Attacco ransomware ASL 1 Abruzzo e violazione dati: analisi GDPR e gestione del rischio informatico
Questo contributo rappresenta l’ultimo approfondimento della serie dedicata alla “La gestione del rischio informatico in ambito sanitario come misura tecnico-organizzativa di conformità normativa”, con un focus specifico sul caso ASL 1 Abruzzo, uno degli episodi più rilevanti di ransomware e data breach nel settore sanitario italiano.
L’analisi si inserisce nel più ampio contesto della sicurezza informatica e della protezione dei dati personali, alla luce del GDPR (Regolamento UE 2016/679), evidenziando le implicazioni legate alla gestione dei dati sanitari, alle vulnerabilità dei sistemi informativi e alle conseguenze operative e organizzative di un attacco informatico. L’approfondimento offre una lettura integrata tra normativa europea, misure tecniche e organizzative e gestione del rischio nelle aziende sanitarie, con particolare riferimento alla resilienza dei sistemi e alla tutela delle informazioni sensibili.
Attacco ransomware ASL 1 Abruzzo e GDPR: sicurezza informatica e rischi nel settore sanitario
Negli ultimi anni, l’attenzione della comunità scientifica e degli operatori della sicurezza informatica si è concentrata con crescente intensità sul comparto sanitario, divenuto uno degli obiettivi privilegiati della criminalità informatica.
In tale scenario emerge con sempre maggiore evidenza la preoccupazione legata ai cosiddetti data breach, vale a dire alle violazioni di dati personali. Il Regolamento (UE) 2016/679 (GDPR), all’articolo 4, punto 12, qualifica la violazione dei dati personali come qualsiasi evento che comporti una compromissione della sicurezza, determinando — in modo accidentale o illecito — la distruzione, la perdita, la modifica, la diffusione non autorizzata oppure l’accesso indebito ai dati oggetto di trattamento. In ognuna di queste circostanze si produce un’alterazione dell’integrità del sistema di tutela delle informazioni: una vera e propria falla nel meccanismo di protezione che, quando riguarda dati sanitari, assume un rilievo particolarmente critico, poiché incide profondamente sulla sfera privata e sulla dignità dell’individuo.
Dal 2022 l’Italia ha registrato 188 attacchi di rilievo, equivalenti al 7,6% del totale globale, evidenziando un marcato incremento rispetto all’anno precedente. Nell’83% dei casi (nel contesto italiano) le conseguenze sono state valutate come gravi o addirittura critiche; mentre, a livello globale, il comparto sanitario ha costituito il 12% degli obiettivi complessivamente colpiti [1].
Il recente attacco ransomware[2] ai danni dell’ASL1 della Regione Abruzzo si inserisce in una sequenza ormai consolidata di episodi analoghi, che confermano la vulnerabilità strutturale del sistema salute. Nello specifico, in data 3 maggio 2023, il gruppo criminale specializzato in ransomware denominato “Monti”[3] ha portato a termine un attacco di rilevante gravità ai danni dell’Azienda Sanitaria Locale 1 di Avezzano, Sulmona e L’Aquila, determinando la compromissione dei database aziendali e la successiva diffusione illecita di una mole ingente di dati personali e particolari.
L’evento ha esposto milioni di interessati a potenziali pregiudizi, incidendo altresì sulla regolare erogazione delle prestazioni sanitarie e mettendo in pericolo la continuità terapeutica. L’attacco, inoltre, ha consentito ai cybercriminali di appropriarsi di cartelle cliniche, referti di analisi genetiche, valutazioni psicologiche riguardanti minori, documentazione amministrativa e inventariale, nonché dati personali relativi al personale dipendente.
Secondo quanto reso noto dall’Agenzia per la Cybersicurezza Nazionale, si tratterebbe di uno degli episodi più gravi registrati degli ultimi tempi, anche in ragione delle dimensioni dell’esfiltrazione, stimate in circa 500 gigabyte di dati (un volume estremamente significativo, se si considera che ciascun referto sanitario occupa generalmente pochi kilobyte)[4].
A partire dal momento della rivendicazione dell’attacco informatico, i responsabili hanno diffuso comunicati accompagnati dalla pubblicazione progressiva di porzioni dell’archivio sottratto, al fine di dimostrare la veridicità delle proprie dichiarazioni e la concreta disponibilità dei dati trafugati. L’8 maggio ci fu la richiesta di riscatto, ma non vi fu alcuna pubblicazione di dati.
Il 9 e il 10 maggio, invece, sono stati resi pubblici per la prima volta archivi di informazioni per un totale di circa 8,3 gigabyte[5]; il 15 maggio, verosimilmente a seguito del fallimento delle trattative per il pagamento del riscatto o quale atto dimostrativo di forza, è stato divulgato l’intero archivio esfiltrato, con l’ASL 1 che ha confermato di aver subito un attacco ransomware che ha comportato la disattivazione dei sistemi informatici aziendali. Successivamente, in assenza del pagamento della somma richiesta, gli attaccanti hanno proceduto alla diffusione dei dati nel dark web[6].
Protezione dei dati sanitari e obblighi del GDPR nelle aziende sanitarie
Tale condotta è stata aggravata da un ulteriore elemento di particolare allarme: i criminali hanno indirizzato richieste di riscatto direttamente agli interessati i cui dati erano stati sottratti, configurando una forma di pressione estorsiva individuale che rappresenta un’evoluzione significativa nelle modalità operative di tali gruppi. A fronte di tale scenario, sia le Autorità competenti sia il Garante per la protezione dei dati personali hanno espressamente invitato la cittadinanza a non scaricare né diffondere ulteriormente i dati sottratti illecitamente.
