Ats, dopo l’attacco hacker si muove il garante della privacy

Il Garante per la privacy si muove sul furto dei dati dell’Ats Insubria. E al momento c’è poco altro da fare perché cancellare nomi, cognomi e informazioni sensibili sul dark web è una battaglia persa.

Il Garante per la protezione dei dati personali, authority presieduta da Pasquale Stanzione , fa sapere che a Roma è stato aperto un fascicolo relativo al furto compiuto da anonimi hacker ai danni dell’agenzia della salute di Como e Varese. Secondo il garante si configura una violazione dei diritti dei cittadini le cui informazioni personali sono state pubblicate dai pirati informatici online. Si tratta solo di un assaggio di tutti i file che gli hacker minacciano di diffondere la settimana prossima se Ats - come ha già anticipato - non pagherà un riscatto.

L’Ats, subito il furto, doveva notificare entro 72 ore alle autorità la violazione e poi comunicare ai soggetti interessati quanto accaduto. Soprattutto se - come abbiamo avuto modo di testimoniare - tra i file messi online ci sono numeri di telefono, indirizzi, codici Iban e documenti di centinaia di cittadini. Ats ha inviato un comunicato stampa e sul proprio sito ha aperto una finestra per dare agli assistiti queste informazioni, che comunque così difficilmente arriveranno a tutti i soggetti colpiti, in gran parte ignari del fatto.

«Se la violazione comporta un rischio elevato per i diritti delle persone il titolare del trattamento deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto», fanno sapere da Roma.

I cittadini che temono di essere finiti nella trappola degli hacker possono comunque rivolgersi al Garante. Non tanto per ottenere rimborsi, ma per fare reclamo e chiedere che si accerti se la sicurezza informatica è stata o meno garantita. Sulla scorta di eventuali reclami il Garante valuterà i fatti ed eventuali provvedimenti sanzionatori contro l’ente sanitario, se Ats non avesse adempiuto ai propri doveri (il riferimento è a www.garanteprivacy.it/i-miei-diritti).

Nel frattempo la polizia postale e le forze dell’ordine stanno indagando sul caso. I dati dell’Ats Insubria sul darkweb sono ancora scaricabili. «Ma togliere informazioni da internet è un’impresa difficile - spiega Stefano Zanero , docente del Politecnico ed uno dei massimi esperti di cybersicurezza – Recuperare dei contenuti sottratti è di fatto impossibile. Esistono sì dei mezzi per inibire dei siti, ma il dark web è costruito per resistere alla censura. Sono sistemi anonimizzati, non ci sono indirizzi o recapiti». Accedere al dark web però non è poi così complicato. Occorre scaricare un apposito browser e incollare delle stringhe che rimandano alle informazioni cercate.

«Anche supponendo che le forze dell’ordine riescano a sequestrare un sito o a cancellare dei file – ragiona ancora il professore – i pirati fatta la copia dei dati tempo zero potrebbero pubblicarli altrove. Sarebbe una rincorsa inutile. L’unico modo è prevenire reati del genere, difendere informazioni e privacy con le dovute accortezze. Accortezze che sono sicuro siano state messe in campo, ma con ogni evidenza non in maniera sufficiente».