Hacker, la lettera dell’Ats al paziente: «Non sappiamo che dati hanno rubato»

La conferma arriva nero su bianco. A firma del direttore generale di Ats Insubria. L’Agenzia per la tutela della salute - l’ex Asl - di Como e Varese non ha alcuna idea di quali dati siano stati rubati dagli hacker, nell’attacco informatico di un mese e mezzo fa che per dieci giorni ha letteralmente bloccato i server e l’attività di Ats.

Nelle scorse settimane un avvocato comasco ha deciso di inviare una pec (la posta elettronica certificata, equivalente di una raccomandata ma ovviamente più rapida) per chiedere conto dell’attacco hacker subito dai server che contengono i dati sensibili dei comaschi e dei varesini. Nella missiva il legale ha chiesto di poter conoscere con esattezza se e quali informazioni che lo riguardavano fossero state sottratte dai pirati informatici. La missiva di risposta ha impiegato ben tre settimane per arrivare, ma soprattutto ha lasciato il mittente tutto tranne che soddisfatto della replica firmata da Lucas Maria Gutierrez, il direttore generale di Ats Insubria. Nella sostanza - prima che nella forma - il numero 1 dell’Agenzia della salute ha sostanzialmente ammesso due cose. La prima: ad oggi non si sa ancora «la natura e le categorie dei dati coinvolti» nell’attacco informatico, «nonché sulla potenziale riconducibilità dei dati personali eventualmente violati a soggetti individuati e individuabili». La seconda: la situazione è talmente liquida, da spingere il direttore generale a sollecitare lo stesso utente «a segnalare ogni eventuale informazione o circostanza che potrebbe ritenere collegata» al furto di dati.

Il legale chiedeva di conoscere quali informazioni fossero state sottratte

Il resto della missiva - anche comprensibilmente - è scritta in modo da cercare di sottrarre l’Ats da eventuali contestazioni legali sulla sottrazione. E così Gutierrez attacca subito precisando che immediatamente «Ats ha dato contezza agli interessati attraverso comunicazione pubblica» di quanto accaduto; quindi sottolinea di aver denunciato l’episodio e che «sono attuamente in corso le opportune indagini e verifiche, sia interne che da parte delle autorità, sull’accaduto».

Il fascicolo d’indagine è finito sul tavolo della Procura distrettuale di Milano e l’indagine è seguita dalla direzione regionale della Polizia postale. Dal canto loro gli hacker che hanno sferrato l’attacco, nell’immediatezza avevano pubblicato in Rete una serie di dati per dimostrare di aver violato i server e i computer dell’Ats Insubria. Erano finiti sul web una grande quantità di dati personali e sensibilissimi, come ad esempio centinaia di nominativi di persone con gravi disabilità, comprensivi di indirizzi di casa, mail, numeri di conti corrente, nomi di tutori legali, codici fiscali. In alcuni casi sono state anche pubblicate carte d’identità personali.

I pirati informatici avevano minacciato di rendere noti i dati rubati il 2 giugno, ma l’ultimatum non è mai sfociato in nulla di concreto. Forse per l’esistenza di trattative e contatti, forse per il tentativo di qualcuno di acquistare quei file. Il cui contenuto non lo conosce neppure l’Ats stessa.