L'ASL Napoli 3 Sud è stata destinataria di una sanzione di 30.000 euro da parte del Garante per la protezione dei dati personali a seguito di un'insufficiente tutela delle informazioni personali e sanitarie di 842.000 assistiti e dipendenti.
Provvedimento del 28 settembre 2023 [9941232]
VEDI ANCHE Newsletter del 23 ottobre 2023
[doc. web n. 9941232]
Provvedimento del 28 settembre 2023
Registro dei provvedimenti
n. 426 del 28 settembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la
prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, "Regolamento generale sulla
protezione dei dati" (di seguito "Regolamento");
VISTO il d.lgs. 30 giugno 2003, n. 196 recante il "Codice in materia di protezione dei dati
personali", contenente disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione
di tali dati e che abroga la Direttiva 95/46/CE (di seguito il "Codice");
VISTO il d.lgs. 10 agosto 2018, n. 101 recante "Disposizioni per l'adeguamento della normativa
nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva
95/46/CE";
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna,
finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la
protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in
G.U. n. 106 dell'8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito "Regolamento del
Garante n. 1/2019");
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del
Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione
dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino GhigliaPREMESSO
1. La violazione dei dati personali e le istanze degli interessati
In data XX la Asl Napoli 3 Sud (di seguito "Azienda") ha notificato all'Autorità, ai sensi dell'art. 33
del Regolamento, una violazione dei dati personali -successivamente integrata con note del XX e
XX, XX e XX- riguardante un attacco informatico, determinato da un malware di tipo ransomware,
ai sistemi informativi della stessa.
In considerazione dell'elevato numero di interessati coinvolti e della natura dei dati personali
oggetto di violazione, l'Ufficio ha richiesto informazioni all'Azienda in merito alla citata violazione di
dati personali, al fine di acquisire, in particolare, elementi sia sulle misure tecniche e organizzative
adottate in merito alle procedure di autenticazione informatica per l'accesso in VPN e alle
postazioni di lavoro, che erano in essere al momento della violazione, sia sullo stato di
avanzamento degli interventi di adozione di misure idonee a prevenire simili violazioni future (nota
del XX).
A tale richiesta, l'Azienda ha fornito riscontro, con nota del XX, dichiarando che:
- "da un'analisi della documentazione in possesso della ASL Napoli 3 Sud, relativa al sinistro
privacy occorso e notificato in data XX, (…) non risultano correlazioni rispetto alle credenziali
e utenze compromesse in tale evento e le credenziali oggetto di data leak nel data breach di
XX";
- "in relazione alle risultanze connesse al sinistro privacy di XX e relativo alle "credenziali
rubate e pubblicate sul dark web per guadagnare un accesso fraudolento in VPN", si
fornisce (…) un prospetto riepilogativo delle correlazioni tra l'Incident Report "Executive &
Technical Report — Sabbath Ransomware Security Incident" del XX, (…) e le indagini
condotte dallo IOC nel black market riportate nel report "XX'";
- "l'unità ICT Aziendale ha adottato il "Regolamento per l'utilizzo del sistema informatico e
telematico aziendale" contenente agli artt. 13 e 31, rispettivamente, l'indicazione delle
caratteristiche delle password e l'indicazione per l'accesso al Virtual Private Network (VPN).
Nello specifico, al momento della violazione le procedure di autenticazione informatica
utilizzate nell'ambito dell'accesso in VPN e alle postazioni di lavoro non prevedevano l'uso
del doppio fattore di autenticazione, mentre la password policy non comprendeva una
differenziazione tra utenze con privilegi amministrativi e utenza senza privilegi amministrativi.
In particolare, le password erano create dal servizio informatico definite con modalità di
active directory secondo caratteristiche che prevedevano: la creazione di password con
almeno 8 caratteri, la scadenza automatica a XX dal rilascio e la presenza nella chiave di
caratteri maiuscoli, minuscole e numeri. Giova evidenziare come, allo stato attuale, a seguito
di adesione a gara su portale MePA n. 2006825, a far data dalla notificazione conclusiva del
sinistro privacy occorso, l'ente ha efficacemente adottato l'autenticazione multi-fattore per le
connessioni VPN "instaurata con il Firewall perimetrale XX con doppio fattore di
autenticazione (XX)".
Nella stessa occasione, l'Azienda ha descritto lo stato di avanzamento degli interventi di adozione
nelle misure tecniche e organizzative per prevenire simili violazioni future, individuate nel
documento "Progressi delle attività di ripristino e relative misure di sicurezza adottate" prodotto
dalla società Leonardo S.p.A.
In ordine alla medesima vicenda, sono pervenute, tra XX e XX, alcune istanze da parte di cittadini
nei confronti dell'Azienda che, informati dell'evento occorso, si sono rivolti all'Autorità.
Successivamente, è stata effettuata un'attività ispettiva nei confronti dell'Azienda nel mese di XX,
al fine di acquisire elementi utili alla compiuta valutazione del fatto.
2. La violazione dei dati personali
2.1. Il fatto
La violazione dei dati personali è stata descritta sia nell'ambito della notifica effettuata ai sensi
dell'art. 33 all'Autorità, successivamente e più volte integrata, sia nel corso della citata attività
ispettiva. In particolare, è risultato quanto segue.
2.1.1. La notifica della violazione al Garante
Con la notifica del XX, l'Azienda ha dichiarato che:
- "nella mattinata del XX si sono verificati malfunzionamenti dei sistemi sanitari sottesi
all'erogazione dei servizi ospedalieri e di Laboratorio. Le prime verifiche effettuate non
hanno consentito un accesso alle infrastrutture necessario per il ripristino delle funzionalità:
tutti i server su cui veniva tentato l'accesso presentavano anomalie e il mancato
riconoscimento delle utenze con profilo di amministratore. La rete locale interna non
consentiva il normale accesso e la navigazione sul web anche verso piattaforme esterne al
perimetro aziendale se non tramite linee di accesso secondarie";
- "si è potuto appurare che: 1. l'intera infrastruttura del Datacenter (Server, Domain
Controller, Proxy, VPN) è stato oggetto di attacco hacker di tipo cryptoLocker con attività di
encryption dei dati aziendali e dei volumi virtuali che consentono il funzionamento di tutti gli
applicativi aziendali; 2. sono stati compromessi gli elenchi degli utenti di dominio con profilo
di amministratore rendendo impossibili gli accessi ai sistemisti aziendali; 3. è stata
riscontrata su tutte le diverse postazioni la presenza di un file denominato DECRYPTION.txt
con il quale viene comunicata la natura dell'attacco, il gruppo criminale "54BB47H"
(Sabbath) che ha effettuato il medesimo attacco e le modalità con le quali entrare in contatto
al fine di riscattare i codici per il Decrypting dei file compromessi";
- "sono stati coinvolti tutti i software e dati relativi alle piattaforme applicative installate sui
server virtuali del Data Center Principale di Castellammare di Stabia (Na) e Data Center
Disaster Recovery di Brusciano (Na). Inoltre, sono coinvolti i Data Center delocalizzati
installati presso i Presidi Ospedalieri di Nola, Sorrento, Boscotrecase, Castellammare di
Stabia presso i quali sono installati i software applicativi del Pronto Soccorso, ADT e
diagnostica per immagini. Il blocco dei Data Center Aziendali causa il fermo di tutti gli
applicativi aziendali di ordine sanitario e amministrativo contabile; restano funzionanti le
applicazioni su piattaforme esterne (Regionale, SORESA, Ministeriale) quali CUPR,
Vaccinazioni, Anagrafe Assistibili, 118, Vaccinazioni e Tamponi Covid-19" (v. notifica del
XX).
