Con tre recenti provvedimenti [VEDI doc. web n. 10002324, 10002533, 10002287] il Garante Privacy ha sanzionato la Regione Lazio, LAZIOcrea e l’ASL Roma 3 dopo l’attacco ransomware subito nell’estate del 2021 che ha causato un blocco del sistema sanitario regionale e disagi prolungati addirittura per alcuni mesi.
L’attacco ransomware subito dalla Regione Lazio
L’estate del 2021 è stata segnata da un grave incidente di sicurezza informatica che ha colpito il sistema sanitario della Regione Lazio, con conseguenze dirette sulla disponibilità di servizi essenziali e sulla gestione dei dati sanitari di milioni di cittadini. Nella notte tra il 31 luglio e il 1° agosto, infatti, un attacco ransomware ha seriamente compromesso i sistemi, causando un blocco significativo delle operazioni sanitarie quotidiane. Questo episodio ha suscitato una risposta decisa dall’Autorità Garante per la protezione dei dati personali, che ha imposto sanzioni per un totale di 401.000 euro a diverse entità responsabili.
La Dinamica del Cyber-attacco
Il malware, introdotto tramite il laptop di un dipendente, ha paralizzato numerosi servizi essenziali: dalla gestione delle prenotazioni mediche al ritiro dei referti, passando per la registrazione delle vaccinazioni. Il blocco è durato da un minimo di 48 ore fino ad arrivare a diversi mesi, per alcune funzionalità, mettendo in evidenza, secondo quanto ritenuto dal Garante, significative lacune nella sicurezza informatica gestita dalla LAZIOcrea, società che si occupa dei sistemi informativi regionali, e dalla stessa Regione Lazio.
Violazioni e Sanzioni
Il Garante Privacy, attraverso approfondite indagini e ispezioni, ha rilevato che sia LAZIOcrea sia la Regione Lazio hanno commesso gravi violazioni della normativa sulla privacy. Queste violazioni derivavano principalmente dall’uso di sistemi non aggiornati e dalla mancanza di adeguate misure di sicurezza per prevenire e rilevare tempestivamente le violazioni dei dati personali.
In risposta, il Garante per la protezione dei dati personali ha emesso sanzioni pecuniarie per un totale di 401.000 euro, distribuite come segue:
- 271.000 euro a LAZIOcrea per mancate misure preventive e reattive adeguate;
- 120.000 euro alla Regione Lazio, che, in qualità di titolare del trattamento, avrebbe dovuto esercitare una vigilanza più efficace su LAZIOcrea. Questa mancanza ha portato a una risposta inadeguata durante l’attacco, con LAZIOcrea che ha deciso di spegnere tutti i sistemi senza sapere quali fossero compromessi o come contenere la diffusione del malware. Questo ha aggravato l’impatto dell’attacco, prolungando l’indisponibilità dei servizi sanitari essenziali; e
- 10.000 euro alla ASL Roma 3, per non aver notificato il data breach nel contesto della crisi.
Riflessioni Finali
Con le sanzioni imposte, il Garante ha confermato la sua posizione sull’importanza di una gestione proattiva e responsabile dei sistemi informativi, in particolare quando si tratta di dati sensibili come quelli sanitari.
Su un argomento simile può essere l’interesse l’articolo “Il report ENISA 2022 sugli attacchi ransomware fornisce indicazioni anche sulle misure regolatorie da adottare”
