Con provvedimento del 17 ottobre 2024 l’Autorità Garante ha sanzionato un’Azienda Ospedaliero-Universitaria col pagamento di euro 25.000,00, rilevando la mancata adozione di adeguate misure di sicurezza a tutela dei dati personali; circostanza che aveva reso possibile, tramite un attacco ransomware da parte di un gruppo criminale, l’accesso ai dati di dipendenti, consulenti e pazienti.
A riguardo, l’Autorità ha rilevato, in primo luogo, la mancata adozione di misure adeguate a individuare tempestivamente la violazione dei dati personali. In particolare, l’Azienda Ospedaliera non disponeva di un sistema di log management e si è reso necessario implementare un sistema di Security Information and Event Management.
Secondariamente, è stata rilevata dall’Autorità la mancata adozione di misure adeguate a garantire la sicurezza delle reti e l’obsolescenza dei software di base installati su alcuni sistemi di trattamento. In particolare, l’Azienda Ospedaliera non aveva adottato adeguate misure per segmentare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, nonché i sistemi (server) utilizzati per i trattamenti (“la rete era sostanzialmente flat, non vi era una segmentazione logica o fisica” e non erano differenziate a livello di rete le postazioni di lavoro e i server).
Inoltre, nel momento in cui si è verificata la violazione dei dati personali:
- l’accesso remoto, tramite VPN, alla rete, avveniva mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password, non essendo in vigore una procedura di autenticazione informatica a più fattori (MFA);
- le utenze di “manutenzione” erano spesso generiche, non individuali, con massimi privilegi amministrativi”;
- nonostante fossero state fornite indicazioni al personale circa la scelta della password, ispirate alle buone pratiche di settore, non era prevista alcuna configurazione dei sistemi che recepisse tali indicazioni;
- il firewall perimetrale conteneva delle vulnerabilità e erano “attivi ancora vari protocolli di comunicazione obsoleti”.
Alla luce di quanto sopra esposto l’Autorità ha rilevato la violazione dell’art. 5, par. 1, let. f) e dell’art. 32 del Regolamento UE 2026/679, ingiungendo all’Azienda Ospedaliera il pagamento della sanzione amministrativa pecuniaria di euro 25.000,00.
Va rilevato che nel quantificare l’importo della sanzione, l’Autorità ha tenuto conto dell’impegno del Titolare ad implementare misure di sicurezza volte a ridurre la replicabilità dell’evento occorso e la costante cooperazione con l’Autorità in ogni fase dell’istruttoria.