Successivamente, avvalendosi della facoltà di fornire ulteriori informazioni in fasi successive,
l'Azienda ha integrato la predetta notifica in data XX e XX, XX e XX, rappresentando:
- di aver "ricevuto a mezzo mail due differenti comunicazioni rispettivamente in data XX e
XX: la prima da parte di XX con la quale la "terza parte" si offre di decrittare gratuitamente le
informazioni ostaggio del gruppo cyber criminale Sabbath; la seconda da parte di più indirizzi
mail, direttamente riconducibili al gruppo Sabbath, con la quale si descriveva la sola e unica
modalità di decrittazione dei file colpiti dal cryptolocker, ossia mediante diretta
collaborazione col suddetto gruppo di cybercriminali. Si rappresenta, altresì, che tali nuove
circostanze sono state oggetto di pronta informativa e costituiranno oggetto di formale
integrazione di denuncia alla Polizia Postale" (v. notifica del XX);
- che "all'interno del portale associato al ransomware Sabbath (http://...), è stata individuata
la pubblicazione afferente la ASL Napoli 3 Sud, accessibile al seguente link: http://..." (v.
notifica del XX);
- che "le analisi condotte, per mezzo delle prove acquisite dal CCMT Leonardo, rilevavano
una potenziale compromissione dalla rete VPN utilizzata dagli operatori e dai fruitori dei
servizi medicali della ASL NAPOLI 3 SUD. Analisi OSINT hanno successivamente
confermato la compromissione di numerosi account non privilegiati e la loro pubblicazione su
diversi black market. Le credenziali pubblicate sul Web hanno permesso a molteplici attori di
accedere alla rete interna della ASL NAPOLI 3 SUD senza destare alcun sospetto
potenzialmente notificabile dagli apparati di sicurezza in uso presso l'Azienda. L'attaccante
(…), accedeva ai server dell'Azienda per mezzo del canale VPN il giorno XX alle ore XX
effettuando in breve arco temporale l'innalzamento dei privilegi ad amministratore di sistema.
Nei giorni successivi, dal XX al XX, l'attaccante procedeva con le azioni di persistenza
garantendosi molteplici vie di accesso, tra cui la diffusione di tool di comando e controllo
remoto noto come Cobalt Strike. Contemporaneamente, lo stesso, effettuava azioni di
harvesting accumulando documenti e reperti residenti su asset di dipendenti,
successivamente esfiltrati. Il giorno XX alle ore XX l'attaccante guadagnava nuovamente
l'accesso tramite canale VPN preparando la rete interna ad un attacco distruttivo. La mattina
del XX veniva avviato il ransomware Arcane.exe (Sabbath) cifrando molteplici files e
documenti. A valle dell'attività di cifratura, gli operatori IT dell'Azienda notavano il cambio
dell'estensione dei file residenti sul disco dei propri asset ed una lettera di riscatto (…)" (v.
notifica del XX);
- che "i servizi che hanno subito solo parzialmente un'interruzione sono stati individuati
rispetto i seguenti item: (i) stipendi del personale dipendente; (ii) acquisizione e liquidazione
fatture fornitori e rimborsi. Si specifica che l'erogazione dei servizi verso l'utenza e la
somministrazione della prestazione sanitaria è stata svolta in maniera continuativa senza
soffrire interruzioni di qualsivoglia sorta" (v. notifica del XX).
2.1.2. Le attività ispettive
Nel corso delle attività ispettive, l'Azienda, riguardo alle modalità e alle tempistiche dell'attacco, ha
inoltre "confermato la […] timeline [presente nel report XX] e riferito che le analisi forensi hanno
ricostruito la violazione a partire dai primi accessi abusivi, a XX, da IP estero, tramite VPN, con le
credenziali di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono
state, poi, utilizzate per ottenere privilegi di administrator. A seguire, dopo una fase silente,
l'attaccante ha proceduto a installare e distribuire il malware e, nel mese di XX, sono state
compromesse le credenziali di amministratori di dominio e lanciata la cifratura sul Hypervisor dei
VMDK (file fisici delle macchine virtuali). L'incidente è stato, quindi, rilevato il XX mattina da un
operatore sanitario che, riscontrato un malfunzionamento dell'applicazione (IL), ha contattato la
persona reperibile dei sistemi informatici che, a seguito di specifiche verifiche, constatando la
modifica delle credenziali di amministratore di dominio, ha dato l'allarme". Nella medesima
occasione l'Azienda ha dichiarato che "il XX mattina [è stato] trovato, accedendo a un server
bloccato, il messaggio di richiesta di riscatto degli attaccanti", che "l'esfiltrazione dei dati,
presumibilmente, è avvenuta fra XX e XX" e "che la violazione non ha coinvolto gli applicativi di
ingegneria clinica nei singoli presidi (es. TAC, RMN, monitor) né strumentazione RIS-PACS dei
presidi, mentre sono stati bloccati tutti gli applicativi aziendali serviti dal data center compresi i
sistemi di ADT che hanno avuto priorità nel ripristino" (v. verbale del XX, pagg. 3 e 4).
2.2. Le misure in essere al momento della violazione
2.2.1. Notifica della violazione al Garante
Con riferimento alle misure in essere al momento della violazione, nell'ambito della notifica e delle
conseguenti integrazioni, l'Azienda ha dichiarato che "il sistema informatico aziendale si basa su
un dominio XX applicativo On-premise per tutti i software applicativi sanitari e amministrativo
contabili e un dominio XX per la gestione XX della posta elettronica aziendale, Office Automation,
sito web e PEC XX. La rete LAN aziendale è estesa all'intero territorio di competenza ASL tramite
contratto SPC in convenzione Consip con fornitore Fastweb. Sono stati previsti i seguenti
strumenti di sicurezza:
a. Accesso dall'esterno tramite VPN Firewall XX
b. Firewall perimetrali XX per il controllo del traffico I/O gestiti da Fastweb tramite contratto
CONSIP
c. Proxy XX per il collegamento dei client come unico accesso verso internet con restrizioni
all'accesso a siti normativamente/aziendalmente non autorizzati, limitazione sui flussi
pubblicitari e popup
d. Sistemi Firewall XX per il monitoraggio del traffico di rete per I/O con SSL Ispection per i
pacchetti di Posta Elettronica (XX)
e. Antivirus/Antimalware XX su Server e client supportati da ulteriore software di
monitoraggio XX (XX) per gestione comportamentale
f. Sistema di monitoraggio XX per la gestione, virtual patching e messa in sicurezza delle
strumentazioni elettromedicali presenti in azienda (attualmente in prova gratuita)
g. Policy privacy data breach con relativi allegati" (v. notifiche del XX e XX).
Ulteriori elementi sul punto sono stati forniti dall'Azienda con la sopra citata nota del XX,
trasmessa in riscontro a una specifica richiesta di informazioni dall'Ufficio (nota del XX) circa le
procedure di autenticazione informatica utilizzate nell'ambito dell'accesso in VPN e alle postazioni
di lavoro in essere al momento della violazione e le password policy previste per le diverse
tipologie di utenze (cfr. par. 1 del presente provvedimento).
2.2.2. Attività ispettive
Nel corso delle attività ispettive l'Azienda ha, altresì, chiarito che "gli utenti che si avvalevano della
VPN erano circa 1200, che non era prevista una procedura di autenticazione a più fattori e che
l'autenticazione veniva effettuata mediante le credenziali di dominio […]", che "le credenziali
riconducibili ai medici di medicina generale (MMG) erano censite in Active Directory in uno
specifico gruppo per cui era impedito interactive logon consentendo solo l'utilizzo di uno specifico
applicativo dedicato ai medesimi MMG esposto in VPN", che "all'epoca dell'incidente di XX, era
prevista una diversa password policy per le utenze dei sistemisti administrator dei server (XX)",
che "all'epoca dell'incidente di XX, non era attivo il meccanismo di password history per impedire il
riutilizzo delle password" (v. verbale del XX, pag. 3).
