'L’Azienda intende in primo luogo assicurare che fornirà idonea comunicazione agli interessati rispetto alla pubblicazione dei loro dati, secondo le modalità previste dalla normativa, per consentire loro di adottare le dovute precauzioni ed attenuare possibili effetti negativi derivanti dalla violazione dei dati. Allo stato attuale sono infatti in corso le analisi del contenuto dei file pubblicati. A tal fine, verranno fornite ulteriori informazioni nel prosieguo dell'istruttoria che l’Azienda, di concerto con le Autorità competenti, sta conducendo, e che richiede la massima attenzione a ogni elemento'. Così in una nota l'Asul di Modena in merito alla diffusione di dati sanitari sensibili dei modenesi a seguito dell'attacco hacker subito.
'L’Azienda invita contestualmente, a prestare attenzione ad eventuali richieste di contatto telefonico o e-mail/sms inconsueti o che destino sospetto e, in questo caso, a sporgere denuncia alle Autorità competenti. Rispetto a chi diffonde tramite i media informazioni, anche sommarie, sulla natura dei dati pubblicati, preme ricordare che chiunque visualizzi, entri in possesso, scarichi, acquisti, pubblichi tali dati - e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo - incorre in condotte illecite che possono costituire reato.
Come detto, ogni violazione dei dati viene notificata dall’Azienda all’Autorità Garante per la protezione dei dati personali e alla Polizia Postale. Si ricorda inoltre che la pubblicazione sul dark web non implica in maniera automatica la pubblicazione e diffusione degli stessi dati sul “clear web”, quella parte della rete internet accessibile a tutti e navigabile tramite motori di ricerca, ribadendo comunque che anche quest’ultimo caso si configura ovviamente come condotta illecita. Il dark web non è liberamente accessibile e richiede l’utilizzo di software appositi e specifiche competenze informatiche; le informazioni non sono indicizzate e dunque le ricerche sono limitate al solo nome del file, senza poter essere estese al contenuto'.
'In aggiunta, l’Azienda USL si è subito impegnata a costituire una rete con le altre Aziende sanitarie che, in tempi recenti, sono state vittime di analoghi attacchi - l’Asl1 Abruzzo, Ulss Euganea Padova, Azienda Ospedaliera Universitaria Integrata di Verona e altre - e sta coordinando azioni per portare il tema della sicurezza informatica a una maggiore attenzione a livello nazionale. Si tratta infatti di veri e propri attacchi al Sistema sanitario pubblico che vanno condannati dall’intera comunità civile e che richiedono l’interazione e l’interconnessione tra più soggetti'.
“Purtroppo, negli ultimi tempi, e in particolare dopo la guerra in Ucraina, si registra un aumento degli attacchi della criminalità informatica, sia nel pubblico che nel privato.
Nell’obiettivo sempre più spesso le strutture sanitarie, in tutto il mondo, recentemente soprattutto in UK e in USA, e anche in Italia. Questi attacchi, sempre più difficilmente prevedibili ed evitabili, sono ancor più spregevoli, perché mirati a colpire chi si trova in condizioni di fragilità. L’azienda si è attivata da subito con le autorità competenti e prosegue le indagini per approntare ogni misura necessaria a mitigare ulteriori impatti, concentrando tutti gli sforzi sulla riduzione dell’impatto dell’attacco sugli interessati. In ogni caso, occorre ricordare che ogni utilizzo non autorizzato dei dati trafugati può configurare un illecito e può avere rilevanza penale' - spiega l'avvocato Giusella Finocchiaro, professoressa Ordinaria di Diritto privato e Diritto di Internet presso l’Università di Bologna, integrata nel team di esperti Ausl, attivo sin dal primo giorno dell’attacco subito.
'La pronta reazione dei sistemi dell’Azienda, oltre a mitigare l’impatto dell’accaduto, ha messo in luce l’assoluta importanza delle misure di prevenzione organizzative, informatiche e giuridico-legali. Come ben noto, gli hacker dispongono di “mezzi” assai sofisticati e in incessante evoluzione; tuttavia, la predisposizione di adeguati strumenti di compliance e di idonee misure preventive, ivi compresa la formazione e la sensibilizzazione del personale, contribuisce – come avvenuto nel caso di specie – a contenere l’impatto negativo di questi episodi.
L’Azienda ha già peraltro avviato l’analisi tecnica dei file pubblicati da parte del gruppo di lavoro interno al fine precipuo di fornire agli interessati le comunicazioni previste dalla normativa vigente. Autorità Giudiziaria, Regione Emilia-Romagna e Azienda USL sono impegnate nelle indagini, per quanto di rispettiva competenza e in stretta sinergia' - aggiunge l'avvocato Riccardo Borsari, professore di diritto penale e di diritto penale, robotica e intelligenza artificiale presso l'Università degli Studi di Padova.