Parallelamente, sui social media e sulle piattaforme online è stata registrata una crescente attenzione da parte degli utenti coinvolti, molti dei quali valutarono iniziative a tutela dei propri diritti, avvalendosi dell’assistenza di professionisti legali specializzati in materia di protezione dei dati personali e responsabilità da trattamento illecito.
Nel dicembre 2025 è emersa una vicenda che evidenzia in modo significativo la gravità e la persistenza degli effetti che un attacco informatico può generare quando colpisce infrastrutture pubbliche particolarmente sensibili, come quelle appartenenti al settore sanitario. In tale contesto, visto che l’attacco hacker che ha determinato la diffusione non autorizzata di dati personali e di cartelle cliniche appartenenti a migliaia di cittadini, alcune delle persone coinvolte hanno avviato iniziative legali richiedendo un risarcimento complessivo pari a circa 2,5 milioni di euro, sostenendo di aver subito gravi violazioni della propria riservatezza e danni derivanti dalla divulgazione di informazioni particolarmente sensibili.
Una questione che evidenzia come gli incidenti di sicurezza informatica non possano più essere considerati eventi occasionali o meri fatti di cronaca, ma rappresentino un rischio concreto e strutturale, poiché tali eventi incidono direttamente sulla protezione dei dati personali, sull’affidabilità e sulla reputazione delle istituzioni coinvolte, nonché sul rapporto di fiducia tra cittadini e pubblica amministrazione, specialmente quando vengono compromesse informazioni delicate.[7]
Un episodio di questo tipo assume una portata estremamente rilevante, sia per l’enorme mole di informazioni coinvolte sia per la loro natura particolarmente delicata. Non sorprende, quindi, che le strutture sanitarie pubbliche siano frequentemente nel mirino dei gruppi criminali informatici, poiché le ragioni appaiono evidenti e molteplici. In primo luogo, tali enti gestiscono categorie di dati altamente sensibili[8], come quelli idonei a rivelare origine etnica o razziale, convinzioni religiose, condizioni di salute, vita sessuale, informazioni genetiche e biometriche, nonché dati sull’orientamento sessuale, così come definiti dall’art. 9[9] del Regolamento (UE) 2016/679 (GDPR).
Si tratta di informazioni che, nel mercato illecito, possono raggiungere un valore economico particolarmente elevato. In secondo luogo, le Aziende Sanitarie Locali operano su bacini di utenza molto estesi e custodiscono archivi che raccolgono anni di referti, analisi cliniche e documentazione medica; questa concentrazione di dati storici e dettagliati accresce ulteriormente l’attrattività di tali organizzazioni per gli attaccanti. A tutto ciò si aggiunge un ulteriore elemento critico: non sempre sistemi informativi così vasti risultano adeguatamente tutelati da misure tecniche e organizzative conformi a quanto previsto dall’art. 32[10] del GDPR.
La normativa richiede infatti l’adozione di strumenti e procedure idonei a garantire la sicurezza e il controllo dei dati personali, tenendo conto dello stato dell’arte tecnologico, della tipologia di informazioni trattate e delle caratteristiche specifiche dei trattamenti effettuati, al fine di ridurre al minimo i rischi di perdita, distruzione degli accessi abusivi o utilizzi non autorizzati e non coerenti con le finalità originarie della raccolta. L’insieme di questi fattori rende il settore sanitario pubblico un obiettivo, come detto, particolarmente appetibile per la criminalità informatica.
È evidente, dunque che un evento di tale gravità è destinato a produrre effetti che andranno ben oltre la mera diffusione illecita di dati sensibili, esponendo le vittime a possibili conseguenze che potrebbero protrarsi nel tempo. Oltre ai danni immediati, infatti, i pazienti della ASL abruzzese si trovano loro malgrado esposti al rischio di ulteriori forme di ricatto o utilizzo improprio delle informazioni personali da parte di soggetti che, anche con competenze informatiche di base, potrebbero entrare in possesso di tali dati[11].
L’auspicio è che episodi di questa natura contribuiscano ad accrescere il livello di attenzione sul tema della sicurezza informatica[12], soprattutto alla luce della crescente digitalizzazione del settore sanitario[13]. A tale processo deve necessariamente accompagnarsi, infatti, un rafforzamento degli investimenti nelle infrastrutture tecnologiche, affinché possano garantire standard di sicurezza adeguati rispetto ai rischi emergenti. Per prevenire futuri attacchi informatici, è fondamentale che le strutture sanitarie adottino misure di sicurezza più rigorose e incrementino gli investimenti nella protezione dei sistemi informativi.
Parallelamente, risulta essenziale promuovere una maggiore formazione del personale, sia sanitario sia amministrativo, sui temi della sicurezza informatica e della prevenzione degli attacchi cibernetici. Tale formazione dovrebbe prevedere, accanto allo studio dei principi della normativa europea e nazionale in materia di protezione dei dati personali, anche attività di carattere pratico finalizzate a riconoscere i metodi più comuni utilizzati dai criminali informatici per accedere abusivamente ai sistemi.