Con riguardo alle misure tecniche e organizzative adottate per garantire la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità
e dell'accesso dei dati personali in caso di incidente, l'Azienda, nel corso delle medesime attività
ispettive ha dichiarato che "non c'è una procedura formalizzata e che il backup dei dati e dei
sistemi aziendali è effettuato "full" una volta a settimana e "incrementale" gli altri giorni" e che
"l'Azienda al momento della violazione non disponeva di un piano di rispristino dei diversi servizi
con particolare riguardo a quelli definiti "critici" e che, a seguito dell'incidente, ha predisposto una
proposta di piano di ripristino che la direzione aziendale ha approvato" (v. verbale del XX, pag. 5).
2. 3. Le misure adottate a seguito della violazione
2.3.1. Notifica della violazione al Garante
Con riferimento alle misure adottate a seguito della violazione, l'Azienda, nell'ambito della notifica
della violazione, effettuata ai sensi dell'art. 33 del Regolamento, ha rappresentato che:
- "si è proceduto a isolare le connessioni e le comunicazioni dall'esterno al fine di
interrompere la possibile propagazione del malware. È stata avviata un'attività di indagine
tesa all'analisi del sinistro e delle sue cause al fine di pervenire alla bonifica dei sistemi. Si
intende procedere nell'immediato alla creazione di un'infrastruttura parallela per il ripristino,
altresì, delle attività essenziali" (nota del XX);
- "gli effetti osservati hanno evidenziato uno scenario in cui risultavano sospesi diversi
sistemi e servizi ICT critici. Il reparto IT della ASL, compreso l'evento ha avviato le più
immediate azioni di contenimento, tra le quali: isolamento dell'infrastruttura e dei servizi ICT,
rendendoli temporaneamente indisponibili; interruzione di tutti i servizi informatici
indipendentemente dal loro posizionamento, per evitare la propagazione dell'infezione.
L'attacco ha creato un disservizio limitato sull'erogazione dei servizi critici nei confronti degli
utenti finali in quanto il sito web, la posta ed ulteriori servizi risultavano ospitati da terze parti;
coinvolgimento di partner e stakeholder e attivazione di un'unità di crisi al fine di identificare
le azioni di contenimento e di rimozione definitiva della minaccia. Tra le diverse azioni
immediate, si segnalano:
• avvio delle attività di analisi in ambito cyber threat hunting;
• avvio di opportune analisi in ambito Cyber Threat Intelligence a supporto delle attività
di Response;
• avvio delle attività di ripristino dell'infrastruttura compromessa mediante la creazione
di una nuova zona denominata green zone;
• creazione di una taskforce [multidisciplinare] dedicata alla valutazione della sensibilità
dei dati oggetto di pubblicazione sul portale dell'attaccante" (nota del XX).
Con la predetta nota del XX, l'Azienda ha ulteriormente rappresentato che, "con espressa istanza
rivolta al fornitore Fastweb S.p.A., si è inteso richiedere specifica attività di analisi del
malfunzionamento teso all'identificazione delle cause e degli effetti del data breach. È stato
affidato specifico incarico alla Leonardo S.p.A. per l'analisi dell'incidente in Second Opinion e
redazione di report finalizzati alle specifiche attività di remediation, oltreché per la rimodulazione e
aggiornamento del piano di disaster recovery che consenta di garantire la business continuity,
nonché la predisposizione di tutte le misure tecniche e organizzative adeguate volte al
monitoraggio, controllo e prevenzione del perimetro tecnologico e di sicurezza aziendale. Si è
proceduto, altresì, all'attivazione di nuove connessioni VPN dedicate con doppia autenticazione
per poter accedere in modo sicuro all'interno della struttura informatica aziendale al fine di porre in
essere le attività di accertamento e analisi sui sistemi, che sono tutt'ora in corso di esecuzione.
L'ASL Napoli 3 Sud, conclusa la prima fase critica di contenimento dell'incidente informatico,
attraverso attività di progettazione di Green Zone, di crisis management e di intelligence security
assessment, intende, mediante il supporto del fornitore Leonardo S.p.A., procedere
all'implementazione dei seguenti strumenti, policy e servizi al fine di prevenire simili future
violazione ed elidere ogni restante profilo di vulnerabilità nel sistema di sicurezza:
Ripristino dei servizi con attività di Application Security Testing, VA, PT;
Servizi tuning XDR, RTSM+IH, TIS, Basket Crisis Management & Incident Response;
Progettazione di un Sistema per le applicazioni;
Attività di Threat Intelligence System (Early Warning, Data Loss Prevention, Brand Abuse,
Anti-Phishing con takedown);
Supporto specialistico on premise con risorse TAM, CERT con skill cyber;
Policy Enforcement, Awareness, Phishing Campaign, Data Rescue.
A seguito dell'implementazione di tali servizi, da considerarsi a Priorità Alta, seguirà l'adozione
degli ulteriori servizi di seguito elencati: Unified End-Point Management UEM/MDM; DNS Secure;
Verifica analisi sistema di backup, Anti DDoS, NACSistema di mail secure; Assessment FNCS;
Attack simulation e resilience testing – Cyber Exercise. Alle attività e servizi tecnici sopracitati si
aggiungono l'implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni
(SGSI), nonché un servizio di formazione con messa a disposizione di una piattaforma FAD
asincrona in materia di Sicurezza delle Informazioni in favore di tutto il personale dipendente
dell'ASL Napoli 3 Sud".
2.3.2. Attività ispettive
Nel corso delle attività ispettive, con riferimento alle operazioni di ripristino dei dati e dei sistemi,
l'Azienda ha dichiarato che "è stato definito un piano di ripristino dei sistemi grazie alla presenza
dei backup" (verbale del XX, pag. 4) e che "le azioni di bonifica, recupero e ripristino attivate
immediatamente dopo l'effettuazione delle copie forensi, hanno portato la disponibilità dei primi
sistemi (CACOMM e AREAS) al XX e, a seguire, gli altri fino a inizio XX, anche sulla base della
citata proposta. Parallelamente si è proceduto alla bonifica, recupero e ripristino delle postazioni di
lavoro" (verbale del XX, pag. 2).
2.4. La comunicazione della violazione agli interessati
In relazione alla comunicazione della violazione agli interessati, l'Azienda ha preliminarmente
rappresentato che "gli interessati sono stati informati mediante comunicazione pubblicata sul sito
web istituzionale" (v. notifica del XX) e, successivamente, che tale comunicazione sarebbe stata
effettuata "entro il XX" allegando anche il "sample della comunicazione ex art. 34 GDPR da
trasmettere ai circa 67000 interessati coinvolti nella violazione" (v. notifica del XX).
Da ultimo, l'Azienda ha dichiarato che "deve ritenersi il rischio per gli interessati alto e, dunque,
necessario procedere con le comunicazioni agli interessati ex art. 34 GDPR. Atteso che per
numero 70.891 interessati è già stata predisposta comunicazione ad personam per il tramite della
società Mavasoft a r.l.s., appositamente nominata ex art. 28 GDPR, ovvero per comunicazione e-
mail nel caso dei dipendenti; per il restante elevato numero di interessati deve considerarsi quanto
già affermato alla Sez. F, p. 7 (Descrizione della Violazione) in termini di costi e sforzo
sproporzionato ai sensi dell'art. 34, par. 3, lett. c) GDPR, come anche già descritto e paventato
per il tramite di comunicazione PEC inviata a codesta Autorità in data XX. Per tali ordini di ragioni,
(…) la scrivente Azienda ha inteso procedere con comunicazioni informative verso l'utenza a
carattere generale" e che "ha necessariamente dovuto gestire e adottare due distinte modalità di
comunicazione agli interessati, intrinsecamente legate alle caratteristiche dei due data set ed al
loro diverso momento di analisi e valutazione […] per una visione completa della gestione delle
comunicazioni di seguito si riporta la suddivisione schematica della gestione delle comunicazioni
agli interessati ex art. 34 GDPR in relazione alle peculiarità dei due dataset gestiti da parte di
codesta azienda: 70.738 interessati pazienti/utenti raggiunti da comunicazione ad personam
tramite raccomandata a/r, con servizio affidato al responsabile del trattamento ex art. 28 GDPR
MAVASOFT srls; 153 interessati dipendenti raggiunti da comunicazione ad personam tramite
servizio di mail aziendale, mail personale ovvero raccomandata XX interessati pazienti/utenti,
tramite comunicazione generale (…)" (v. notifica del XX).
