Il Garante Privacy ha concluso i procedimenti avviati in seguito all’attacco informatico subito dal sistema sanitario regionale del Lazio nella notte tra il 31 luglio e il 1° agosto 2021, infliggendo sanzioni rispettivamente di 271 mila euro a LAZIOcrea, società gestore dei sistemi informativi regionali, 120 mila euro alla Regione Lazio e 10 mila euro alla ASL Roma 3.
L’attacco data-breach, causato da un ransomware (un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione) introdotto nel sistema tramite un portatile utilizzato da un dipendente della Regione, ha comportato gravi conseguenze, bloccando l’accesso a numerosi servizi sanitari cruciali. Tra le interruzioni la gestione delle prenotazioni, i pagamenti, il ritiro dei referti e la registrazione delle vaccinazioni. Questo ha impedito ad Asl, aziende ospedaliere e case di cura di utilizzare alcuni sistemi informativi regionali per trattare i dati sanitari di milioni di cittadini, con un’interruzione che si è protratta da poche ore fino a diversi mesi.
Dalle indagini condotte dall’Autorità, è emerso che LAZIOcrea e la Regione Lazio hanno commesso numerose e gravi violazioni della normativa sulla privacy, principalmente a causa dell’uso di sistemi obsoleti e della mancanza di adeguate misure di sicurezza per rilevare prontamente le violazioni dei dati personali e garantire la sicurezza delle reti informatiche.
Durante l’attacco, la scarsa sicurezza dei sistemi ha reso impossibile alle strutture sanitarie regionali di accedere al sistema e di fornire alcuni servizi sanitari ai cittadini. In particolare, circa 180 server virtuali sono diventati inaccessibili a causa dell’attacco informatico, e LAZIOcrea ha scelto di spegnere tutti i sistemi, vista la sua incapacità di individuare quelli compromessi o di prevenire ulteriori danni da malware.
Inoltre, LAZIOcrea ha mancato di intraprendere le azioni necessarie per gestire correttamente il data breach e le sue conseguenze, specialmente nei confronti delle numerose strutture sanitarie coinvolte. Dall’altra parte, la Regione Lazio avrebbe dovuto esercitare un controllo più efficace su LAZIOcrea, suo responsabile del trattamento, garantendo un adeguato livello di sicurezza e protezione dei dati fin dalla fase di progettazione.
Nel determinare l’entità delle sanzioni, il Garante ha considerato la natura e la gravità delle violazioni, nonché il livello di responsabilità, specialmente per soggetti come LAZIOcrea e la Regione Lazio. Per quanto riguarda la ASL Roma 3, che non ha notificato il data breach, il Garante ha comminato una sanzione di 10 mila euro, diversamente da altre strutture sanitarie coinvolte.
LG