Dati rubati dagli hacker, Ats ammette: «Rischio di frodi a danno degli utenti»

L’attacco hacker subito la scorsa primavera da Ats Insubria, che ha portato al furto di centinaia di dati sensibili, potrebbe comportare per gli utenti comaschi e varesini ripercussioni e danni ingentissimi. A dirlo è la stessa Ats, in una comunicazione inoltrata al Garante per la protezione dei dati personali. Un’ammissione che sa di beffa, per tutti quei cittadini i cui dati anagrafici, sanitari e bancari sono stati rubati nel maggio scorso. Scrive la stessa Agenzia per la Salute, la cui sede sta a Varese, che la «il potenziale impatto per gli interessati» a causa dell’attacco hacker «riguarda la perdita del controllo dei dati personali; il furto o l’usurpazione d’identità; frodi; pregiudizio alla reputazione; conoscenza da parte di terzi non autorizzati» di dati sensibili.

Sempre stando alle comunicazioni inviate al Garante, si scopre anche la dinamica che ha portato al clamoroso furto. Di fatto il gruppo BlackByte è riuscito - non si sa come - ad impadronirsi di un account di amministrazione, cioè di password e codici in possesso agli “admin” del sistema informatico di Ats Insubria.

Rubati i dati personali di «dipendenti, consulenti, utenti, clienti, abbonati, soggetti che ricoprono cariche sociali, beneficiari o assistiti, pazienti e minori»

Una volta entrati così nel sistema hanno attivato «un malware di cifratura che ha compromesso un numero elevato di host» ovvero computer e server aziendali. Accanto ai disservizi per l’utenza il gruppo di hacker si è anche impadronito di dati sensibili e personali di centinaia di cittadini comaschi: «Dipendenti, consulenti, utenti, clienti, abbonati, soggetti che ricoprono cariche sociali, beneficiari o assistiti, pazienti e minori» conferma la stessa Ats. Che ammette anche come non sia «stato possibile stimare il volume totale di dati realmente esfiltrati».

L’indagine del Garante

Come rivelato sul quotidiano in edicola ieri, anche in conseguenza di un ricorso inviato dall’avvocato Lorenzo Spallino, l’ufficio di polizia giudiziaria del Garante per la protezione dei dati personali ha inviato una richiesta urgente di elementi ulteriori per comprendere se vi siano state violazioni di legge.

In particolare, il Garante vuole meglio comprendere il ruolo di Aria spa, l’Azienda Regionale per l’Innovazione e gli Acquisti controllata al 100% dalla Regione Lombardia, nel trattamento dei dati personali «coinvolti dalla violazione». E ancora: «La descrizione di dettaglio della violazione, con particolare riferimento alle modalità e alle tempistiche con le quali» gli hacker hanno «inoculato all’interno dei sistemi informatici» i virus per condurre l’attacco. Inoltre gli inquirenti del Garante vogliono comprendere anche «le misure di sicurezza in essere al momento della violazione».

Su alcuni di questi quesiti Ats Insubria aveva già fornito alcune indicazioni, con tre differenti comunicazioni inviate a Roma, ma l’ufficio del Garante evidentemente non si è ritenuto soddisfatto delle spiegazioni avute. E vuole avere ulteriori informazioni, anche riguardo alla scelta della comunicazione agli interessati avvenuta - ha spiegato Ats - attraverso la «stampa locale e nazionale, il sito web istituzionale e gli ambienti social». Ma nulla è stato comunicato personalmente ai cittadini.