3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui
all'art. 166, comma 5 del Codice
In ordine alla fattispecie descritta l'Ufficio, sulla base di quanto rappresentato dal titolare del
trattamento nell'atto di notifica di violazione e di quanto emerso nel corso dell'attività ispettiva,
nonché delle successive valutazioni, ha notificato all'Azienda, ai sensi dell'art. 166, comma 5, del
Codice, l'avvio di un procedimento per l'adozione dei provvedimenti di cui all'art. 58, par. 2, del
Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti
ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18,
comma 1, dalla legge n. 689 del 24/11/1981). In particolare, con atto n. XX del XX, che qui deve
intendersi integralmente riprodotto, l'Autorità ha ritenuto che l'Azienda ha effettuato il trattamento
di dati personali in questione in violazione dei principi di "integrità e riservatezza", di cui all'art. 5,
par. 1, lett. f), della "protezione dei dati fin dalla progettazione" di cui all'art. 25, par. 1, del
Regolamento, nonché degli obblighi in materia di sicurezza, di cui all'art. 32 del Regolamento.
L'Azienda ha fatto pervenire le proprie memorie difensive, ai sensi dell'art. 166, comma 6, del
Codice, senza chiedere di essere ascoltata dall'Autorità. In particolare, con nota del XX, ha
dichiarato che:
"la violazione ha comportato una perdita di riservatezza e di disponibilità dei dati. La duplice
natura della violazione si articola verosimilmente in due distinte fasi: (i) la perdita di
riservatezza si può constatare nel momento in cui gli attaccanti hanno effettivamente avuto
accesso ai sistemi informatici dell'ASL, nonché nel momento in cui hanno proceduto
all'esfiltrazione del dataset individuato; (ii) la perdita di disponibilità, al contrario, è avvenuta
al momento dell'exploit dell'attacco attraverso il "lancio" del programma CobaltStrike per il
criptaggio dei sistemi informativi della ASL";
"in relazione alla gravità della violazione non è stato possibile non considerarla come
elevata. Infatti, in ragione del numero e della tipologia di interessati coinvolti, nonché in
merito al volume e tipologie di dati personali impattati, non poteva potenzialmente ab initio
non considerarsi come avente un'alta probabilità di avere cagionato conseguenze lesive per
i diritti e le libertà degli interessati. Conseguenze che (…), non sembrerebbero, tuttavia,
essersi concretizzate in effettivi e riscontrabili nocumenti per gli interessati";
"per quanto attiene alla durata della violazione, bisogna opportunamente distinguere il
momento dell'exploit dell'attacco, da quanto emerso dalle attività di cyber threat intelligence
poste in essere dalla Leonardo S.p.A. nell'ambito dell'incarico affidato circa il sinistro privacy.
Infatti, (…), il primo momento in cui sono state rilevate tracce di accesso ai sistemi
informativi dell'ASL risalirebbe al XX, momento in cui sarebbe partita l'attività di scouting
silente che avrebbe portato al lancio del software malevolo nella giornata del XX. In un'ottica
di coerenza intellettuale, la violazione, benché veda effettivamente il suo momento
consumativo proprio il XX, non può definirsi conclusa se non nel momento in cui l'Azienda,
con il supporto dei fornitori nominati, ha effettivamente raggiunto la bonifica dei sistemi
interessati, con ripresa dei servizi annessi; bonifica intervenuta nel mese di XX";
"la violazione in questione ha impattato su trattamenti di tipo informatizzato aventi ad
oggetto, nello specifico, i software e dati relativi alle piattaforme applicative installate sui
server virtuali del Data Center Principale di Castellammare di Stabia (Na) e Data Center
Disaster Recovery di Brusciano (Na). Inoltre, sono stati coinvolti i Data Center delocalizzati
installati presso i Presidi Ospedalieri di Nola, Sorrento, Boscotrecase e di Castellammare di
Stabia presso i quali sono installati i software applicativi del Pronto Soccorso, ADT e
diagnostica per immagini. Si rappresenta ulteriormente che i servizi che hanno subito solo
parzialmente un'interruzione sono stati individuati rispetto ai seguenti item: (i) stipendi del
personale dipendente; (ii) acquisizione e liquidazione fatture fornitori e rimborsi. Si specifica
che l'erogazione dei servizi verso l'utenza e la somministrazione delle prestazioni sanitarie è
stata svolta in maniera continuativa senza soffrire interruzioni di qualsivoglia sorta, compresi
i servizi essenziali connessi alla procedura emergenziale da Covid-19";
"le finalità dei trattamenti di cui trattasi si rinvengono prevalentemente nella cura, diagnosi,
assistenza sanitaria e nelle finalità amministrative correlate alla cura dei pazienti e degli
utenti della ASL e nelle finalità di gestione del personale per quanto attiene ai lavoratori
dipendenti della medesima";
"in merito al numero di interessati coinvolti nella violazione, questi sono stati individuati in n.