Criticità emerse e misure correttive
Un attacco informatico come quello appena descritto mette in luce gravi criticità nella tutela dei dati personali. La sottrazione di un ampio archivio appartenente a un’azienda sanitaria non incide soltanto sulla riservatezza degli interessati, ma comporta anche potenziali conseguenze personali e sociali, oltre ad aver causato rilevanti disservizi nell’erogazione delle prestazioni sanitarie, determinando ritardi o sospensioni di alcune attività programmate, tra cui terapie e trattamenti medici.
La decisione della Regione Abruzzo e della ASL è stata quella di non cedere alle richieste di riscatto, pur rappresentando una scelta istituzionalmente condivisibile, non è stata impedita la diffusione online di parte dei dati sottratti, considerando che un archivio sanitario di tali dimensioni possiede un valore significativo nei circuiti illegali, sia per la quantità sia per la particolare sensibilità delle informazioni contenute.
Il fattore da non trascurare è che l’attacco informatico ha evidenziato carenze nelle misure di sicurezza adottate dall’ente sanitario, facendo emerge la necessità di rafforzarle, investendo maggiormente nelle infrastrutture digitali e nella formazione del personale, al fine di prevenire episodi analoghi in futuro.
Quanto accaduto, ha comportato l’accesso abusivo ai sistemi informativi sanitari e la sottrazione di dati appartenenti a categorie particolari ai sensi dell’articolo 9 del Regolamento (UE) 2016/679, e dunque sotto il profilo della protezione dei dati personali, era necessario lo svolgimento o quantomeno l’aggiornamento immediato di una Data Protection Impact Assessment (DPIA) ai sensi dell’articolo 35 del GDPR[14], poiché la DPIA rappresenta uno strumento preventivo di gestione del rischio volto a garantire un elevato livello di tutela dei diritti e delle libertà fondamentali degli interessati.
Nel contesto di un’azienda sanitaria, il trattamento sistematico di dati sanitari, referti, cartelle cliniche e informazioni identificative dei pazienti rientra chiaramente tra le situazioni che rendono necessaria quest’azione in ragione della natura estremamente delicata delle informazioni trattate e delle possibili conseguenze negative derivanti da una loro diffusione non autorizzata. Dal punto di vista metodologico, la DPIA dovrebbe innanzitutto includere una descrizione dettagliata dei trattamenti effettuati, indicando finalità, tipologie di dati trattati, flussi informativi, modalità di conservazione e rapporti con eventuali fornitori o responsabili del trattamento.
Questa fase preliminare consente di delimitare il perimetro del trattamento e di verificare la proporzionalità delle operazioni rispetto alle finalità istituzionali dell’ente sanitario. Successivamente, la valutazione avrebbe dovuto concentrarsi sull’analisi dei rischi per i diritti e le libertà degli interessati, considerando scenari concreti come accessi abusivi ai sistemi, attacchi ransomware, sottrazione massiva di cartelle cliniche o diffusione dei dati nel dark web.
In ambito sanitario, gli effetti di tali eventi possono essere particolarmente gravi, includendo non solo la perdita di riservatezza ma anche possibili fenomeni di discriminazione, danni reputazionali, ricatti o compromissione della dignità personale. La DPIA avrebbe dovuto stimare sia la probabilità che tali eventi si verifichino sia la gravità del loro impatto, in linea con il principio di accountability previsto dall’articolo 5 del GDPR.
Una fase fondamentale riguarda inoltre la valutazione delle misure tecniche e organizzative adottate per ridurre i rischi individuati. In questo ambito la DPIA dovrebbe coordinarsi con il sistema di gestione della sicurezza delle informazioni previsto dallo standard internazionale ISO/IEC 27001:2022, che richiede alle organizzazioni di adottare processi strutturati di valutazione e trattamento del rischio. L’integrazione tra DPIA e sistema di gestione della sicurezza consente di mantenere coerenza tra la gestione del rischio informatico e quella relativa alla protezione dei dati personali.
La norma, infatti, impone all’organizzazione di definire e applicare un processo strutturato di valutazione del rischio[15] e di trattamento del rischio[16], integrando tali attività nei processi organizzativi. Una DPIA adeguatamente condotta avrebbe dovuto coordinarsi con tale framework, evitando duplicazioni e assicurando coerenza tra rischio privacy e rischio informatico. L’attacco ransomware, infatti, in questo campo mostra come un’analisi preventiva delle vulnerabilità e delle minacce non sia stata adeguatamente implementata o aggiornata. L’analisi delle criticità emerse, quindi, impone, una riflessione sistematica alla luce dei requisiti previsti dallo standard internazionale ISO/IEC 27001:2022, con un necessario riferimento ai controlli di vario genere contenuti nell’allegato A[17] dello standard stesso.
Il fatto dimostra come l’assenza di una piena implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS[18]) strutturato, integrato e costantemente aggiornato abbia contribuito ad amplificare l’impatto operativo e reputazionale dell’incidente. Perciò, bisogna fare una riflessione, come detto, alla luce dei requisiti previsti dalla ISO/IEC 27001:2022. In primo luogo, sotto il profilo della governance, la norma prevede che l’organizzazione stabilisca, implementi, mantenga e migliori continuamente un sistema di gestione della sicurezza delle informazioni[19] .
Ciò implica non solo l’adozione formale di politiche, ma la loro effettiva integrazione nei processi organizzativi e decisionali. In tal senso, il controllo 5.1, dell’Annex A stabilisce che ‹‹Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur››[20]. L’adozione di una politica di sicurezza effettivamente approvata dal vertice aziendale e sottoposta a riesame periodico avrebbe rappresentato il primo presidio strutturale di prevenzione.
