Comunicato stampa
L’Azienda intende in primo luogo assicurare che fornirà idonea comunicazione agli interessati rispetto alla pubblicazione dei loro dati, secondo le modalità previste dalla normativa, per consentire loro di adottare le dovute precauzioni ed attenuare possibili effetti negativi derivanti dalla violazione dei dati. Allo stato attuale sono infatti in corso le analisi del contenuto dei file pubblicati. A tal fine, verranno fornite ulteriori informazioni nel prosieguo dell’istruttoria che l’Azienda, di concerto con le Autorità competenti, sta conducendo, e che richiede la massima attenzione a ogni elemento.
La comunicazione ai cittadini ai sensi dell’art. 34 del GDPR si trova alla pagina dedicata: essa è sempre tempestivamente integrata con le nuove informazioni e rimane in modalità “aggiornamento” solo per il tempo necessario alla stesura e messa online di ulteriori versioni. L’Azienda invita dunque a fare riferimento a questo canale e in generale al sito Ausl e contestualmente, a prestare attenzione ad eventuali richieste di contatto telefonico o e-mail/sms inconsueti o che destino sospetto e, in questo caso, a sporgere denuncia alle Autorità competenti.
Rispetto a chi diffonde tramite i media informazioni, anche sommarie, sulla natura dei dati pubblicati, preme ricordare che chiunque visualizzi, entri in possesso, scarichi, acquisti, pubblichi tali dati – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono costituire reato. Come detto, ogni violazione dei dati viene notificata dall’Azienda all’Autorità Garante per la protezione dei dati personali e alla Polizia Postale.
Si ricorda inoltre che la pubblicazione sul dark web non implica in maniera automatica la pubblicazione e diffusione degli stessi dati sul “clear web”, quella parte della rete internet accessibile a tutti e navigabile tramite motori di ricerca, ribadendo comunque che anche quest’ultimo caso si configura ovviamente come condotta illecita. Il dark web non è liberamente accessibile e richiede l’utilizzo di software appositi e specifiche competenze informatiche; le informazioni non sono indicizzate e dunque le ricerche sono limitate al solo nome del file, senza poter essere estese al contenuto.
In aggiunta, l’Azienda USL si è subito impegnata a costituire una rete con le altre Aziende sanitarie che, in tempi recenti, sono state vittime di analoghi attacchi – l’Asl1 Abruzzo, Ulss Euganea Padova, Azienda Ospedaliera Universitaria Integrata di Verona e altre – e sta coordinando azioni per portare il tema della sicurezza informatica a una maggiore attenzione a livello nazionale. Si tratta infatti di veri e propri attacchi al Sistema sanitario pubblico che vanno condannati dall’intera comunità civile e che richiedono l’interazione e l’interconnessione tra più soggetti.
A ulteriore disposizione dei Colleghi dei Media e dei cittadini stessi si riportano di seguito le informazioni fornite da due delle figure professionali integrate nel team di esperti, attivo sin dal primo giorno dell’attacco subito.
“Purtroppo, negli ultimi tempi, e in particolare dopo la guerra in Ucraina, si registra un aumento degli attacchi della criminalità informatica, sia nel pubblico che nel privato. Nell’obiettivo sempre più spesso le strutture sanitarie, in tutto il mondo, recentemente soprattutto in UK e in USA, e anche in Italia. Questi attacchi, sempre più difficilmente prevedibili ed evitabili, sono ancor più spregevoli, perché mirati a colpire chi si trova in condizioni di fragilità.
L’azienda si è attivata da subito con le autorità competenti e prosegue le indagini per approntare ogni misura necessaria a mitigare ulteriori impatti, concentrando tutti gli sforzi sulla riduzione dell’impatto dell’attacco sugli interessati.
In ogni caso, occorre ricordare che ogni utilizzo non autorizzato dei dati trafugati può configurare un illecito e può avere rilevanza penale”.
Giusella Finocchiaro, Professoressa Ordinaria di Diritto privato e Diritto di Internet presso l’Università di Bologna, Avvocato.
“L’attacco informatico subito dall’Azienda USL di Modena nei giorni scorsi, unitamente ad alcune osservazioni sull’accaduto circolate sulla stampa, meritano alcune precisazioni.Occorre anzitutto ricordare che i dati copiati non sono pubblicati nel clear web, ossia l’insieme dei contenuti internet liberamente accessibili dal pubblico e indicizzati dai motori di ricerca, ma solo nel dark web.
A differenza del clear web, il dark web non è liberamente accessibile, richiede l’utilizzo di software appositi e competenze informatiche superiori alla media; le informazioni non sono indicizzate, mentre le ricerche sono limitate al nome dei file (senza poter essere estese al contenuto, come i nominativi dei pazienti).
Merita altresì porre nella massima evidenza che il download di dati personali riservati tramite il dark web è condotta non posta in essere da entità istituzionali e, anzi, sanzionabile penalmente in particolare a titolo di trattamento illecito, comunicazione o diffusione illecita e acquisizione fraudolenta di dati, ricettazione, riciclaggio e persino di associazione a delinquere.
La pronta reazione dei sistemi dell’Azienda, oltre a mitigare l’impatto dell’accaduto, ha messo in luce l’assoluta importanza delle misure di prevenzione organizzative, informatiche e giuridico-legali.
Come ben noto, gli hacker dispongono di “mezzi” assai sofisticati e in incessante evoluzione; tuttavia, la predisposizione di adeguati strumenti di compliance e di idonee misure preventive, ivi compresa la formazione e la sensibilizzazione del personale, contribuisce – come avvenuto nel caso di specie – a contenere l’impatto negativo di questi episodi.
L’Azienda ha già peraltro avviato l’analisi tecnica dei file pubblicati da parte del gruppo di lavoro interno al fine precipuo di fornire agli interessati le comunicazioni previste dalla normativa vigente. Autorità Giudiziaria, Regione Emilia-Romagna e Azienda USL sono impegnate nelle indagini, per quanto di rispettiva competenza e in stretta sinergia”.
Riccardo Borsari, Professore di diritto penale e di diritto penale, robotica e intelligenza artificiale presso l’Università degli Studi di Padova, Avvocato.
[15 dicembre 2023]