Garante della privacy, multa a Usl di Padova per fuga di dati

L'Usl 6 di Padova è stata oggetto, tra la fine del 2021 e l’inizio del 2022, di un attacco hacker perpetrato da due bande di criminali, con un potenziale furto di circa 17 mila documenti che contenevano dati personali: referti di esami diagnostici, esiti dei tamponi Covid, turni di lavoro e buste paga dei dipendenti ospedalieri A tre anni dall'episodio, l’azienda sanitaria è stata sanzionata dal Garante privacy con una multa di 22 mila euro per non aver adeguatamente protetto il sistema (sanzione ridotta della metà se il pagamento avverrà entro 30 giorni). 

La vicenda ha avuto inizio il 3 dicembre 2021, quando il gruppo di criminali informatici noto come Lockbit 2.0 ha avanzato la rischiesta di un riscatto. L’Azienda non ha risposto, e il 15 gennaio 2022 tutti i documenti sono stati pubblicati nel dark web.

Lockbit 2.0 non era l’unica organizzazione criminale coinvolta. "L’analisi effettuata ha permesso di individuare nell’attacco subito l’operato, pressoché contemporaneo, di due differenti TA (Threat Actor): nei sistemi attaccati, infatti, sono state rinvenute tracce di due ransomware gang differenti – ha rilevato il Garante per la privacy – I due hanno operato in una timeline temporale quasi sovrapponibile, ma hanno avuto accesso ai sistemi da due punti d’ingresso differenti e hanno operato la cifratura su porzioni diverse d’infrastruttura".

A causa della cancellazione dei log, non è stato possibile risalire alle modalità esatte utilizzate dagli attaccanti. Successivamente l’Usl 6 Euganea "ha preso in carico la problematica introducendo una serie diversificata di misure, talune già pianificate, volte non solo ad attenuare il danno subito dagli interessati ma anche a ridurre la replicabilità dell’evento occorso".

In riferimento al provvedimento del 17 luglio 2023, va ricordato che l’Azienda era già stata sanzionata per violazioni pertinenti: aveva infatti ricevuto una multa di 10 mila euro, a causa dell’invio non corretto di certificati di esenzione dal ticket a destinatari sbagliati, conseguenza di un attacco hacker.