Il Garante per la privacy ha sanzionato l’Azienda sanitaria Usl 6 Euganea di Padova con una multa di 22mila euro per non aver adeguatamente protetto il proprio sistema informatico, permettendo così a due gruppi di hacker di rubare circa 17 mila documenti contenenti dati personali tra la fine del 2021 e l’inizio del 2022. La sanzione sarà ridotta del 50% se pagata entro 30 giorni. L’azienda ha dichiarato che non presenterà ricorso, ma non ha rilasciato commenti ufficiali.

L’attacco ha compromesso una vasta gamma di informazioni sensibili, tra cui referti medici, esiti di tamponi Covid, turni di lavoro e buste paga del personale ospedaliero. Tuttavia, la quantità di dati rubati si è rivelata inferiore rispetto alle stime iniziali: invece dei 23.886 pazienti coinvolti, il numero reale è stato di 9.520, e i file compromessi sono stati 5.763, anziché 32.555.

L’attacco informatico è stato portato avanti da due diverse bande di cybercriminali, tra cui il gruppo noto come Lockbit 2.0, che ha chiesto un riscatto il 3 dicembre 2021. L’Usl non ha risposto alla richiesta e il 15 gennaio 2022 i documenti sono stati pubblicati nel dark web. Un’analisi successiva ha rivelato che l’attacco era stato condotto simultaneamente da due diversi gruppi di hacker, che hanno agito su parti separate del sistema e hanno avuto accesso da punti d’ingresso differenti.

Non è stato possibile ricostruire con precisione le modalità utilizzate dagli hacker a causa della cancellazione dei file di log, che contengono la cronologia delle operazioni sui sistemi informatici. Dopo l’attacco, l’Usl 6 Euganea ha introdotto nuove misure di sicurezza per limitare i danni subiti e prevenire futuri attacchi.

Inoltre, il Garante ha ricordato che l’azienda sanitaria era già stata multata con 10mila euro in precedenza, a causa di un errore nell’invio di certificati di esenzione dal ticket sanitario a destinatari sbagliati, un’altra conseguenza dell’attacco hacker.