In sintesi

L'Azienda Sanitaria Locale di Matera ha subito un grave attacco informatico che ha rubato dati sensibili, inclusi dati sanitari, di quasi 100.000 persone. Il Garante Privacy ha multato l'azienda perché le sue difese informatiche non erano sufficienti per prevenire o rilevare l'attacco in tempo, nonostante l'attacco sia stato sofisticato. Questo caso sottolinea che anche le pubbliche amministrazioni devono investire costantemente in sicurezza informatica e non possono basarsi solo su vecchie regole o mancanza di fondi per giustificare le lacune.

Cosa fare

Controllate che i vostri sistemi informatici siano ben protetti contro gli attacchi (es. con firewall e antivirus aggiornati)
Assicuratevi che i dati più importanti siano separati e più difficili da raggiungere per i malintenzionati
Usate sistemi di accesso che richiedano più di una semplice password (autenticazione a due fattori)
Aggiornate regolarmente tutti i software e i sistemi operativi
Formate il vostro personale su come riconoscere e gestire i rischi informatici

Cosa evitare

Non rimandare gli aggiornamenti dei vostri sistemi informatici
Non lasciare dati sensibili esposti senza adeguata protezione
Non sottovalutare i rischi di attacchi informatici, anche se siete una piccola realtà
Non usare solo password semplici per accedere a sistemi critici

Contesto

L'Azienda Sanitaria Locale di Matera ha subito un attacco informatico ransomware dal gruppo "Rhysida", che ha comportato la cifratura dei sistemi e l'esfiltrazione di circa 600 GB di dati amministrativi e sanitari di 95.362 interessati. L'attacco è avvenuto sfruttando credenziali compromesse e vulnerabilità nel sistema RIS/PACS. L'Azienda ha notificato il data breach al Garante e ha collaborato con ACN, Polizia Postale e una società di incident response. Le indagini hanno rivelato che l'Azienda disponeva di un sistema SIEM che non raccoglieva i log dei firewall, aveva una limitata segmentazione della rete, sistemi operativi obsoleti e assenza di autenticazione multifattore per gli accessi remoti.

La decisione

Il Garante ha accertato che l'Azienda Sanitaria Locale di Matera ha violato gli artt. 5, par. 1, lett. f) (principio di integrità e riservatezza) e 32 (sicurezza del trattamento) del GDPR. Le violazioni sono state riscontrate nella mancata adozione di misure adeguate per rilevare tempestivamente la violazione (SIEM configurato male, assenza SOC, personale di sicurezza solo in orario d'ufficio) e per garantire la sicurezza dei sistemi (limitata segmentazione rete, obsolescenza sistemi, assenza MFA per accessi remoti). Il Garante ha stabilito una sanzione amministrativa pecuniaria di 8.600,00 euro, ritenuta effettiva, proporzionata e dissuasiva, nonostante il carattere non intenzionale della violazione (attacco da parte di terzi). Ha disposto la pubblicazione dell'ordinanza-ingiunzione sul sito web del Garante e il pagamento entro 30 giorni.

Ratio decidendi L'obbligo del titolare del trattamento di adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR è dinamico e richiede una continua valutazione del rischio, anche alla luce dell'evoluzione tecnologica e delle minacce cibernetiche. La mera conformità a linee guida settoriali obsolete (come le Linee Guida AgID del 2017) non esaurisce tale obbligo, specialmente in contesti di elevato rischio come il trattamento di dati sanitari su larga scala. La mancata implementazione di un SIEM efficace, una segmentazione di rete adeguata, l'aggiornamento dei sistemi e l'autenticazione multifattore ha reso l'Azienda vulnerabile, contravvenendo al principio di integrità e riservatezza e agli obblighi di sicurezza.

Articoli GDPR violati

Articolo	Descrizione	Rilevanza
5 par.1 lett.f GDPR	Principio di integrità e riservatezza dei dati personali, che devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali.	l'azienda non ha garantito un'adeguata sicurezza dei dati personali, a causa di vulnerabilità nei sistemi e inadeguata gestione della sicurezza, portando a un data breach con esfiltrazione di dati.
32 GDPR	Obbligo per il titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte, dei costi di attuazione, e della natura, oggetto, contesto e finalità del trattamento.	l'azienda non ha adottato misure tecniche e organizzative adeguate per rilevare tempestivamente la violazione (siem inefficace, assenza soc) e per garantire la sicurezza dei sistemi (limitata segmentazione di rete, sistemi obsoleti, assenza mfa), esponendo i dati al rischio di compromissione.

Misure imposte

Pagamento sanzione amministrativa pecuniaria; Pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante

Sanzione

La violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, causata dalla condotta posta in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento. L'ammontare è stato determinato considerando l'elevato numero di interessati coinvolti e la categoria di dati personali (salute), che sono particolarmente sensibili, e il livello di gravità della violazione come 'alto', nonostante il carattere non intenzionale della violazione (attacco da parte di un soggetto terzo malintenzionato). La sanzione è stata ritenuta effettiva, proporzionata e dissuasiva.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento evidenzia l'importanza critica di adottare e mantenere misure di sicurezza informatica adeguate e costantemente aggiornate, soprattutto per le organizzazioni che trattano dati sensibili su larga scala, come le ASL. Non basta aderire a linee guida generiche o obsolete, ma è necessario effettuare una valutazione del rischio continua e dinamica, considerando l'evoluzione delle minacce cibernetiche. L'assenza di un SIEM efficace, una segmentazione di rete insufficiente, sistemi obsoleti e la mancanza di autenticazione multifattore sono state lacune gravi. La collaborazione con l'Autorità e la tempestività nella notifica del data breach sono state considerate attenuanti, ma non hanno escluso la sanzione. Le pubbliche amministrazioni, in particolare, devono superare le difficoltà legate a vincoli di bilancio e carenze di personale IT, investendo proattivamente nella cybersecurity e nella formazione, e coordinandosi efficacemente a livello regionale o nazionale.

Domande di self-assessment

Abbiamo una valutazione del rischio dei nostri trattamenti aggiornata e specifica per le minacce attuali?
Il nostro SIEM o sistema di monitoraggio degli eventi di sicurezza è configurato per raccogliere log da tutte le fonti rilevanti?
Il nostro personale di sicurezza è disponibile 24/7 o abbiamo un servizio SOC esterno?
La nostra rete è adeguatamente segmentata per proteggere i dati e sistemi più critici?
Utilizziamo l'autenticazione multifattore per tutti gli accessi remoti e le utenze amministrative?
I nostri sistemi operativi e applicativi sono costantemente aggiornati e supportati dai vendor?
Abbiamo procedure di gestione degli incidenti di sicurezza ben definite e testate?
Il nostro personale è formato regolarmente sulla cybersecurity e sulla protezione dei dati?

Riferimenti

Linee guida EDPB: Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD · Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Normativa nazionale: D.Lgs. 196/2003 · Legge n. 689 del 24 novembre 1981 · D.lgs. n. 150 del 1° settembre 2011 · Legge 90/2024 · D.lgs. n. 138 del 4 settembre 2024 · D.lgs. n. 65 del 18.05.2018

L’Azienda Sanitaria Locale di Matera ha subito un grave attacco informatico che ha rubato dati sensibili, inclusi dati sanitari, di quasi 100.000 persone