Il Garante Privacy dopo l’attacco hacker al servizio sanitario abruzzese: chi scarica i dati dei pazienti dal Dark Web commette reato
La ASL 1 Abruzzo ha reso noto di aver subìto un grave attacco informatico in cui sono stati sottratte informazioni sensibili dei pazienti delle province di Avezzano, Sulmona, e L’Aquila.
Si tratta di un massiccio attacco ransomware avvenuto lo scorso 3 maggio, di cui ancora oggi la regione Abruzzo paga le conseguenze. Per diversi giorni infatti le prenotazioni delle prestazioni sanitarie sono rimaste bloccate, creando notevole confusione tra i pazienti.
A quanto risulta, gli autori sarebbero stati gli hacker del gruppo Monti, che avrebbero sottratto 522 gigabyte di dati violando la privacy di migliaia di pazienti, compresi quelli oncologici e i neonati, ma anche documenti legali, dati personali dei dipendenti, backup del sistema, e anche dei pazienti sieropositivi. Tra i dati trafugati vi sono inoltre gli esami medici dei detenuti al 41 bis, come Matteo Messina Denaro, rinchiuso all'Aquila.
Mentre i tecnici incaricati dalla Regione Abruzzo sono ancora al lavoro per cercare di ripristinare il funzionamento dei sistemi informatici, gli hacker avrebbero pubblicato inizialmente pubblicato 10 giga di dati per convincere la ASL 1 a pagare un riscatto di 2 milioni di euro in Bitcoin.
Successivamente, gli hacker hanno fatto nuove minacce alla sanità abruzzese: "Nei prossimi giorni vi mostreremo ulteriori falle nei sistemi delle Asl di tutta la regione". D’altra parte, il presidente della Regione Abruzzo, Marco Marsilio, ha affermato che “la Asl e la Regione non pagheranno nessun riscatto chiesto dagli hacker”.
Secondo gli aggiornamenti forniti il 7 maggio dalla stessa direzione della Asl abruzzese, “in conseguenza dell’attacco hacker subito dall’ASL 1 Abruzzo, la Regione ha costituito un gruppo di pronto intervento di sicurezza informatica che sta operando a supporto dei gruppi tecnici dell’Azienda, immediatamente attivati nella gestione dell’incidente, per limitare il disagio derivante dall’indisponibilità di alcuni dei servizi informatici. Il lavoro dei tecnici procede ininterrottamente con il coordinamento, in presenza, della Direzione Strategica dell’Azienda. Sono stati adottati tutti i provvedimenti necessari per garantire i servizi sanitari con modelli organizzativi alternativi.”
Nel frattempo, il gruppo hacker Monti ha reso disponibile nello spazio anonimo del deep web una mole di 386 gigabyte trafugati dalla Asl abruzzese accompagnando la pubblicazione da messaggio in cui viene sottolineato che “non è stata avanzata alcuna richiesta di riscatto, i media si sono inventati l’importo”.
In data 18 maggio il Garante per la protezione dei dati personali ha ricordato che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali - e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo - incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato. Un reato questo ancora più odioso, perché riguarda dati sanitari, quali in particolare informazioni su patologie e cure mediche di persone in condizioni di vulnerabilità e fragilità.
L’Autorità per la privacy ha quindi avvertito di non scaricare dal dark web e non condividere con terzi gli archivi potenzialmente riconducibili alla Asl 1 Abruzzo.