842.118 dalla mastodontica attività posta in essere da parte della Task Force
multidisciplinare, appositamente istituita dall'ASL Napoli 3 Sud. Nella relazione conclusiva,
(…), è stato possibile suddividere il numero di interessati, rispetto alla tipologia, nel modo
che segue: - 841.965 pazienti/utenti; - 153 dipendenti";
"la violazione contestata (…) (è) causa diretta di un'azione intenzionale esterna, realizzata
da cybercriminali professionisti che, attraverso l'utilizzo di innovativi e sofisticati strumenti e
conoscenze tecnico-informatiche, si sono dolosamente e abusivamente introdotti nel sistema
informatico aziendale, al fine di accedere indebitamente e illegittimamente ai dati e alle
informazioni in possesso del Titolare del trattamento. Tant'è vero che, nell'immediatezza
dell'azione illecita subita, si è provveduto senza ritardo a formalizzare denuncia-querela
presso l'Autorità Giudiziaria, al fine di cristallizzare anche in sede penale il fatto-reato che
vede l'ASL quale persona offesa";
"è indubbio che l'elemento soggettivo eventualmente contestabile all'Azienda debba
ricondursi, tuttalpiù, nell'alveo della responsabilità colposa da fatto illecito altrui, dovendosi
categoricamente escludere qualsivoglia profilo di addebito a titolo di dolo. Infatti, la natura
squisitamente colposa della violazione si palesa laddove, rispetto a una valutazione ex post
delle circostanze in cui è avvenuto il predetto sinistro, emergerebbe - alla luce del paventato
grado di sviluppo tecnologico di allora – la non perfetta aderenza del perimetro di sicurezza
implementato rispetto ai più alti standard disponibili all'epoca, ciò anche tenuto
doverosamente conto delle effettive possibilità di investimento sul tema a disposizione della
Pubblica Amministrazione";
"senz'ombra di dubbio, l'Azienda si era comunque prodigata nella costruzione di
un'infrastruttura di sicurezza, finalizzata alla protezione degli asset informativi della
medesima. Ne è prova l'adesione a numerose convenzioni e/o lotti incentrati sull'erogazione
di servizi di connettività e sicurezza, rappresentative di uno standard adeguato, all'epoca,
per le Autorità e Agenzie di settore. Rilevano, in tal senso e a titolo esemplificativo, le
adesioni ai lotti: XX";
"sin dai primi momenti in cui si è verificata la violazione, il Titolare poneva in essere una
serie di azioni volte a mitigare gli effetti nascenti dal data breach. Innanzitutto, risultando
sospesi diversi sistemi e servizi ICT, l'omonimo reparto ha avviato le più immediate azioni di
contenimento, tra le quali l'isolamento dell'infrastruttura e dei servizi ICT, rendendoli
temporaneamente indisponibili, e l'interruzione di tutti i servizi informatici, indipendentemente
dal loro posizionamento, per evitare la propagazione dell'infezione; ciò ha comportato,
nell'immediato, esclusivamente un disservizio limitato delle prestazioni nei confronti degli
utenti finali, mentre gli altri servizi strategici non sono risultati impattati in quanto ospitati da
terze parti";
"per ridurre al minimo la perdita di disponibilità conseguente alla violazione privacy, l'Azienda
• attività di incident response e crisis management, incluse indagini ed analisi
approfondite, mirate all'identificazione delle dinamiche associate all'incidente e alla
definizione di opportune azioni di contenimento e risposta della minaccia;
• attività di Vulnerability Assessment volta alla verifica dinamica della sicurezza dei
dispositivi di rete, allo scopo di identificare eventuali vulnerabilità, configurazioni di
sicurezza errate e carenze sui livelli di protezione attivi tali da esporre l'Azienda ad
attacchi interni ed esterni;
• design e progettazione dell'infrastruttura Green zone ove sono migrate tutte le
applicazioni sensibili di pertinenza dell'Azienda, nell'ambito del programma di
consolidamento delle misure di sicurezza intrapreso dall'Amministrazione;
• attività di monitoraggio continuativo degli eventi di sicurezza, per il tramite del
fornitore Leonardo S.p.A., anche alla luce delle crescenti minacce informatiche per le
organizzazioni. Infatti, è divenuto fondamentale rivedere l'approccio alla gestione del
rischio e individuare strategie per ridurre la vulnerabilità delle infrastrutture
informatiche. In tale ottica, la presente attività di monitoraggio continuativo è stata
svolta per mezzo di un SOC h/24, 365 giorni l'anno, composto da un team di specialisti
(analisti, system engineer, security tester e malware specialist);
• viene utilizzata la piattaforma di Security Information and Event Management (SIEM)
presente presso le infrastrutture Leonardo, con attività aggiuntive di Incident Handling
da remoto. A supporto di tale attività sono presenti in sede n. 2 presidi fissi di Leonardo
e n. 1 coordinatore da remoto per la gestione delle anomalie/minacce informatiche,
segnalate attraverso il servizio di monitoraggio in real time, con interazione diretta con
il SOC Leonardo, responsabile della definizione delle attività di gestione delle
anomalie. Tale attività delle risorse in presidio è stata svolta in collaborazione con il
personale della scrivente Azienda, in modo da favorire l'interazione del personale
interno sui processi di gestione degli incidenti di sicurezza e sulle tecnologie in uso;
• supporto specialistico del fornitore per tuning del servizio di monitoraggio
continuativo, finalizzato a supportare l'Azienda nell'eseguire tale attività sulle
piattaforme di erogazione del servizio stesso;
• attività di device management, volto a gestire e monitorare continuativamente le
piattaforme di protezione perimetrale e la piattaforma centralizzata di management
EDR;
• implementazione del servizio migliorativo di Managed Detection & Response (MDR)
volto a (i) ridurre al minimo le possibili finestre d'esposizione a eventuali attacchi
informatici per gli endpoint in perimetro; (ii) effettuare attività di remediation automatica
per gli incidenti riconosciuti come "veri positivi" ed a criticità massima; (iii) proteggere
gli endpoint anche in assenza momentanea di connessione ad Internet; (iv) consentire
la possibilità di isolare dalla rete un endpoint compromesso conservandone il controllo
dalla piattaforma in cloud e, infine, (v) proteggere in tempo reale dagli attacchi
conosciuti e non che utilizzano metodologie e/o indicatori noti;
• attività di Policy Review, ossia svolgimento di analisi dei flussi perimetrali (inbound e
outbound) per una valutazione rapida ed efficace dello stato di conformità della
struttura complessa di firewall;
• Cyber Threat Intelligence, Early Warning Data Breach, brand abuse e anti-phishing
con takedown;
• progettazione di un sistema per la sicurezza delle applicazioni (Web Application
Firewall) e di sistemi di protezione perimetrale dei siti periferici (Next Generation
Firewall);
• Cyber Security Awareness per workforce operativa; la presente attività è volta a
proporre contenuti formativi che, tramite tecniche di storytelling, puntano a conferire a
tutto il personale dell'Azienda una conoscenza dei concetti e delle best practices
afferenti alla sicurezza informatica, con il fine ultimo di mitigare l'esposizione della
struttura alle minacce che fanno leva sul fattore umano;
• campagne di Phishing simulato per tutto il personale dell'Azienda mediante l'utilizzo
di strumenti specifici predisposti dal fornitore. L'azione si pone l'obiettivo di valutare il
livello di esposizione dell'Amministrazione a minacce veicolate tramite e-mail e
aumentare la consapevolezza del personale e, quindi, la robustezza dell'intera
Azienda";
"appare opportuno evidenziare il costante ed elevato grado di cooperazione che l'Azienda ha
mantenuto con l'Autorità Garante per la Protezione dei Dati Personali sin dal primo momento
in cui la stessa ha avuto contezza circa il verificarsi del sinistro in questione" evidenziando
"la frequenza con cui la scrivente Azienda ha inteso garantire un adeguato flusso informativo
in merito a tutte le evidenze ottenute in relazione all'attività delittuosa subita. Infatti, ai sensi
dell'art. 33 GDPR, l'Azienda ha proceduto già in data XX alla notificazione preliminare, nei
termini stabiliti dalla legge, a cui hanno fatto seguito le successive integrative delXX e XX,
XX e, infine, la conclusiva del XX"; "l'attività informativa non si è esaurita in meri
adempimenti scadenzati, bensì in un'attività dinamica, costante, collaborativa e propositiva
al fine di intraprendere correttamente tutti gli step necessari alla risoluzione del sinistro e al
supporto degli interessati coinvolti indirettamente dall'attacco hacker";
"la scrivente Azienda, in sede di comunicazione agli interessati, ha inteso curare ogni singolo
aspetto al fine di raggiungere efficacemente tutti gli interessati, anche potenzialmente,
coinvolti nella violazione";
"l'Azienda ha (…) provveduto al riscontro nei termini di legge della richiesta di informazioni
aggiuntive ex art. 157 d.lgs. n. 196/2003, pervenuta in data XX. Infine, il più cristallino
elemento in senso collaborativo con l'Autorità è senz'altro rappresentato dal supporto fornito
alla stessa in sede di attività ispettiva, effettuata ai sensi dell'art. 58, par. 1, lett. a), e) ed f),
GDPR e degli artt. 157 e 158 d.lgs. n. 196/2003, nonché ai sensi degli artt. 21 e 22 del
Regolamento n. 1/2019 del Garante per la protezione dei dati personali, svolta presso la
sede di Castellammare di Stabia (NA) - C.so Alcide De Gaspari n. 167, nelle giornate del
XX, XX e XX";
"la suddetta attività ha coinvolto sia le componenti aziendali (nello specifico UOC ICT e
Ufficio Privacy, supportato dal Responsabile per la Protezione dei Dati Personali) sia le
componenti esterne che a vario titolo hanno partecipato alla gestione del sinistro privacy in
parola. Ebbene, in tutte le tre giornate l'Autorità ha avuto modo di "toccare con mano"
l'impegno e i progressi concreti che l'Azienda ha messo in campo sia per mitigare gli effetti
nefasti dell'incidente che per prevenire e ridurre al minimo il rischio che situazioni simili
possano nuovamente configurarsi. Nello specifico, si è provveduto a rispondere
puntualmente alle richieste avanzate dai Funzionari in sede di auditing, anche attraverso il
supporto di presentazioni e produzioni documentali allegate ai verbali redatti in loco";
"con il supporto della cospicua documentazione già in possesso di codesta ill.ma Autorità,
appare evidente come l'Azienda abbia fornito il massimo supporto e collaborazione
nell'acquisizione di quanti più elementi istruttori utili alla puntuale delimitazione del fatto e
alla corretta determinazione delle conseguenze e dei riflessi sui dati personali e sui diritti e le
libertà degli interessati";
"(…), le categorie di dati personali impattati dalla violazione, circa gli utenti e i pazienti sono
(i) dati personali identificativi (cognome e nome, codice fiscale, numero di telefono, indirizzo
mail) e (ii) dati relativi alla salute ex art. 9 GDPR (prenotazione visite mediche con
indicazioni di sospetto diagnostico, esito tampone Covid, dati di vaccinazione). Per quanto
attiene ai dipendenti, invece, le categorie di dettaglio dei dati personali impattati sono (i)
attività del personale (turni dipendenti, schede di performance, rendiconto di presenze in
servizio); (ii) documentazione contabile del personale (dati bancari e fatture elettroniche); (iii)
documenti identificativi personali e (iv) referti/certificazioni";
"l'Azienda non ha aderito, né aderisce, allo stato, ad alcun codice di condotta ai sensi
dell'art. 40 GDPR. Tuttavia, si rappresenta l'intrapresa attività aziendale volta
all'implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (S.G.S.I.).
