ATTACCO HACKER AI SISTEMI INFORMATICI DELLA REGIONE LAZIO: ARRIVANO LE SANZIONI DEL GARANTE PRIVACY
Nella notte tra il 31 luglio e il 1° agosto 2021, un attacco hacker di tipo ransomware ha colpito il sistema informatico della Regione Lazio. In particolare, è stato messo fuori uso il CED (Centro Elaborazione Dati), la parte centrale di tutta la struttura. L’attacco in questione ha avuto conseguenze molto serie: ha bloccato l’accesso ai servizi sanitari cruciali come la gestione delle prenotazioni, i pagamenti, la registrazione delle vaccinazioni e il ritiro dei referti. La Regione Lazio, al tempo, aveva informato di essere riuscita a proteggere i dati sanitari e di bilancio (più di 5,8 milioni di persone).
Come già specificato, si è trattato di un attacco informatico di tipo ransomware. Con questo termine si fa riferimento ad una tecnica che cripta i dati di un sistema e impedisce a chiunque di accedervi se non con il pagamento di un riscatto. Nonostante le autorità abbiano cercato di ricostruire la dinamica dell’attacco, non è stato individuato l’hacker o il gruppo di hacker responsabile.
L’attacco alla Regione Lazio ha suscitato l’interesse e l’attenzione dell’opinione pubblica su un problema che da molti anni si cerca di denunciare: i reati informatici contro enti pubblici o privati sono in costante crescita.
Le indagini condotte dall’autorità Garante Privacy hanno rilevato una serie di violazioni da parte di LAZIOcrea, la società responsabile dei sistemi informatici regionali, nonché da parte della Regione Lazio stessa. Le violazioni in questione hanno riguardato la normativa della privacy, dovute all’adozione di sistemi di sicurezza non adeguati a rilevare in modo tempestivo le violazioni dei dati personali e a garantire la giusta sicurezza informatica.
In particolare, LAZIOcrea è stata accusata di non aver gestito l’attacco nel modo giusto, aggravando in questo molto l’impatto dell’attacco e causando disagi gravi per le strutture sanitarie. La Regione Lazio, invece, è stata ritenuta responsabile di non aver esercitato una corretta vigilanza al fine di proteggere i dati, come richiesto dalla normativa della privacy.
Di fronte a queste violazioni, sono state inflitte sanzioni molto significative: 271.000 euro a LAZIOcrea e 120.000 alla Regione Lazio. Nel definire l’ammontare delle sanzioni il Garante ha tenuto conto della natura e della gravità delle violazioni, nonché del grado di responsabilità.
Una situazione come questa di pone in forte contrasto con le esigenze attuali di maggiore sicurezza dei sistemi informatici. Si pensi alla Direttiva NIS2 (Direttiva 2022/2555), il cui obiettivo è la garanzia di un livello elevati di cybersicurezza nell’Unione europea. Quello che emerge da un quadro simile, è senza dubbio quello di una nazione che ancora non è in grado di gestire situazioni di emergenza e garantire gli standard richiesti dalle normative. È assolutamente necessario che efficaci misure di sicurezza siano implementate al fine di prevenire attacchi futuri e proteggere la privacy di tutti i cittadini.