Dunque, le politiche relative alla sicurezza delle informazioni, comprese quelle dedicate a specifici ambiti, devono essere predisposte e approvate dalla direzione.
Successivamente devono essere rese disponibili, diffuse e comunicate al personale coinvolto e alle parti interessate. Tali politiche devono inoltre essere periodicamente riesaminate e aggiornate, soprattutto nel caso in cui intervengano cambiamenti rilevanti. Parallelamente, la definizione chiara dei ruoli e delle responsabilità costituisce un elemento imprescindibile. Il controllo al punto 5.2[21] dispone che, se consideriamo soprattutto un contesto sanitario complesso quale quello di una ASL, probabilmente la mancata attribuzione formale di responsabilità in materia di sicurezza – ad esempio mediante la nomina di un responsabile della sicurezza delle informazioni – determina inevitabili lacune decisionali e operative.
Dopodiché, con specifico riferimento ai controlli di accesso, l’Annex A prescrive: ‹‹Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements”[22], “The full life cycle of identities shall be managed››[23] e ‹‹Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control››[24]. L’applicazione effettiva di tali controlli 5.15[25], 5.16[26] e 5.18[27] avrebbe richiesto l’introduzione di meccanismi di autenticazione forte, revisione periodica e gestione strutturata delle identità digitali.
Per quanto concerne la prevenzione tecnica, la norma nella parte sempre dell’allegato A stabilisce che ‹‹Protection against malware shall be implemented and supported by appropriate user awareness››[28], dispone altresì ‹‹Information about technical vulnerabilities of information systems in use shall be obtained, the organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken››[29] e ‹‹Configurations, including security configurations, of hardware, software, services and networks shall be established, documented, implemented, monitored and reviewed››[30]. Tali disposizioni avrebbero imposto un programma strutturato di patch management, vulnerability assessment[31] periodici e monitoraggio continuo delle configurazioni di rete e dei sistemi critici.
Un ulteriore elemento riguarda la continuità operativa e la resilienza dei sistemi.
Il controllo 8.13[32] prevede che le copie di sicurezza relative alle informazioni, ai software e ai sistemi informativi devono essere conservate e gestite in modo adeguato e sottoposte a verifiche periodiche, in conformità con una specifica politica organizzativa in materia di backup. Tale politica stabilisce le modalità e la frequenza con cui i backup devono essere effettuati, conservati e testati, al fine di garantire l’integrità e la disponibilità dei dati in caso di incidenti o malfunzionamenti dei sistemi.
Due elementi si aggiungono a ciò: in primo luogo quanto disposto dal controllo 5.29[33], secondo cui l’ente (in questo caso l’ASL) deve definire e predisporre misure e procedure che consentano di garantire un livello adeguato di sicurezza delle informazioni anche in presenza di eventi di interruzione o situazioni di emergenza che possano compromettere il normale funzionamento dei sistemi e delle attività operative; in secondo luogo quanto previsto dal controllo 5.30[34], il quale richiede che la preparazione e la capacità di risposta delle tecnologie dell’informazione e della comunicazione devono essere adeguatamente pianificate, attuate, mantenute e verificate nel tempo, in modo da garantire il supporto agli obiettivi di continuità operativa dell’organizzazione e soddisfare i requisiti relativi alla continuità dei servizi ICT.
Possiamo dire, sintetizzando che nel nostro caso di specie l’adozione di backup offline e immutabili, unitamente a test periodici di ripristino, avrebbero significativamente ridotto l’impatto dell’attacco ransomware.
Proseguendo sul piano del monitoraggio e della rilevazione degli incidenti, lo standard internazionale nel controllo 8.15[35] e 8.16[36] dispone che l’implementazione di un sistema di logging centralizzato e di un piano formalizzato di incident response avrebbero rappresentato, un rimedio imprescindibile.
Infine, sotto il profilo umano e organizzativo, chiaramente fattori da non sottovalutare rispetto a quanto descritto finora, nel controllo 6.3 si stabilisce: ‹‹Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization’s information security policy, topic-specific policies and procedures, as relevant for their job function››[37]. La formazione continua del personale, soprattutto in ambito sanitario, assume un vero e proprio valore strategico, questo perché l’elemento umano rappresenta la principale criticità nella catena della sicurezza. Infatti, possiamo fare riferimento in questo senso al fenomeno dell’insider threat[38], cioè minaccia interna, che riguarda errori, negligenze o comportamenti imprudenti dei dipendenti.
Se volessimo, dunque, concludere il discorso appena esaminato, potremmo serenamente affermare che seguito dell’attacco informatico, la DPIA non avrebbe potuto essere considerata un documento definitivo o statico, ma avrebbe dovuto essere oggetto di revisione e aggiornamento, come previsto dall’articolo 35, paragrafo 11, del GDPR, il quale impone di riesaminare la valutazione qualora intervengano variazioni significative del livello di rischio. L’incidente informatico avrebbe dovuto essere analizzato come un nuovo scenario di rischio effettivamente verificatosi, richiedendo una rivalutazione del rischio residuo e, qualora questo fosse rimasto elevato, la possibile attivazione della procedura di consultazione preventiva dell’Autorità Garante, ai sensi dell’articolo 36 del GDPR[39].
In tale contesto, l’aggiornamento della DPIA avrebbe dovuto includere una descrizione dettagliata della violazione, indicando la natura dell’incidente, le categorie di dati coinvolte, il numero approssimativo di interessati potenzialmente impattati, nonché le misure correttive adottate e gli interventi di miglioramento pianificati per rafforzare la sicurezza dei sistemi.