Tale circostanza è ben evidenziata anche dalla cospicua attività già svolta da parte della
scrivente Azienda a seguito della violazione sul tema di sicurezza delle informazioni che ha
portato al compimento di n. 5 giornate formative erogate in favore dei nominati Referenti
aziendali per la Sicurezza delle Informazioni e dalla messa a disposizione, in favore di tutto il
personale aziendale, di una piattaforma FAD sulla materia in questione con rilevamento del
grado di consapevolezza raggiunto dai discenti. Inoltre, di concerto con i partner
contrattualizzati, si è provveduto ad adottare specifiche policy sul tema della sicurezza.
Infine, l'Azienda ha adottato un documento espressivo del contesto interno ed esterno della
medesima, oltre al documento di valutazione del rischio specificatamente predisposto per la
sicurezza delle informazioni";
"è doveroso evidenziare (…), come l'Azienda a seguito dell'evidente exploit del XX abbia
comunque reagito prontamente, garantendo in maniera continuativa tutti i servizi sanitari e
amministrativo-sanitari nei confronti dei pazienti/utenti e adoperandosi, altresì, con successo
alla predisposizione di canali alternativi rispetto a quelli ufficiali per garantire i servizi verso i
dipendenti che di fatto sono continuati in maniera regolare";
"a ciò si aggiunga il rilevante dato per cui la contestata violazione non sembrerebbe aver
avuto riverberi significativi in termini di effetti della stessa in quanto, nonostante l'ampio
raggio di pubblicità e messa a disposizione di canali di informazione appositamente
predisposti per l'utenza (nello specifico, la casella e-mail XX e relativo numero verde) non
sono pervenuti da parte di quest'ultima significativi contatti, lamentele, ricorsi e/o reclami e
messe in mora. (…) non può non prendersi in considerazione anche la circostanza in cui
l'attività criminosa è avvenuta, ossia durante uno dei momenti storici più critici per la sanità
mondiale, dovuto alla propagazione dell'infezione del virus SARS-CoV-2. Infatti, deve
riconoscersi l'enorme impatto che la pandemia ha avuto sulla vita della popolazione e
sull'operato delle Pubbliche Amministrazioni in campo sanitario, messe a dura prova da
un'emergenza sanitaria di tale portata che per la prima volta sono state costrette a
fronteggiare numerose difficoltà tanto a livello operativo e gestionale, quanto a livello di
spesa. La rapidissima propagazione della pandemia ha costretto, altresì, le Aziende
sanitarie di tutto il mondo ad un repentino cambio di organizzazione dell'attività lavorativa di
ogni giorno, immettendo in via generalizzata nuovi strumenti (ad es. VPN) per consentire, da
una parte, la possibilità di smart and remote working, e, dall'altra parte, permettendo senza
soluzione di continuità l'espletamento delle mansioni in favore dell'altissimo numero di
soggetti impattati dal virus. In ultima istanza, giova in questa sede evidenziare che nel
contesto della pandemia, benché fosse volontà di codesta Azienda, anche nelle more
dell'incidente, proseguire con i percorsi pianificati di implementazione lato sicurezza (a titolo
esemplificativo la MFA con profili di segregazione e segmentazione delle reti) tale intento
risultava scarsamente praticabile nel breve termine. Ciò in ragione del fatto che le suddette
operazioni avrebbero comportato, a causa della necessaria sostituzione e lavorazione di tutti
gli account di dominio aziendali, l'interruzione di servizi fondamentali nell'ambito della
continuità assistenziale", con ciò ponendo "l'attenzione sull'evidente difficoltà scaturente da
una situazione emergenziale del tutto eccezionale, imprevedibile e senza precedenti cui si è
cercato di porre rimedio con spirito pronto e resiliente…".
4. Esito dell'attività istruttoria
Preso atto di quanto rappresentato dall'Azienda nel corso del procedimento, si osserva che:
per "dato personale" si intende "qualsiasi informazione riguardante una persona fisica
identificata o identificabile ("interessato")" e per "dati relativi alla salute" "i dati personali
attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di
assistenza sanitaria, che rivelano informazioni relative al suo stato di salute" (art. 4, par. 1,
nn. 1 e 15 del Regolamento). Il Considerando n. 35 del Regolamento precisa poi che i dati
relativi alla salute "comprendono informazioni sulla persona fisica raccolte nel corso della
sua registrazione al fine di ricevere servizi di assistenza sanitaria"; "un numero, un simbolo o
un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini
sanitari". Questi ultimi dati meritano una maggiore protezione dal momento che il contesto
del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali
(Cons. n. 51 del Regolamento);
il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione
dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali
devono essere "trattati in maniera da garantire un'adeguata sicurezza (…), compresa la
protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali" (art. 5, par. 1,
lett. f) del Regolamento);
in materia di sicurezza del trattamento, il titolare del trattamento e il responsabile del
trattamento, "tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di
varia probabilità e gravità per i diritti e le libertà delle persone fisiche (…) mettono in atto
misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al
rischio […]"; "nel valutare l'adeguato livello di sicurezza si tiene conto in special modo dei
rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita,
dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o
illegale, a dati personali trasmessi, conservati o comunque trattati" (art. 32, parr. 1 e 2 del
Regolamento);
anche qualora il titolare del trattamento si avvalga di un responsabile per lo svolgimento di
alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il
profilo della sicurezza (Cons. n. 81 e art. 32, parr. 1, lett. d) e 4, del Regolamento), spetta in
ogni caso, al medesimo titolare "mettere in atto misure adeguate ed efficaci [e a …]
dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa
l'efficacia delle misure" adottate (Cons. n. 74 del Regolamento). Infatti, il titolare rimane
responsabile dell'attuazione delle misure tecniche e organizzative adeguate per garantire e
essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento
(artt. 5, par. 2, e 24 del Regolamento; cfr. le "Linee guida 07/2020 sui concetti di titolare del
trattamento e di responsabile del trattamento ai sensi del del GDPR", adottate dal Comitato
europeo per la protezione dei dati il 7 luglio 2021, spec. punto n. 41);
l'art. 25, par. 1, del Regolamento, nell'enucleare il principio della protezione dei dati fin dalla
progettazione, prevede che "tenendo conto dello stato dell'arte e dei costi di attuazione,
nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone
fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all'atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure
tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo
efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento
le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati" (cfr. anche Cons. n. 75 del Regolamento);
secondo il Considerando n. 78 del Regolamento il titolare dovrebbe adottare politiche interne
e attuare misure che soddisfino il citato principio. Secondo le "Linee guida 4/2019
sull'articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita"
adottate dal Comitato europeo per la protezione dei dati il XX, il citato Considerando
"suggerisce una responsabilità dei titolari, ossia quella di valutare costantemente se stiano
utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte
contrastino effettivamente le vulnerabilità esistenti. Inoltre, i titolari dovrebbero effettuare
revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali,
nonché della procedura per la gestione delle violazioni dei dati". "L'obbligo di mantenere,
verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi
preesistenti. Ciò implica che i sistemi progettati prima dell'entrata in vigore del Regolamento
devono essere sottoposti a verifiche e manutenzione per garantire l'applicazione di misure e
garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace" (cfr. spec.
