L’Azienda USL di Modena dovrà versare una sanzione amministrativa di 10mila euro per non aver adottato misure adeguate a garantire la sicurezza dei propri sistemi informatici. Lo ha stabilito il Garante per la protezione dei dati personali al termine delle verifiche avviate in seguito all’attacco hacker che colpì l’azienda sanitaria nel 2023.
In quell’occasione, i cybercriminali pubblicarono nel dark web file contenenti dati sanitari, dopo aver intimato all’Ausl il pagamento di un riscatto pari a 3 milioni di euro in criptovalute entro 18 ore. L’azienda scelse di non cedere al ricatto e denunciò immediatamente l’accaduto alle autorità competenti.
Gli accertamenti hanno evidenziato che gli hacker riuscirono ad accedere alla rete aziendale utilizzando credenziali VPN in uso a un tecnico. Secondo il Garante, il successo dell’attacco è stato favorito anche da alcune carenze nei sistemi di sicurezza dell’Ausl: mancavano infatti adeguati alert e filtri di monitoraggio in grado di rilevare attività sospette.
Le verifiche hanno inoltre accertato l’assenza di un Security Operation Center e la presenza di un presidio di sorveglianza limitato al solo orario d’ufficio.
Nel determinare l’entità della sanzione, il Garante ha comunque considerato diversi elementi attenuanti, tra cui la tempestiva notifica della violazione, la piena collaborazione fornita dall’azienda durante l’istruttoria e le ispezioni, nonché le misure correttive e di rafforzamento della sicurezza adottate successivamente all’incidente.