Modena, 16 dicembre 2023 – I rischi legati al cyber attacco senza precedenti che ha colpito al cuore la sanità modenese sono tanti. Non parliamo di rischi legati ai servizi, ormai ripristinati, ma dei risvolti per i cittadini coinvolti, i cui dati sono stati diffusi nel dark web: mille ’gigabyte’ di informazioni con oltre un milione di file copiati.
Nel materiale diffuso c’è di tutto: dall’organizzazione dei dipartimenti sanitari alle cartelle cliniche. A spiegare appunto i rischi è Chiara Ciccia Romito, avvocato specializzato in diritto delle nuove tecnologie perfezionata in criminalità informatica e investigazioni digitali; e dottoranda di ricerca lavoro, sviluppo e innovazione alla Fondazione Marco Biagi.
Avvocato, quali sono i rischi più concreti?
"Uno dei rischi più concreti che potrebbe verificarsi a seguito della vendita dei dati è quello di incentivare il fenomeno delle truffe online. Stiamo parlando di tecniche molto sofisticate che tendono ad unire più metodologie, le chiamate, i messaggi, i social e non solo le comunicazioni via posta elettronica. Le informazioni più sono accurate e precise, più sono preziose per i criminali che possono utilizzarle in maniera strumentale per arrivare ad un obiettivo preciso. Altresì, l’obiettivo magari non è direttamente il cittadino, ma l’organizzazione in cui lavora. Ho avuto l’esperienza diretta di assistere clienti vittime di attacchi informatici, durante i quali i criminali sono riusciti ad estorcere somme ingenti, oltre 60 mila euro, in pochissimo tempo. Nello stesso giorno ad un’altra vittima più di 210mila euro. La strategia adottata era sempre la stessa, ma in quel caso specifico le informazioni usate dal criminale per ingannare la vittima erano così precise e dettagliate da indurre facilmente in errore e convincere la vittima a cedere alle richieste".
La divulgazione che altri rischi ha?
"La rivelazione di informazioni personali e mediche può avere conseguenze serie, causando vergogna e portando a discriminazione o stigmatizzazione sociale, in particolare quando sono coinvolte condizioni di salute mentale, malattie infettive o altre condizioni mediche delicate. Tale esposizione può danneggiare la reputazione e l’autostima di un individuo, influenzando negativamente sulla sua vita personale e professionale".
Ci sono rischi legati alle cure?
"Qualora l’attacco informatico abbia compromesso l’integrità dei dati sanitari, ne risulterebbe inevitabilmente compromessa anche l’affidabilità. Dati non integri non possono essere considerati sicuri o validi per supportare decisioni cliniche, diagnosi o trattamenti".
Quali sono le conseguenze e come è possibile tutelarsi?
"Innanzitutto, occorre lasciare il tempo necessario agli enti per comprendere cosa è accaduto e procedere con le notifiche obbligatorie per legge. In particolare, agli eventi come quelli di Modena seguono comunicazioni di data breach, da cui può partire un’indagine da parte dell’Autorità Garante per la protezione dei dati personali. Cosa simile è accaduta all’ASL di Napoli. Quanto è accaduto è la dimostrazione di una difesa debole che contraddistingue il sistema sanitario dove sono custoditi i dati più sensibili della persona. La prevenzione, e quindi, investire in sicurezza informatica è la prima regola di difesa ed è ormai chiaro che non è più possibile attendere".