Attacco informatico alla Regione Lazio, Garante Privacy decide multe per 400 mila euro (Foto di Gerd Altmann da Pixabay)
Attacco informatico alla Regione Lazio, dal Garante Privacy multe per 400 mila euro
Il Garante Privacy decide sanzioni per un totale di 400 mila euro per l’attacco informatico alla Regione Lazio che, nel 2021, ha messo in ginocchio la prenotazione e la gestione dei servizi sanitari. Multate LazioCrea per 271 mila euro e Regione per 120 mila euro, nonchè la Asl Roma 3 per 10 mila euro
Non c’erano adeguati sistemi di sicurezza. E il data breach ha potuto fare grandi danni, fra i quali il blocco dell’accesso a molti servizi sanitari, lo stop a prenotazioni, pagamenti, ritiro dei referti, il blocco delle registrazioni delle vaccinazioni in un periodo complicato quale era quello della pandemia. Il Garante Privacy ha deciso sanzioni per 400 mila euro in relazione all’attacco hacker ai sistemi informatici della Regione Lazio che si è verificato oltre due anni fa, nell’estate del 2021.
Nel dettaglio, il Garante ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021 con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3.
L’attacco informatico e il blocco dei servizi sanitari
Il data breach, “causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione”, spiega il Garante Privacy nell’odierna newsletter, “ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni”.
Asl, ospedali e case di cura non hanno potuto usare i sistemi informativi regionali che trattano i dati di salute di milioni di assistiti per un arco temporale che è andato da 48 ore ad alcuni mesi.
Il Garante solleva il tema delle misure di sicurezza inadeguate a fronteggiare l’attacco informatico e a gestirne le conseguenze.
L’Autorità spiega infatti che dagli accertamenti e dalle ispezioni fatte “è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche”.
Nel corso dell’attacco informatico l’inadeguata sicurezza dei sistemi ha causato “l’impossibilità per le strutture sanitarie regionali di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti”.
La gestione del data breach
“In particolare – spiega ancora il Garante Privacy – l’indisponibilità dei dati è stata determinata dall’attacco informatico, che ha reso inaccessibili circa 180 server virtuali, nonché dalla scelta di LAZIOcrea di spegnere tutti i sistemi, non essendo in grado di determinare quali fossero quelli compromessi, né di evitare un’ulteriore propagazione del malware. Inoltre, LAZIOcrea non ha posto in essere le azioni necessarie per una gestione corretta del data breach e delle sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento (a partire dalle numerose strutture sanitarie coinvolte)”.
Alla Regione Lazio il Garante Privacy contesta il fatto che, in qualità di titolare del trattamento, averebbe dovuto esercitare meglio la vigilianza su LAZIOCrea e assicurare sicurezza adeguata ai rischi e protezione dei dati sin dalla progettazione. Il Garante ha tenuto conto della gravità e del grado di responsabilità nell’irrogare le sanzioni.
Per quanto riguarda la Asl Roma 3, ha deciso una multa di 10 mila euro perché, diversamente da altre strutture sanitarie, non ha notificato il data breach.