Una documentazione strutturata di questo tipo avrebbe costituito una prova concreta del rispetto del principio di accountability, oltre a essere coerente con gli obblighi di gestione e conservazione delle informazioni documentate previsti dalla clausola 7.5 della ISO/IEC 27001:2022, nonché con il principio di miglioramento continuo sancito dalla clausola 10.1 del medesimo standard. Proprio in questa prospettiva, l’integrazione tra gli strumenti previsti dal GDPR e il sistema di gestione della sicurezza delle informazioni delineato dalla ISO/IEC 27001:2022 assume un ruolo centrale.
L’applicazione sistematica dei controlli previsti dall’allegato A, unita a un processo strutturato di gestione e revisione del rischio, avrebbe potuto rafforzare la capacità dell’organizzazione di prevenire e gestire incidenti di sicurezza. In particolare, tale approccio avrebbe contribuito non solo a ridurre la probabilità di compromissione dei sistemi informativi, ma anche a limitare la propagazione dell’attacco e a contenere l’impatto sui servizi sanitari essenziali, garantendo al contempo una più efficace tutela dei dati personali trattati dall’azienda sanitaria
L’attacco alla ASL 1 Abruzzo evidenzia pertanto l’urgenza di un approccio sistemico alla sicurezza delle informazioni, fondato su governance, precauzione tecnica, monitoraggio continuo e cultura organizzativa della sicurezza.
Conclusioni: impatti, criticità e lezioni apprese dal caso ASL 1 Abruzzo
L’analisi sviluppata nel presente elaborato ha consentito di mettere in evidenza come la gestione del rischio informatico rappresenti oggi un elemento essenziale per garantire la sicurezza delle informazioni e la conformità normativa nel settore sanitario. Il progressivo processo di digitalizzazione che ha interessato negli ultimi anni il sistema sanitario, attraverso l’introduzione di sistemi informativi avanzati e la crescente dematerializzazione dei processi amministrativi e clinici, ha indubbiamente determinato significativi benefici in termini di efficienza organizzativa, integrazione dei servizi e qualità delle prestazioni erogate.
Parallelamente, tuttavia, tale evoluzione tecnologica ha comportato l’emersione di nuove e complesse criticità connesse alla protezione dei dati personali e alla sicurezza delle infrastrutture informatiche. In particolare, le organizzazioni sanitarie si trovano quotidianamente a trattare un’ingente quantità di dati appartenenti alle categorie particolari di dati personali, tra cui quelli relativi alla salute, la cui natura estremamente sensibile richiede l’adozione di livelli di protezione particolarmente elevati. In tale contesto, l’incremento della superficie di esposizione ai rischi informatici, determinato dall’interconnessione delle infrastrutture digitali e dalla crescente complessità dei sistemi informativi, rende sempre più necessario l’adozione di modelli organizzativi strutturati e di strumenti di gestione del rischio capaci di prevenire, individuare e mitigare gli effetti di possibili incidenti di sicurezza.
Il quadro normativo europeo, e in particolare il Regolamento (UE) 2016/679 (GDPR), ha progressivamente rafforzato l’attenzione verso tali problematiche, introducendo un modello di protezione dei dati personali fondato sul principio di responsabilizzazione (accountability) del titolare del trattamento. Tale principio impone alle organizzazioni non soltanto il rispetto formale delle disposizioni normative, ma anche l’adozione di un approccio proattivo e sistematico alla gestione dei rischi connessi al trattamento dei dati personali, attraverso l’implementazione di misure tecniche e organizzative adeguate alla natura, al contesto e alle finalità delle attività di trattamento.
In questo scenario, assumono un ruolo di particolare rilievo gli standard internazionali in materia di sicurezza delle informazioni, quali la ISO/IEC 27001:2022 e la ISO/IEC 27005:2022, che forniscono agli enti un quadro metodologico strutturato per l’implementazione di sistemi di gestione della sicurezza delle informazioni fondati sull’analisi e sul trattamento del rischio. L’integrazione tra le prescrizioni normative europee e i modelli organizzativi previsti da tali standard consente di sviluppare un sistema di governance della sicurezza delle informazioni orientato al miglioramento continuo e capace di coniugare esigenze di conformità giuridica, efficienza organizzativa e tutela dei diritti fondamentali degli interessati.
In tale prospettiva, strumenti quali la valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) assumono una funzione strategica, poiché permettono di individuare preventivamente i rischi derivanti dai trattamenti di dati personali e di adottare misure idonee a ridurne la probabilità di verificazione e l’impatto potenziale sui diritti e sulle libertà delle persone fisiche. In ambito sanitario, dove i trattamenti di dati personali avvengono spesso su larga scala e riguardano informazioni particolarmente sensibili, la DPIA si configura pertanto come uno strumento essenziale di prevenzione e gestione del rischio.
L’analisi del caso relativo all’incidente informatico che ha coinvolto la ASL 1 Abruzzo ha consentito, inoltre, di evidenziare come gli eventi di sicurezza informatica non possano essere interpretati esclusivamente come fenomeni di natura tecnologica, ma debbano essere letti all’interno di una più ampia dimensione organizzativa e gestionale. Gli incidenti informatici, infatti, sono frequentemente il risultato di una combinazione di fattori che comprendono vulnerabilità tecniche, carenze nei processi organizzativi e un livello insufficiente di consapevolezza e formazione del personale coinvolto nel trattamento delle informazioni.
