In una notte tra luglio e agosto 2021, un attacco informatico senza precedenti ha colpito il sistema sanitario della Regione Lazio, mettendo in evidenza la vulnerabilità dei sistemi informativi regionali. Il ransomware, infiltrato tramite un portatile di un dipendente, ha bloccato l’accesso a servizi essenziali quali prenotazioni mediche, pagamenti e ritiro dei referti, influenzando la vita di milioni di cittadini.
Gravi Violazioni e Pesanti Sanzioni
Il Garante per la Protezione dei Dati Personali ha concluso i procedimenti aperti con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3. Queste entità sono state giudicate responsabili di gravi violazioni legate alla sicurezza e alla protezione dei dati personali. In particolare, si è evidenziata l’adozione di sistemi non aggiornati e la mancanza di misure di sicurezza che avrebbero potuto prevenire o quantomeno mitigare l’attacco.
L’assenza di adeguate politiche di sicurezza ha reso impossibile per le strutture sanitarie l’accesso ai sistemi informativi, compromettendo la continuità dei servizi sanitari. Circa 180 server virtuali sono stati resi inaccessibili a causa dell’attacco, mentre la decisione di LAZIOcrea di spegnere tutti i sistemi ha aggravato la situazione, impedendo la pronta identificazione e isolamento dei sistemi compromessi.
La Regione Lazio, in qualità di titolare del trattamento, e LAZIOcrea, in qualità di responsabile del trattamento, sono stati ritenuti carenti nel garantire un livello di sicurezza adeguato, tanto nella progettazione dei sistemi quanto nella gestione dell’emergenza. La ASL Roma 3, in particolare, è stata sanzionata per non aver notificato tempestivamente il data breach, a differenza di altre strutture che hanno agito in conformità alle normative.
Questo episodio pone in rilievo l’importanza di una costante attenzione alla sicurezza informatica e alla protezione dei dati, soprattutto in settori sensibili come quello della sanità, dove l’integrità e la disponibilità delle informazioni sono fondamentali per garantire servizi efficaci e tempestivi alla popolazione.