Ritorna in primo piano l’attacco cyber contro l’Asl 1 di Avezzano-Sulmona-L’Aquila del 2023, che aveva causato la violazione di dati sensibili personali di oltre 10mila persone. La vicenda è tornata al centro delle cronache grazie ad una recente inchiesta di Report sul Garante Privacy, oltreché per la richiesta di un risarcimento da 2,5 milioni di euro.
È stato infatti questo, secondo il Centro, “il contenuto della diffida stragiudiziale presentata contro la Asl 1 abruzzese dagli avvocati Marco Colantoni, del foro dell’Aquila, e Pier Luigi D’Amore, del foro di Avezzano“.
“La richiesta“, si legge ancora sul quotidiano abruzzese, “attualmente riguarda solo alcune tra le tante vittime del furto“. Il loro numero potrebbe però aumentare nei prossimi giorni. L’istanza “si muove su un binario parallelo rispetto al procedimento penale, le cui indagini, non concluse, sono seguite dalla Procura di Campobasso“.
Una attacco cyber senza precedenti
L’Asl 1 aveva subìto un attacco ransomware da parte del gruppo hacker criminale Monti, esfiltrando i dati di numerosi dei pazienti. Tra questi, anche gli esami medici di Matteo Messina Denaro, allora in carcere nel capoluogo abruzzese.
Per non divulgarli il gruppo aveva chiesto un riscatto. La richiesta era avvenuta attraverso una lettera pubblicata sul darkweb, rivolta direttamente a Ferdinando Romano, il direttore della Asl 1 e al Presidente della Regione Marco Marsilio.
In realtà, oltre alla lettera si era proceduto a pubblicare su un forum i primi 10 gigabyte esfiltrati dal database della Asl. In quel caso, la platea di potenziali interessati era di circa 300mila cittadini.
Solo un ammonimento
Nonostante l’importanza e la mole dei dati rubati, le conseguenze erano state molto blande. All’epoca, infatti, il Garante Privacy si era limitato ad ammonire “tale titolare del trattamento per aver violato le disposizioni“.
Non era arrivata nessuna sanzione. La scelta di non adottare delle misure più pesanti era avvenuta in ragione della “sua cooperazione, ben oltre gli obblighi previsti dalla legge” della stessa Azienda.
Il tutto, pur accertando una serie di importanti violazioni nel trattamento dei dati. Su tutte, la mancata adozione di misure adeguate. Sia per “rilevare tempestivamente la violazione dei dati personali“, che “a garantire la sicurezza delle reti e di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi“.
È su questo punto che, secondo D’Amore e Colantoni, si gioca tutta la partita. Questa la loro linea: “Il Garante ha accertato le violazioni. È un fatto pressoché incontrovertibile e il presupposto fondamentale per procedere“.
Secondo Report, al contrario, la volontà di non punire l’Asl 1 doveva ricollegarsi ad un evidente conflitto d’interesse. “Il programma“, ha scritto il Centro, “aveva messo a fuoco in particolare il rapporto tra Guido Scorza, componente del collegio dell’Authority, e lo studio legale E-Lex, che lo stesso Scorza aveva fondato. Studio legale poi assunto dalla Asl aquilana per difendere i propri interessi dalle conseguenze legali del furto di dati.