Implicazioni e ripercussioni del grave cyberattacco al SSN del Lazio

Nell'evento di un significativo cyberattacco che ha colpito il sistema sanitario della Regione Lazio tra il 31 luglio e il 1° agosto 2021, l'Autorità Garante della Privacy ha imposto sanzioni per un totale di 401.000 euro a carico di tre soggetti responsabili: LAZIOcrea, la stessa Regione Lazio e la Asl Roma 3. Queste multe, rispettivamente di 271.000, 120.000 e 10.000 euro, sono state applicate in seguito ad approfondite indagini sull'incidente, che ha visto una larga interruzione dei servizi a causa di un attacco ransomware.

Dettagli dell'attacco informatico e suoi effetti sul servizio sanitario

L'attacco, veicolato tramite un laptop di un impiegato regionale, ha indotto una paralisi dei servizi erogati dalla rete sanitaria, impedendo prenotazioni mediche, pagamenti di prestazioni, il ritiro di documentazione clinica e la registrazione delle vaccinazioni. L’interruzione ha variato da un minimo di 48 ore a diversi mesi, con un impatto significativo sul trattamento dei dati di milioni di cittadini, dimostrando la sostanziale vulnerabilità dei sistemi informatici coinvolti.

Violazioni alla normativa privacy e conseguenze dell’attacco

Le indagini hanno rivelato che LAZIOcrea e la Regione Lazio, nonostante i differenti ruoli, hanno mostrato gravi carenze nella sicurezza dei dati, principalmente a causa di sistemi non aggiornati e dell'assenza di misure preventive contro violazioni simili. L'attacco ha causato l'inaccessibilità di circa 180 server virtuali, e la scelta di LAZIOcrea di disattivare tutti i sistemi per prevenire ulteriori danni ha ulteriormente aggravato la situazione, evidenziando la mancanza di protocolli efficaci per l'identificazione e il contenimento del malware.

La responsabilità nella gestione del data breach

Secondo l'Autorità, LAZIOcrea non ha gestito adeguatamente le conseguenze del data breach, specialmente per quanto riguarda la comunicazione e la protezione delle informazioni sanitarie trattate per conto delle strutture regionali. D'altro canto, la Regione Lazio, in qualità di titolare del trattamento dei dati, avrebbe dovuto garantire una supervisione più accurata su LAZIOcrea, assicurando un livello di sicurezza adeguato. Per la Asl Roma 3, la sanzione di 10.000 euro è stata determinata dalla mancata notifica dell'incidente, a differenza di altre entità sanitarie che hanno tempestivamente informato l'autorità e i soggetti interessati.