I dati dei pazienti comaschi finiscono sul dark web dopo essere stati rubati dagli hacker a Synlab

Pirateria informatica La società non paga i criminali russi e loro pubblicano tutto sulla rete: «Non abbiamo accettato il ricatto. Siamo rammaricati». Indagine di Procura e garante privacy

Synlab sotto attacco degli hacker, pubblicati sul dark web i dati sanitari dei pazienti. Era già successo all’Ats Insubria nel maggio del 2022, ora la vittima dei pirati informatici è Synlab Italia, la multinazionale colpita da un cyber attacco che ha mandato in tilt tutti i sistemi informatici quattro settimane fa, costringendo alla chiusura anche i tanti ambulatori sparsi per la città e la provincia.

L’attacco

I pirati, il gruppo russo Black Basta, il 18 aprile ha però rubato dagli archivi di Synlab referti, esami, documenti, insomma migliaia di dati sanitari sensibili dei cittadini. A fronte di una richiesta di riscatto che l’azienda non ha voluto pagare tutte queste informazioni riservate sono state pubblicate sul dark web. Un internet parallelo, anonimo e senza controlli. Non è dato sapere quanti cittadini comaschi siano interessati dalla vicenda, ma la mole di dati resi a tutti accessibile conta qualche milione di file.

Synlab si dice «rammaricata».

«A seguito della pubblicazione dei dati da parte dell’organizzazione cybercriminale, Synlab si è attivata per l’analisi e l’identificazione dei dati oggetto di pubblicazione avvalendosi anche di fornitori specializzati del settore: considerate le complessità nella acquisizione dell’intero dataset attraverso il dark web l’attività potrà richiedere diverso tempo». Synlab dice di aver «rigettato fermamente l’idea di finanziare pagando il riscatto futuri attacchi cybercriminali». L’azienda conferma che sono stati trafugati dati sensibili per ora difficili da identificare singolarmente, l’indirizzo mail [email protected] è stato però aperto apposta per dare informazioni ai pazienti. Massima collaborazione in parallelo alle autorità pubbliche competenti che stanno indagando e il Garante per la privacy. Sì perché tutelare la privacy dei pazienti è un obbligo di legge per tutte le strutture sanitarie.

«Serve più tutela»

«Purtroppo non c’è qualcosa nell’immediato che i cittadini possano fare – spiega il professore Stefano Zanero, docente del Politecnico esperto di cybersicurezza – i dati personali relativi alla nostra salute sono ormai stati pubblicati. Fosse il furto della password si può cambiare, ma i documenti sono già in circolazione e ormai non è possibile metterci una pezza. Si tratta di dati sensibili, referti medici, documenti, informazioni che con ogni probabilità non vorremmo condividere. Se tante carte d’identità finiscono nelle mani sbagliate potrebbero in futuro capitare ad esempio truffe, abusi, illeciti. Per questo la protezione dei dati va fatta prima». Si tratta come detto di un obbligo di legge. «Certo, è interessante capire ora come l’azienda vittima dell’attacco intende gestire i dati in suo possesso – dice ancora Zanero – molti cittadini lombardi, me compreso, potrebbero avere dei documenti dentro alle cartelle finite sul dark web. Ed è un fatto che Synlab non fornito una notifica puntuale a tutti i soggetti del trattamento con sollecitudine. Miglior pratica che invece deve essere attuata. Avvisare dell’attacco hacker genericamente sul proprio sito istituzionale non basta. Peraltro inizialmente l’azienda ha escluso il trafugamento dei dati che invece poi è stato confermato».

Secondo il docente il furto di dati è una prassi attuata sempre dai pirati informatici. «Certo, questi attori rubano informazioni e contenuti – dice il professore - per poi chiedere un doppio riscatto, prima per la restituzione del maltolto e poi con la minaccia di rendere pubblici i file».

© RIPRODUZIONE RISERVATA