Attacco hacker all’Ausl . I pirati hanno agito dall’estero, inquirenti sulle tracce dei ladri

Hanno agito ovviamente dall’estero e ora le indagini sono in mano alla procura di Bologna: non sarà certo un lavoro facile per gli inquirenti. La nota positiva, però, è che i servizi sono stati praticamente tutti ripristinati. Parliamo ovviamente dell’attacco hacker ai sistemi dell’Ausl di Modena, avvenuto il 28 novembre 2023 e che ha portato alla pubblicazione di molti dati personali dei pazienti sul dark web: quasi un 1TB con oltre un milione di file copiati, tra cui generalità di pazienti in diagnosi e cura e cartelle cliniche. Nonostante l’Ausl infatti non abbia pagato alcun riscatto (i criminali informatici, cyber gang Hunters avevano fatto partire un vero e proprio count down), i pirati hanno diffuso parte dei dati il 13 dicembre scorso , che rappresenterebbero lo 0,5% di quelli archiviati nei sistemi aziendali.

I dati non sono andati persi: sono stati copiati ed ora le indagini da parte di magistratura, polizia postale, l’agenzia per la cybersicurezza nazionale e aziende sanitarie, ognuna per le proprie competenze continuano. Ma, nel frattempo, una sentenza storica riconosce il diritto al risarcimento anche per il timore di futuri abusi dei dati personali. La sentenza arriva dalla Corte europea che rivoluziona il risarcimento per gli attacchi hacker, aprendo le porte ai risarcimenti per danni morali. A spiegarlo è l’avvocato specializzato in diritto delle nuove tecnologie, Chiara Ciccia Romito: "In una sentenza rivoluzionaria emessa il 14 dicembre 2023, la Corte di giustizia dell’Unione Europea (Cgeu) ha aperto nuove frontiere nel campo della protezione dei dati personali. La decisione, derivante dal caso C-340/21, stabilisce un importante precedente legale che permette ai cittadini di chiedere risarcimenti per danni non materiali causati da violazioni della sicurezza informatica. Il caso ha origine da un grave incidente informatico che ha colpito l’Amministrazione Nazionale per le Entrate (Nap) della Bulgaria nel luglio 2019, esponendo i dati personali di oltre sei milioni di persone. La Corte ha chiarito che, sebbene un attacco hacker non implichi automaticamente una violazione delle norme Gdpr (Regolamento Generale sulla protezione dei dati personali) sulla sicurezza dei dati – spiega il legale –, le aziende e le amministrazioni pubbliche hanno l’obbligo di dimostrare la conformità delle loro misure di sicurezza. In altre parole, non è sufficiente implementare misure di sicurezza; esse devono essere concretamente adeguate e provate". Ma l’aspetto più innovativo della sentenza riguarda il risarcimento per il danno morale. "La sentenza della Corte ha chiarito che, in situazioni di violazione del Gdpr, non si opera una distinzione tra varie tipologie di danno morale. Ciò implica che sia i danni morali già manifestati a causa di un uso non autorizzato dei dati, sia quelli basati sulla preoccupazione per possibili abusi futuri, vengono considerati allo stesso modo ai fini del risarcimento. Con questa sentenza, la Corte ha riconosciuto che il disagio psicologico e la preoccupazione per il futuro rappresentano aspetti rilevanti del danno morale – sottolinea l’avvocato. Di conseguenza, questa decisione permette ai cittadini di avanzare richieste di risarcimento non solo per i danni già subiti, ma anche per il turbamento legato alla potenziale esposizione o abuso dei propri dati personali in futuro".