punti nn. 7, 38, 39 e 84);
con particolare riferimento agli elementi principali della progettazione e dell'impostazione
predefinita, relativi all'integrità e alla riservatezza, il titolare deve:
valutare i rischi per la sicurezza dei dati personali, considerando l'impatto sui diritti e le
libertà degli interessati, e contrastare efficacemente quelli identificati;
tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello
sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno
di accedere ai dati personali per svolgere le proprie funzioni, e limitare l'accesso di
conseguenza;
proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il
loro trasferimento che durante la loro conservazione;
registrare gli eventi rilevanti ai fini della sicurezza delle informazioni e monitorandoli per
rilevare in modo tempestivo eventuali incidenti di sicurezza (cfr. le citate "Linee guida 4/2019
sull'articolo 25", spec. punto n. 85).
le "Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD"
adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023
( h t t p s : / / e d p b . e u r o p a . e u / s y s t e m / f i l e s / 2 0 2 3 -
04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf) chiariscono
che "la capacità di individuare, trattare e segnalare tempestivamente una violazione deve
essere considerata un aspetto essenziale" delle misure tecniche e organizzative che il
titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell'art. 32 del
Regolamento, per garantire un livello adeguato di sicurezza dei dati personali (punto n. 41).
Al riguardo, inoltre, il Considerando n. 85 precisa che "una violazione dei dati personali può,
se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o
immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li
riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite
finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla
reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o
qualsiasi altro danno economico o sociale significativo alla persona fisica interessata".
Analogamente, secondo il Considerando n. 87, "è opportuno verificare se siano state messe
in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire
immediatamente se c'è stata violazione dei dati personali e informare tempestivamente
l'autorità di controllo e l'interessato. È opportuno stabilire il fatto che la notifica sia stata
trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della
gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per
l'interessato".
5. Valutazioni del Garante e conclusioni.
A fronte di quanto sopra rappresentato, si rileva che i trattamenti effettuati nel contesto in esame
richiedono l'adozione dei più elevati standard di sicurezza al fine di non compromettere la
riservatezza, l'integrità e la disponibilità dei dati personali di milioni di interessati. Ciò, tenendo
altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti
anche a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento
richiedono l'adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle
espressamente individuate dall'art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i
rischi che i trattamenti presentano.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del
trattamento nel corso dell'istruttoria e considerato che, salvo che il fatto non costituisca più grave
reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o
circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità
nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri
del Garante" gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra
richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati
dall'Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei
casi previsti dall'art. 11 del regolamento del Garante n. 1/2019.
Dall'esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita
dall'Azienda è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f),
25 e 32 del Regolamento, in relazione ai seguenti profili:
5.1. Mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati
personali
Nel corso dell'istruttoria è emerso che "la ricostruzione degli eventi colloca il potenziale primo
accesso dell'attaccante alla VPN di ASL Napoli 3 SUD approssimativamente alle ore XX del XX, in
concomitanza con l'inizio di un'attività di scansione interna del servizio Remote Desktop ed eventi
di accesso RDP anomali ad asset strategici" e che i soggetti malintenzionati hanno effettuato una
serie di operazioni propedeutiche all'attacco informatico, a seguito delle quali, sono stati prodotti
"alert generati dall'apparto di sicurezza XX" da cui sono emersi "evidenti segnali anomali che
vedono un notevole incremento delle scansioni e dei comportamenti sospetti nei giorni che
precedono l'accesso in VPN dell'attore malevolo", in particolare dal XX, "ulteriori autenticazioni
amministrative anomale venivano registrate durante le ore serali del XX, da un sistema avente
indirizzo IP XX" nonché il XX "molteplici allarmi relativi a comandi e ad attività di enumerazione
sospetti, eseguiti sfruttando il protocollo SMB, in concomitanza con l'accesso in VPN da parte
dell'attaccante, utilizzando l'account XX" (v. pagg. 12 e 13, 16 - 18 del report XX).
L'Azienda ha dichiarato che "l'esfiltrazione dei dati, presumibilmente, è avvenuta fra XX e XX e
che i sistemi di logging non rilevavano l'intero traffico uscente dalle postazioni di lavoro
dell'Azienda ma solo gli eventi principali", che "l'incidente è stato […] rilevato il XX mattina da un
operatore sanitario che, riscontrato un malfunzionamento dell'applicazione (IL), ha contattato la
persona reperibile dei sistemi informatici che, a seguito di specifiche verifiche, constatando la
modifica delle credenziali di amministratore di dominio, ha dato l'allarme". In particolare, l'Azienda
ha dichiarato che al momento in cui si è verificato l'attacco informatico "disponeva di un firewall XX
per la difesa perimetrale su cui non c'era presidio h24, un firewall XX per difesa interna nonché
agent XX (XX) che, al momento dell'incidente di XX, era in fase di roll-out, ovvero non installato su
tutte le macchine, per il monitoraggio interno per deep defence. Non vi era, pertanto,
un'organizzazione strutturata per la lettura e analisi quotidiana dei log" e "disponeva di
limitatissime risorse tecnologiche e umane" (v. verbali del XXp. 4, XX p. 4, e del XX, p. 2).
Da quanto sopra rappresentato, è emersa una gestione inadeguata dei predetti allarmi, che non
ha consentito all'Azienda di venire tempestivamente a conoscenza della violazione dei dati
personali occorsa. Pertanto, la mancata adozione di misure adeguate a rilevare tempestivamente
la violazione dei dati personali non è risultata conforme alle disposizioni di cui all'art. 5, par. 1, lett.
f), e all'art. 32, par. 1, del Regolamento che, tenuto conto di quanto previsto dalle citate "Linee
guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD", richiede che il
titolare e il responsabile del trattamento debbano mettere in atto misure per "individuare […]
tempestivamente una violazione" (punto n. 41).
5.2. Mancata adozione di misure adeguate a garantire la sicurezza delle reti
Nel corso dell'istruttoria è emerso che l'Azienda non aveva adottato adeguate misure per
segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti,
nonché i sistemi (server) utilizzati per i trattamenti. In particolare "la mancata segmentazione tra i
servizi critici, gli applicativi e le postazioni di lavoro [hanno comportato] l'estensione della singola
compromissione all'intera infrastruttura" (v. notifica del XX). Infatti, come emerso nel corso delle
attività ispettive "al momento della violazione dei dati personali, non erano previste misure di
sicurezza relative alla segmentazione delle reti, con particolare riferimento a quelle adottate per
limitare le comunicazioni tra le reti a cui sono attestati i sistemi server, nonché le comunicazioni tra
le predette reti e quelle a cui sono attestate le postazioni di lavoro degli operatori" (v. verbale del
XX, pp. 3 e 4).
