di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del Regolamento Generale per la Protezione dei Dati 679/2016, che prevede l’intervento del Garante della Privacy e le eventuali (salatissime) sanzioni.
Per ottenere la chiave di decriptazione, viene richiesto un pagamento, parametrato alle dimensioni del data base sequestrato, ed alla capacità del sistema attaccato, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.
3. La sanzione del Garante
A seguito di notifica, il Garante ha aperto un’istruttoria, accertando che l’attacco è avvenuto per la mancanza di adeguate misure di sicurezza, in aperta violazione del principio di privacy by design.
Nello specifico, l’accesso alla rete tramite VPN era possibile unicamente mediante un processo di autenticazione basato sull’uso di username e password e la rete non era adeguatamente compartimentata, cosa che ha permesso il propagarsi del malware a tutta la rete aziendale. Trattandosi altresì di dati appartenenti alle categorie particolari ex art. 9 GDPR, ossia di dati relativi alla salute, il caso è stato considerato particolarmente grave.
Dall’esame delle informazioni e degli elementi acquisiti e della documentazione fornita dall’ASL è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR, in relazione ai seguenti profili:
– mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e particolari (dati relativi alla salute);
– mancata adozione di misure adeguate a garantire la sicurezza delle reti.
Per tali ragioni, è stata comminata una sanzione di 30.000 euro per la violazione:
– del principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del GDPR;
– del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del GDPR (privacy by design);
– degli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento