Costerà alla Regione Lazio 400mila euro di sanzioni il “data breach” (perdita di dati) causato dall’attacco hacker che nell’estate di tre anni fa mise in ginocchio i sistemi informatici dei suoi servizi sanitari. È quanto deciso dall’Autorità garante per la privacy con la chiusura dei procedimenti aperti a carico di Regione, Laziocrea (la sua società informatica) e Asl Roma 3 dopo la violazione che tra il 31 luglio e il 1° agosto del 2021 paralizzò prenotazioni, pagamenti, ritiro dei referti e registrazione delle vaccinazioni (nel pieno della pandemia).
Il data breach, scrive l’Authority, derivò «da un ransomware (programma malevolo, ndr) introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione». In un arco temporale comreso tra le 48 ore e alcuni mesi, Asl, ospedali e case di cura non hanno potuto usare i sistemi informativi regionali che trattano i dati di salute di milioni di assistiti.
Dagli accertamenti e dalle ispezioni, «è emerso che Laziocrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa sulla privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche».
Nel corso dell’attacco informatico, così, l’inadeguata sicurezza dei sistemi ha causato «l’impossibilità, per le strutture sanitarie regionali, di accedere al sistema ed erogare alcuni servizi sanitari ai loro assistiti». In particolare, continua il Garante, l’attacco informatico «ha reso inaccessibili circa 180 server virtuali», anche per la scelta di Laziocrea di spegnere tutti i sistemi non potendo determinare quali fossero quelli compromessi né evitare un’ulteriore propagazione del malware. «Inoltre, Laziocrea non ha posto in essere le azioni necessarie a gestire correttamente il data breach e le sue conseguenze, in particolare nei confronti dei soggetti per i quali svolge compiti da responsabile del trattamento».
All’Asl Roma 3 il garante ha inflitto una sanzione di 10mila euro perché, al contrario di altre strutture sanitarie, non ha notificato il data breach.