Alla luce delle considerazioni emerse dall’elaborato, emerge con chiarezza come la sicurezza delle informazioni debba essere concepita non come un obiettivo statico, ma come un processo dinamico e continuo, strettamente integrato nei sistemi di governance delle organizzazioni sanitarie. La gestione del rischio informatico richiede infatti un approccio multidisciplinare che coinvolga aspetti giuridici, tecnologici e organizzativi, nonché un impegno costante da parte della direzione strategica nell’implementazione e nel monitoraggio delle politiche di sicurezza.
Personalmente, ritengo che l’analisi condotta nell’elaborato ha evidenziato come la sicurezza informatica in ambito sanitario non possa essere considerata esclusivamente una questione di natura tecnica o tecnologica, ma debba essere interpretata come una vera e propria responsabilità organizzativa e culturale.
La tutela dei dati relativi alla salute, infatti, non riguarda soltanto la protezione di informazioni digitali, ma incide direttamente sulla sfera più intima e personale degli individui, coinvolgendo valori fondamentali quali la dignità, la riservatezza e l’autodeterminazione informativa. In questo senso, la gestione del rischio informatico assume una dimensione che va oltre il semplice adempimento normativo, configurandosi come uno strumento essenziale per garantire la fiducia dei cittadini nei confronti delle istituzioni sanitarie e dei sistemi digitali su cui esse sempre più si fondano.
Ritengo pertanto che il rafforzamento della sicurezza delle informazioni debba necessariamente passare non solo attraverso l’adozione di tecnologie e standard organizzativi sempre più avanzati, ma anche mediante lo sviluppo di una maggiore consapevolezza e responsabilità all’interno delle organizzazioni, affinché la protezione dei dati diventi parte integrante della cultura istituzionale e dei processi decisionali.
In conclusione, la protezione dei dati sanitari rappresenta, oggi, una delle sfide più rilevanti per le organizzazioni operanti nel contesto della sanità digitale. La capacità di gestire in modo efficace i rischi informatici non costituisce soltanto un obbligo derivante dalla normativa europea, ma rappresenta anche un elemento fondamentale per garantire la fiducia dei cittadini nei confronti delle istituzioni sanitarie e per assicurare una tutela effettiva dei diritti fondamentali della persona nel mondo digitale.
L’analisi del caso ASL 1 Abruzzo ha permesso di evidenziare come un attacco ransomware possa generare impatti significativi non solo sul piano tecnologico, ma anche su quello giuridico, organizzativo e sociale, con particolare riferimento alla violazione dei dati personali e dati sanitari ai sensi del GDPR. Il caso conferma la centralità della sicurezza informatica e della gestione del rischio informatico come elementi essenziali per garantire la continuità operativa e la protezione delle informazioni nelle strutture sanitarie. Le criticità emerse dimostrano la necessità di un approccio strutturato basato su misure tecniche e organizzative, governance del rischio e consapevolezza del personale.
Per ulteriori approfondimenti sul tema e sulle best practice applicabili al settore sanitario, si invita a scaricare il white paper gratuito di Piergiorgio Verrecchia, “La gestione del rischio informatico in ambito sanitario come misura tecnico-organizzativa di conformità normativa”.
Note
[1] Si veda Rapporto Clusit 2023 in www.clusit.it.
[2] Cosa significa ransomware: “Il ransomware è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”. La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene minacciosamente comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo. Ci sono due tipi principali di ransomware: i cryptor (che criptano i file contenuti nel dispositivo rendendoli inaccessibili); i blocker (che bloccano l’accesso al dispositivo infettato).” In questi termini si veda www.garanteprivacy.it.
[3] Nel giugno 2022, a breve distanza dalla dissoluzione del gruppo Conti, è emerso sulla scena cybercriminale un nuovo attore: il gruppo Monti. Sin dall’inizio ha fatto parlare di sé per le marcate analogie con il gruppo ormai dismesso, riprendendone schemi operativi, impostazione del portale online e persino frammenti del codice sorgente precedentemente divulgato. Tuttavia, le analisi lo identificano come un’organizzazione autonoma, che ha saputo sfruttare l’uscita di scena di Conti per ritagliarsi rapidamente uno spazio nel mercato del ransomware-as-a-service. Le campagne del gruppo hanno colpito molteplici ambiti, ma con una predilezione evidente per strutture sanitarie, istituti scolastici e realtà del settore legale. Questi contesti, spesso penalizzati da risorse limitate destinate alla cybersecurity, risultano particolarmente esposti a compromissioni. Dopo una fase di apparente inattività nel 2023, Monti ha riavviato le proprie operazioni introducendo una nuova declinazione del malware progettata per ambienti Linux. Tale versione si distingue in modo significativo dalle precedenti, evidenziando un percorso di evoluzione tecnica e di costante affinamento delle proprie strategie offensive.
[4] Nello specifico la quantità complessiva di dati pubblicati, stimata in circa 500 gigabyte, comprende informazioni di natura altamente sensibile, quali cartelle cliniche, referti genetici, valutazioni psicologiche di minori, modelli documentali utilizzati dagli ambulatori e dagli uffici amministrativi, oltre a documentazione relativa alle certificazioni e alle prestazioni mediche erogate.
[5] Si veda per completezza: www.ansa.it.
