Entra nella community

Dati sanitari sotto attacco

Perché le difese non bastano mai

Questa volta vi portiamo dentro un caso che unisce due elementi ad altissimo rischio: sanità e dati personali particolari.

Un attacco informatico sofisticato, scattato di notte e a ridosso di festività, ha colpito un’azienda sanitaria, mettendo a nudo falle tecniche e organizzative che ne hanno amplificato l’impatto.

Le prime tracce malevole erano rilevabili già da giorni, ma non sono state intercettate.

La porta d’ingresso?

Un’e-mail di phishing con link malevolo, che ha sfruttato le credenziali di un consulente non più in servizio.

Le misure di sicurezza in essere non sono bastate.

La perdita di dati è stata pesante, sia per numero di interessati sia per delicatezza delle informazioni.

Gli hacker hanno poi pubblicato e venduto i dati sul dark web.

E anche la comunicazione del data breach si è rivelata inadeguata.

Il Garante ha emesso un ammonimento (senza sanzione pecuniaria), ma il caso resta un monito chiaro: la sicurezza non è un obiettivo che si raggiunge una volta per tutte, ma un processo continuo.

La protezione dei dati è un impegno quotidiano: la differenza tra un incidente e una crisi sta nella preparazione.

Ne parliamo ogni settimana nella newsletter Privacy in azienda. Con casi reali, linguaggio chiaro e approccio pratico.

La privacy è Prevenire. Reagire. Comunicare.

Leggi IL CASO completo.

Condividi:

IL CASO

Il ransomware si è diffuso rapidamente grazie a una rete “flat”, priva di segmentazione, che ha facilitato la propagazione.

Le attività malevole non sono state un’azione lampo: erano già in corso da giorni, ma i sistemi di sicurezza – pur registrando gli eventi – non correlavano i dati né bloccavano automaticamente le anomalie.

L’impatto è stato rilevante:

  • quasi 400 GB di dati pubblicati sul dark web (poi rimossi);
  • oltre 10.000 soggetti coinvolti, tra dipendenti, consulenti, pazienti, minori e persone vulnerabili.

I dati sottratti comprendevano informazioni anagrafiche, sanitarie, genetiche, relative a condanne penali, appartenenza sindacale, vita sessuale e origine etnica: un archivio completo di dati ad alta sensibilità.

Il ransomware ha cifrato gran parte dell’infrastruttura IT, con richiesta di riscatto in bitcoin.

Le analisi post-incidente hanno evidenziato picchi anomali di traffico e connessioni verso siti malevoli, segno di un accesso mantenuto intenzionalmente.

La segnalazione e le prime contromisure

L’ente ha segnalato al Garante il grave data breach e ha disconnesso subito i sistemi da internet per prevenire nuove intrusioni e consentire analisi, bonifica e ripristino.

Per una settimana, i sistemi principali sono rimasti offline, ma le attività sanitarie sono proseguite grazie a procedure alternative, senza blocchi nei reparti critici e con ritardi minimi negli altri.

Le misure già in atto includevano:

  • sistemi anti-spam e anti-phishing;
  • vulnerability assessment periodici;
  • interventi di segmentazione rete (parziale);
  • formazione del personale in materia di privacy e cybersecurity (non completato);
  • aggiornamento regolare di postazioni e server.

Era in corso un progetto di migrazione al cloud ma la parte attaccata era priva di tali protezioni.

Sul fronte del monitoraggio, erano presenti strumenti di registrazione eventi, ma senza capacità di correlazione automatica.

Le criticità emerse

L’ispezione del Garante ha confermato che l’attacco è stato un punto di svolta per l’ente, che si è visto costretto a rivedere processi e rapporti con i fornitori.

Oggi l’ente presidia con più attenzione le fasi di installazione e aggiornamento, analizza preventivamente ciò che viene implementato e documenta eventuali criticità.

Ma una delle maggiori debolezze è stata la comunicazione agli interessati:

  • scelta iniziale di pubblicare avvisi sul sito istituzionale senza contatti diretti;
  • difficoltà di identificare rapidamente i soggetti colpiti a causa di file eterogenei, privi di dati completi;
  • processo di analisi incrociata avviato (file → prestazioni sanitarie → anagrafiche) per garantire comunicazioni mirate e senza errori.

Questo iter, pur già avviato, non ha impedito che la comunicazione iniziale fosse giudicata inidonea dal Garante.

Il giudizio del Garante

L’Autorità ha rilevato le violazioni di:

  • Principi di liceità, correttezza e trasparenza;
  • Integrità e riservatezza dei dati (art. 5, par. 1, lett. a) e f) GDPR);
  • Sicurezza del trattamento (art. 32 GDPR);
  • Comunicazione agli interessati (art. 34 GDPR).

Punti critici:

  • prevenzione insufficiente (rete non segmentata, credenziali obsolete, SOC limitato);
  • rilevazione tardiva delle attività malevole;
  • comunicazione inefficace verso tutti gli interessati, in particolare i più vulnerabili;
  • mancata dimostrazione che la comunicazione diretta fosse sproporzionata o impossibile.

Cosa impariamo?

  • I dati sanitari richiedono massima protezione: trattamento lecito, corretto e trasparente con linguaggio semplice.
  • Comunicazione diretta come regola: in caso di violazione ad alto rischio, informare subito e chiaramente gli interessati.
  • La sicurezza è tecnica e organizzativa: servono misure integrate, non solo tecnologie.
  • Rilevare rapidamente è vitale: il monitoraggio proattivo è parte della conformità GDPR.
  • Trasparenza e tempestività mantengono la fiducia: soprattutto in sanità, dove il rapporto con l’assistito si basa sulla protezione delle sue informazioni.

LA NOSTRA FORMAZIONE

Privacy & Data Protection

+QI-AI = Security

La formula per aumentare i livelli di sicurezza nella tua azienda.

La sicurezza digitale è un tema ormai noto diventato centrale per le aziende e i suoi dipendenti. Quello che non è sempre noto e che spesso è il fattore umano ad agevolare gli attacchi informatici, spesso per disattenzione, frenesia, leggerezza e poca conoscenza. Gli errori più comuni: practice obsolete o assenti, inconsapevoli condivisioni di informazioni e dati, utilizzo incauto dei dispositivi aziendali, poca attenzione alle mail ricevute e scelta di password non efficaci.

Come tutelarsi? Cosa fare?

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede competenze specialistiche e strategie efficaci non sempre presenti in azienda. Fare formazione a tutti i livelli aziendali è la vera e unica rivoluzione culturale che tutelerà l’azienda e che ne accrescerà il valore.

Il metodo CompetenceLab “Cogito Ergo Cresco”

Offriamo una Compliance Privacy mirata all’analisi e gestione dei rischi e un corso di formazione rivolto a tutti i dipendenti sul corretto utilizzo degli strumenti e sulla tutela dei dati e quindi della tua azienda.

Ogni azienda è unica. Contattaci per un preventivo personalizzato.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it