L’attacco hacker e il furto di file sulla salute. Il Garante sui dati personali mette l’Ats sotto inchiesta

Il Garante per la protezione dei dati personali ha messo formalmente sotto inchiesta l’Ats Insubria. Nei giorni scorsi il dirigente dell’ufficio di polizia giudiziaria dell’ufficio di piazza Venezia ha notificato ai vertici dell’ex Asl l’avvio di un’istruttoria per accertare «l’adeguatezza delle misure tecniche e organizzative poste in essere al momento» dell’attacco hacker subito la scorsa primavera.

Un’iniziativa collegata anche ai numerosi ricorsi ricevuti dopo il furto di dati sensibili dai server dell’Ats Insubria. Tra i vari ricorsi, quello dell’avvocato comasco Lorenzo Spallino che aveva contestato una serie di violazioni ai regolamenti sulla tutela dei dati personali degli utenti dell’agenzia della salute.E non a caso l’avvio del provvedimento è stato notificato, oltre che ad Ats, anche allo stesso ex assessore comasco.

Ma riavvolgiamo il calendario e torniamo allo scorso maggio, quando all’improvviso il sito di Ats Insubria finisce in tilt. I vertici pubblici tardano a fornire risposte e solo dopo oltre 24 ore dal ko del sito e di tutta la rete informatica interna, ammettono: abbiamo subito un attacco hacker. Senza però precisare mai cosa questo abbia comportato. Per oltre una settimana si parla solo di disagi e di difficoltà. Soltanto due settimane più tardi l’Ats spiegherà - tramite un comunicato - che approfondimenti, «le possibili conseguenze in tema di dati personali potrebbero riguardare il furto di identità, la perdita del controllo di dati personali, la limitazione dei diritti e della conoscenza da parte di terzi non autorizzati».

A dare l’idea di quello che ha comportato l’attacco dei pirati informatici, ci penserà il gruppo di redhotcyber.com che riesce a scovare nel dark web, ovvero nei meandri di quell’internet nascosto dove gira di tutto (e dove quasi tutto è illegale), un assaggio dei file rubati dai computer di Ats. Quei file - dovrà ammettere Ats Insubria in una comunicazione inviata al Garante - sono: dati anagrafici completi, dati di contatto, dati di accesso e di identificazione (password) personali, dati di pagamento (numeri di carte di credito compresi), dati relativi a documenti di identificazione personale, dati relativi alla salute di utenti, clienti, assistiti, pazienti e minori.

L’attacco hacker di maggio è stato tutto tranne che uno scherzo. E le possibili conseguenze per i pazienti comaschi rischiano di essere più serie di quanto si possa pensare

Insomma, un danno potenzialmente clamoroso per i cittadini lombardi. Alla luce dei primi accertamenti, l’ufficio di polizia giudiziaria del Garante ha intimato ai vertici che siedono a Varese (ma governano anche la sanità comasca) di fornire con urgenza una serie di informazioni. A cominciare dal ruolo della società Aria, spa della Regione Lombardia, nei trattamenti dei dati personali coinvolti dalla violazione; la descrizione dettagliata delle modalità con cui l’attacco hacker è stato portato a termine; le misure di sicurezza che esistevano all’epoca dell’attacco e quelle messe in atto successivamente, soprattutto con riferimento all’aggiornamento «sullo stato di attuazione delle misure di sicurezza individuate» da Ats «per prevenire future simili violazioni».

L’avvio dell’istruttoria non è un puro atto formale. Basti dire che il Garante ha chiarito che la risposta dovrà essere fornita da una persona fisica che si assuma «la responsabilità in merito alla genuinità delle dichiarazioni rese» arrivando anche a ricordare i rischi a cui si va incontro di fronte a false dichiarazioni. I nsomma, l’attacco hacker di maggio è stato tutto tranne che uno scherzo. E le possibili conseguenze per i pazienti comaschi rischiano di essere più serie di quanto si possa pensare.