[6] Significato di dark web: si tratta di una porzione della rete non indicizzata dai comuni motori di ricerca e non raggiungibile tramite i tradizionali browser. L’accesso a questo spazio digitale richiede strumenti specifici, un software sviluppato per garantire un elevato livello di riservatezza durante la navigazione, instradando il traffico attraverso molteplici nodi distribuiti a livello globale. In questo ambiente vengono impiegati sistemi di cifratura particolarmente sofisticati, che consentono di proteggere l’identità sia degli utenti che consultano i contenuti, sia dei soggetti che li pubblicano, assicurando l’anonimato. Per un approfondimento sul tema si veda www.malwarebytes.com.
[7] Per notizie ulteriori riguardanti questi aspetti visionare: www.iddfend.it.
[8] Negli ultimi anni, la progressiva digitalizzazione del sistema sanitario, attraverso l’adozione di piattaforme informatiche per la raccolta, l’archiviazione e la condivisione delle informazioni cliniche, ha favorito l’elaborazione di modelli organizzativi innovativi e di politiche sanitarie integrate, con l’obiettivo di ottimizzare l’efficienza e la qualità dei processi diagnostici e terapeutici. Bisogna, però, approfondire il tema della sicurezza cibernetica nel contesto sanitario, alla luce del costante aumento degli attacchi informatici che colpiscono ospedali e infrastrutture sanitarie. Tali aggressioni determinano la violazione e la sottrazione di dati altamente sensibili, compromettendo in modo significativo la protezione delle informazioni personali e il diritto alla riservatezza dei pazienti. Ciò si evince da A. ANTONILLI, Sicurezza informatica e trattamento dei dati in ambito sanitario, 2017, Franco Angeli, pp. 84-100.
[9] Art. 9 GDPR: ‹‹È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona››.
[10] Art. 32 GDPR: ‹‹1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri››.
[11] La natura stessa della diffusione dei dati rende, infatti, impossibile controllarne la circolazione o raggiungere tutti i potenziali destinatari. Il semplice fatto che il download o l’utilizzo di tali informazioni costituisca un reato difficilmente sarà sufficiente a scoraggiare la curiosità o l’interesse di molti utenti.
[12] Il caso evidenzia con chiarezza come la sicurezza informatica non possa essere considerata un aspetto marginale all’interno dell’attuale contesto digitale. In un ambiente caratterizzato da una crescente digitalizzazione dei servizi e da un utilizzo sempre più esteso dei dati personali, è indispensabile che sia le organizzazioni pubbliche sia quelle private adottino un approccio preventivo e strutturato alla protezione dei sistemi informativi. Ciò implica l’adozione di una serie di misure organizzative e tecnologiche volte a rafforzare la resilienza delle infrastrutture digitali. In particolare, risulta necessario: impiegare strumenti e soluzioni di sicurezza costantemente aggiornati, in grado di proteggere sistemi e dati da minacce informatiche sempre più sofisticate; predisporre procedure efficaci di gestione e risposta agli incidenti, così da intervenire tempestivamente in caso di attacchi o anomalie; promuovere attività di formazione e sensibilizzazione del personale, affinché gli utenti siano consapevoli dei rischi informatici e adottino comportamenti sicuri nell’utilizzo delle tecnologie; effettuare un monitoraggio continuo delle reti e delle basi di dati, con l’obiettivo di individuare tempestivamente eventuali attività sospette o comportamenti anomali. L’adozione di un simile approccio preventivo alla cybersecurity consente non solo di ridurre la probabilità di compromissione dei sistemi, ma anche di limitare gli effetti negativi che un incidente informatico può generare sul piano giuridico, economico e reputazionale per l’organizzazione coinvolta. per un approfondimento visionare: www.iddfend.it.
[13] Aspetto approfondito nel capitolo 1.
[14] L’articolo 35 del GDPR richiede infatti la realizzazione di una valutazione d’impatto quando un trattamento, soprattutto se effettuato su larga scala e riguardante dati particolarmente sensibili, può comportare un rischio elevato per le persone fisiche.
[15] ISO/IEC 27001:2022, 6.1.2, p. 4.
[16] ISO/IEC 27001:2022, 6.1.3, p. 4.
[17] ISO/IEC 27001:2022, Annex A, pp. 11-18.
[18] Information Security Management System è un sistema di gestione della sicurezza delle informazioni basato su standard internazionali e adottato su base volontaria dalle organizzazioni per proteggere dati e sistemi informatici. Può essere applicato a realtà di qualsiasi dimensione e settore e rappresenta uno strumento utile per strutturare una strategia aziendale efficace in materia di sicurezza informatica. Questo modello si fonda sulle principali best practice nel campo della sicurezza e consente di individuare e adottare le misure tecniche e organizzative più adeguate a proteggere le informazioni aziendali da rischi e minacce. In particolare, l’ISMS permette di analizzare e migliorare i processi interni, verificare che le procedure siano effettivamente applicate e individuare eventuali criticità o aspetti da aggiornare. Un ulteriore elemento distintivo di questo sistema è la sua natura dinamica, che consente all’organizzazione di adattare continuamente le proprie misure di sicurezza all’evoluzione delle minacce informatiche, definendo anche le priorità degli interventi necessari per la protezione degli asset informativi. Si veda www.it-impresa.it.
[19] Clausola 4.4 ISO/IEC 27001:2022.
[20] ISO/IEC 27001:2022, Annex A, “Policies for information security”, p. 11.
[21] ‹‹Information security roles and responsibilities shall be defined and allocated according to the organization needs››, ISO/IEC 27001:2022, Annex A, p.11.
[22] ISO/IEC 27001:2022, “Access control”, controllo 5.15, p. 12.
