Milano – Una multa da quarantamila euro all’Asst Fatebenefratelli-Sacco dal Garante della Privacy, per l’attacco hacker di quasi tre anni che buttò fuori i suoi cinque pronto soccorso (Fatebenefratelli e Oftalmico, Buzzi, Macedonio Melloni e Sacco) dal circuito del 118 per una settimana.

Ci volle un mese per ripristinare tutti i servizi informatici nei quattro ospedali e nelle 33 sedi territoriali dell’Asst, colpita dai cybercriminali russi del gruppo Vice Society alle tre di notte del primo maggio 2022 con annesso blocco di “tutti i sistemi informativi aziendali” (funzionavano solo i telefoni) e la decisione di “isolare l’intera rete informatica dalla rete pubblica”. I tecnici aziendali presto furono affiancati dagli specialisti di Aria, dell’Agenzia per la cybersicurezza nazionale e dagli agenti della Polizia postale cui l’allora direttore generale Alessandro Visconti denunciò il “ransomware” con “esfiltrazione di dati” da “un’area di un file server a disposizione degli utenti aziendali per mezzo di cartelle condivise”, si apprende dal provvedimento sanzionatorio emanato dall’Autorità presieduta da Pasquale Stanzione alla fine dell’anno scorso.

Una mole immane di dati: “circa 28 GB” per “quasi quarantamila file”, che furono ritrovati 50 giorni dopo dalla polizia giudiziaria nel dark web, sul sito di data leak di Vice Society, in forma “destrutturata”, cioè con “cartelle e alberature modificate” dalle “numerose conversioni”, “disaggregati, mescolati” nonché “in formati eterogenei e pertanto senza possibilità di analisi automatizzabile”, scrive l’Asst in diversi passaggi della sua memoria difensiva, riportati nel provvedimento del Garante, tanto che sarebbe occorso “aprire ogni singolo file” manualmente con “un lavoro di 17-18 mesi” e “uno sforzo smisurato di risorse umane che non erano (e non sono) disponibili” oltre a “un’esposizione a notevoli rischi”.

La Fatebene-Sacco può solo stimare che siano stati rubati i dati anagrafici di “alcune centinaia di dipendenti e alcune migliaia di cittadini”, quelli sensibili, cioè clinici, di “alcune migliaia” di pazienti e “alcune decine” di lavoratori, e i dati giudiziari di “alcune centinaia” di cittadini. La difesa dell’Asst sottolinea che anche la polizia giudiziaria che ha condotto l’indagine - e ne ha “richiesto l’archiviazione” - in un primo momento aveva escluso “la presenza di dati sanitari di pazienti”; che dei file poi ritrovati nel dark web non è riuscita ad “accertare la provenienza”, così come non è mai stato individuato “il vettore dell’attacco”, anche perché gli hacker hanno coperto le proprie tracce con “tecniche anti-forensics”. L’esfiltrazione di dati “verso la piattaforma di file transfer MegaUpload” è iniziata “prima della data dell’attacco” e le “attività criminali presumibilmente un anno” prima, durante la pandemia “quando l’azienda era oggetto di intense campagne di spam e di phishing e i dipendenti svolgevano l’attività lavorativa in smart working”, hanno spiegato in audizione i rappresentanti dell’Asst illustrando l’ipotesi che abbiano agito “due gruppi: il primo avrebbe effettuato il furto di credenziali”, che s’è poi scoperto fossero “in vendita da mesi”, acquistate all’asta da Vice Society che ha “pianificato l’attacco in un giorno festivo”.

Nella sua difesa, l’Asst elenca tutte le misure di sicurezza che aveva all’epoca del ransomware, incluso il backup che ha “consentito il totale ripristino dei sistemi senza perdita di patrimonio informativo”, e tutte quelle attivate in seguito, anche a livello regionale; sottolinea come la violazione della privacy sia frutto di un’azione illecita commessa da “hacker esperti”, contro un’azienda sanitaria reduce dal Covid contro il quale aveva combattuto in prima linea, e osserva che “trascorsi quasi due anni dalla pubblicazione di dati sul dark web non è stata avanzata alcuna richiesta risarcitoria da utenti-pazienti cui potrebbero riferirsi”.

Ma il Garante, pur tenuto conto delle osservazioni dell’Asst e della sua “cooperazione”, le contesta di non aver avuto, all’epoca, “misure adeguate a rilevare tempestivamente la violazione dei dati personali” e “a garantire la sicurezza dei sistemi e delle reti” a fronte di un rischio cibernetico “prevedibile”. Ad esempio “l’accesso remoto alla rete aziendale avveniva mediante username e password” perché l’autenticazione a doppio fattore era “in corso di attivazione” e sarebbe stata introdotta “immediatamente” dopo l’attacco, solo a seguito del quale si è provveduto a introdurre anche “misure adeguate per segmentare e segregare le reti”. Per l’Autorità, la Fatebene-Sacco ha violato gli articoli 5 e 32 del regolamento sulla protezione dei dati personali, che tutelano il principio di “integrità e riservatezza” e gli obblighi in materia di sicurezza del trattamento. E deve pagare quarantamila euro.