Al riguardo, nell'ambito delle attività di analisi e ripristino condotte da Leonardo S.p.a. in relazione
alla violazione dei dati personali in esame, è stato definito un documento denominato "Progressi
delle attività di rispristino e relative misure di sicurezza adottate" (di seguito "Piano ripristino") che
prevede l'adozione, tra le altre, di specifiche azioni volte alla segregazione e messa in sicurezza
dei diversi sistemi gestiti dall'Azienda. In particolare, tali azioni prevedono una "soluzione
architetturale […] utile al ripristino dei servizi critici precedentemente impattati nell'attacco
informatico verificatosi nel mese di XX. La progettazione e l'implementazione di tale zona
infrastrutturale denominata "Green Zone" è caratterizzata da alcune peculiarità, quali:
segmentazione e segregazione" e "la creazione di diverse VLAN quali: la VLAN di Management,
una di Demilitarized Zone, ossia una DMZ, un'ulteriore dedicata ai servizi infrastrutturali ed infine
una dedicata alla componente Server Farm. Questa zona segmentata sarà segregata e quindi
controllata per mezzo di policy Firewall specifiche e puntuali tramite l'apparato XX" (v. notifica del
XX).
Peraltro, al momento in cui si è verificata la violazione dei dati personali, l'accesso remoto, tramite
VPN, alla rete dell'Azienda, avveniva mediante una procedura di autenticazione informatica
basata solo sull'utilizzo di username e password. In relazione a tale aspetto, l'Azienda, solo a
seguito dell'incidente, ha ritenuto necessario attivare una procedura con doppio fattore di
autenticazione (v. verbale del XX, p. 3).
La mancata adozione di misure adeguate a garantire la sicurezza delle reti, sia in relazione alla
segmentazione e segregazione delle stesse, sia con riferimento all'accesso remoto tramite VPN,
non è risultata conforme alle disposizioni di cui all'art. 5, par. 1, lett. f), e all'art. 32, par. 1, del
Regolamento che, nel caso in esame, richiede che il titolare e il responsabile del trattamento
debbano mettere in atto misure per "assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento" (lett. b)).
5.3. La protezione dei dati fin dalla progettazione
Come rappresentato nei paragrafi precedenti, risulta che il titolare non aveva adottato misure e
garanzie adeguate ad attuare efficacemente il principio di "integrità e riservatezza" e a proteggere
da trattamenti non autorizzati o illeciti. Alla luce di quanto sopra esposto, si ravvisano gli estremi,
altresì, di una violazione del descritto principio della "protezione dei dati fin dalla progettazione", di
cui all'art. 25, par. 1, del Regolamento, da parte dell'Azienda, considerati i rischi per i diritti e le
libertà degli interessati derivanti dai trattamenti in esame, in relazione alla natura, all'ambito di
applicazione, al contesto e alle finalità del trattamento.
Per tali ragioni si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del
trattamento di dati personali effettuato dall'Asl Napoli 3 Sud, in violazione del principio di "integrità
e riservatezza", di cui all'art. 5, par. 1, lett. f), del Regolamento; del principio della "protezione dei
dati fin dalla progettazione" di cui all'art. 25, par. 1, del Regolamento e degli obblighi in materia di
sicurezza di cui all'art. 32 del Regolamento.
La violazione delle predette disposizioni rende applicabile, ai sensi dell'art. 58, par. 2, lett. i), la
sanzione amministrativa prevista dall'art. 83, parr. 4 e 5 del Regolamento.
In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e considerato
che l'Azienda ha rappresentato, nei termini sopra illustrati, di aver adottato ulteriori specifiche
misure ritenute necessarie per scongiurare futuri analoghi accadimenti, non ricorrono i presupposti
per l'adozione di provvedimenti di tipo prescrittivo o inibitorio, di cui all'art. 58, par. 2, del
Regolamento.
6. Adozione dell'ordinanza ingiunzione per l'applicazione della sanzione amministrativa
pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166,
comma 7, del Codice).
La violazione degli artt. 5, par. 1, lett. f), 25, par. 1 e 32 del Regolamento, causata dalla condotta
posta in essere dall'Azienda, è soggetta all'applicazione della sanzione amministrativa pecuniaria
ai sensi dell'art. 83, parr. 4 e 5 del Regolamento.
Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché
dell'art. 166 del Codice, ha il potere di "infliggere una sanzione amministrativa pecuniaria ai sensi
dell'articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di
tali misure, in funzione delle circostanze di ogni singolo caso" e, in tale quadro, "il Collegio [del
Garante] adotta l'ordinanza ingiunzione, con la quale dispone altresì in ordine all'applicazione
della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito
web del Garante ai sensi dell'articolo 166, comma 7, del Codice" (art. 16, comma 1, del
Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni
singolo caso, va determinata nell'ammontare tenuto conto dei principi di effettività, proporzionalità
e dissuasività, indicati nell'art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all'art.
83, par. 2, del Regolamento in relazione ai quali, per i casi in esame, si osserva che:
l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati
personali effettuata dal titolare e da alcune istanze pervenute al Garante sull'accaduto (art.
83, par. 2, lett. h) del Regolamento);
il trattamento dei dati effettuato dall'Azienda ha riguardato dati idonei a rilevare informazioni
sulla salute di un numero molto rilevante di interessati (art. 83, par. 2, lett. a) e g) del
Regolamento);
il titolare del trattamento non ha manifestato alcun atteggiamento intenzionale, in quanto
l'episodio risulta essere stato determinato da un comportamento doloso da parte di un
soggetto terzo, denunciato formalmente alla polizia postale (art. 83, par. 2, lett. a) e b) del
Regolamento);
l'Azienda ha preso in carico la problematica introducendo, dopo l'evento occorso, una serie
diversificata di misure volte non solo ad attenuare il danno subito dagli interessati ma anche
a ridurre la replicabilità dell'evento stesso (art. 83, par. 2, lett. c) del Regolamento);
il titolare, sin da subito, ha dimostrato un altissimo grado di cooperazione con l'Autorità in
ogni fase dell'istruttoria, ivi compresa quella ispettiva (art. 83, par. 2, lett. f) del
Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l'ammontare
della sanzione pecuniaria prevista dall'art. 83, parr. 4 e 5 del Regolamento, nella misura di euro
30.000,00 (trentamila) per la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, quale
sanzione amministrativa pecuniaria ritenuta, ai sensi dell'art. 83, par. 1, del Regolamento,
effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del
Garante del presente provvedimento, prevista dall'art. 166, comma 7, del Codice e art. 16 del
Regolamento del Garante n. 1/2019, in considerazione dell'elevato numero di soggetti coinvolti e
della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all'art. 17 del regolamento del Garante n. 1/2019
concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti
e all'esercizio dei poteri demandati all'Autorità.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l'illiceità del trattamento di dati personali effettuato dall'Asl Napoli 3 Sud, per la
violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, nei termini di cui in
motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell'art. 166 del Codice,
all'Asl Napoli 3 Sud, con sede legale a Torre del Greco, in Via Marconi, 66, C.F. e P. Iva
06322711216, in persona del legale rappresentante pro-tempore, di pagare la somma di
euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per la violazione
indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell'art.
166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro
il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
alla predetta Asl Napoli 3 Sud, in caso di mancata definizione della controversia ai sensi
dell'art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila)
secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente
provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della
legge n. 689/1981.
DISPONE
ai sensi dell'art. 166, comma 7, del Codice, la pubblicazione per intero del presente
provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all'art. 17
del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna,
finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.
Ai sensi dell'art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011,
avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi
all'autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di
comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede
all'estero.
Roma, 28 settembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei 10-12-2023 20:35
Richiedi una Consulenza