[23] ISO/IEC 27001:2022, “Identity managment”, controllo 5.16, p. 12.
[24] ISO/IEC 27001:2022, “Access rights”, controllo 5.18, p. 12.
[25] L’organizzazione deve predisporre e mettere in pratica criteri e procedure per gestire e limitare l’accesso, sia fisico sia digitale, alle informazioni e a tutte le risorse collegate, basandosi sulle necessità operative e sugli standard di sicurezza richiesti. In sostanza, è necessario stabilire in modo preciso chi è autorizzato ad accedere a determinati luoghi, sistemi o dati, considerando sia gli accessi materiali (come locali, strutture e dispositivi) sia quelli informatici (come software, reti e database). Tali regole devono essere progettate in funzione delle attività aziendali e del livello di protezione necessario, con l’obiettivo di salvaguardare le informazioni senza ostacolare il normale svolgimento del lavoro.
[26] Ogni identità digitale (utente, account, profilo) deve essere gestita durante tutto il suo ciclo di vita. Questo include: Creazione dell’identità (es. quando una persona entra in azienda); Gestione e aggiornamento durante il rapporto di lavoro (es. cambio ruolo, nuovi permessi); Disattivazione o eliminazione quando la persona lascia l’organizzazione.
[27] La gestione degli accessi stabilisce che i permessi relativi alle informazioni e a tutte le risorse collegate debbano essere amministrati in modo strutturato e controllato, nel rispetto delle politiche e delle norme specifiche adottate dall’organizzazione. In sostanza, a ciascun utente devono essere attribuite esclusivamente le autorizzazioni indispensabili per svolgere le proprie attività, evitando concessioni superflue che potrebbero mettere a rischio la sicurezza. Tali autorizzazioni non devono essere considerate definitive, ma devono essere sottoposte a verifiche periodiche per accertare che risultino ancora coerenti con il ruolo e le responsabilità assegnate. Qualora una persona cambi incarico, area di lavoro oppure cessi il proprio rapporto con l’organizzazione, i relativi permessi devono essere prontamente aggiornati o revocati, così da prevenire accessi indebiti. L’intero processo (dalla concessione iniziale, al controllo continuo, fino all’eventuale modifica o eliminazione degli accessi) deve essere disciplinato da procedure chiare e formalizzate. L’obiettivo è assicurare che soltanto i soggetti autorizzati possano accedere ai dati e agli asset aziendali, limitando i rischi legati a errori, utilizzi impropri o violazioni della sicurezza.
[28] ISO/IEC 27001:2022, “Protection against malware”, controllo 8.7, p. 16.
[29] ISO/IEC 27001:2022, “Management of technical vulnerabilities”, controllo 8.8, p. 16.
[30] ISO/IEC 27001:2022, “Configuration management”, controllo 8.9, p. 16.
[31] Sono processi fondamentali nell’ambito della gestione della sicurezza informatica, finalizzati all’identificazione e alla mitigazione delle vulnerabilità presenti nei sistemi informativi.
[32] ISO/IEC 27001:2022, “Information backup”, ‹‹Backup copies of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup››, p. 16.
[33] ISO/IEC 27001:2022, Information security during disruption, ‹‹The organization shall plan how to maintain information security at an appropriate level during disruption››, p. 13.
[34] ISO/IEC 27001:2022, “ICT readiness for business continuity”, ‹‹ICT readiness shall be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements›› p.13.
[35] “Logging”.
[36] “Monitoring activities”.
[37] ISO/IEC 27001:2022, “Information security awareness, education and training”, p. 14.
[38] Le minacce interne nel contesto della sicurezza informatica sono rappresentate da rischi che provengono dall’interno dell’organizzazione e che coinvolgono soggetti autorizzati ad accedere ai sistemi, come dipendenti, collaboratori, fornitori o partner commerciali. Tali minacce possono manifestarsi quando questi soggetti utilizzano in modo improprio i propri privilegi di accesso, sia deliberatamente sia in modo involontario. Inoltre, situazioni di rischio possono verificarsi anche quando gli account di utenti legittimi vengono compromessi o utilizzati da soggetti esterni, come criminali informatici, che sfruttano tali credenziali per accedere ai sistemi e alle informazioni aziendali. Per un approfondimento si veda www.ibm.com.
[39] Art. 36 GDPR: ‹‹1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 2. Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all’articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L’autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte dell’autorità di controllo delle informazioni richieste ai fini della consultazione. 3. Al momento di consultare l’autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica all’autorità di controllo: a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale; b) le finalità e i mezzi del trattamento previsto; c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento; d) ove applicabile, i dati di contatto del titolare della protezione dei dati; e) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 35; f) ogni altra informazione richiesta dall’autorità di controllo. 4.Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento. 5. Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica››.

Praticante avvocato con una formazione avanzata all'intersezione tra diritto e innovazione tecnologica. Laureato in Giurisprudenza presso l'Università degli Studi del Molise, ha successivamente conseguito un Master di II livello in Informatica Giuridica, Nuove Tecnologie e Diritto dell'Informatica presso l'Università La Sapienza di Roma, con una ricerca focalizzata sulla gestione del rischio informatico in ambito sanitario come misura tecnico-organizzativa di conformità normativa.
Il suo ambito di interesse e approfondimento comprende la cybersecurity compliance, la protezione dei dati personali, la responsabilità giuridica legata all'uso delle tecnologie digitali e le implicazioni normative dei sistemi informatici in settori ad alta criticità.

