Attacco informatico all’ospedale San Raffaele di Milano

San_Raffaele_Milano_Data_Breach

UPDATE 23.05.2020

Forse c’è stato troppo clamore, o forse no.
Quello che è certo è che @LulzSec_ITA ieri aveva minacciato la pubblicazione dei dati sottratti “TUTTI, in CHIARO!”.  Si è visto poco o il nulla. 

 

Da parte sua il @SanRaffaeleMI aveva dichiarato che l’attacco informatico “… si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile… le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse”.
Il problema è proprio questo: la mancata protezione dei dati personali. Qualora venisse ravvisato un dolo ai danni dei diretti interessati, l’Ospedale San Raffaele potrebbe essere sanzionato dal Garante per la Protezione dei Dati Personali.
E’ il punto 39 presente nel REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che meglio ci fa comprendere quali siano state le mancanze del Titolare del trattamento dei dati personali del San Raffaele, probabile che qualche articolo o comma del GDPR gli sia sfuggito.

 

Spetta infatti al Garante ravvisare un comportamento lesivo ai danni delle persone che hanno messo i propri dati personali “nelle mani” dell’Ospedale milanese. Spetta al Garante decidere se i dati definiti “obsoleti e dismessi” da portavoce del San Raffaele abbiano o meno recato un danno oggettivo alle persone interessate dal furto di dati. 
Perchè il data breach c’è stato e i dati, a dir la verità, non sembrerebbero così obsoleti e dismessi come si è voluto far credere.
Se il Garante per la Protezione dei Dati Personali dovesse ravvisare un comportamento non conforme al Regolamento UE  da parte del Titolare dei dati personali del San Raffaele, anche in base all’art. 4 comma 12. E nel caso sussistesse anche la mancata comunicazione del data breach entro le 72 ore – art. 33 -, si spera vengano attuate tutte le disposizioni presenti agli artt. 58 e 83 così come stabilito dal REGOLAMENTO (UE) DEL PARLAMENTO EUROPEO E DEL CONSIGLIO.

 



 

Nel pieno dell’emergenza COVID19, l’ospedale San Raffaele di Milano è stato vittima di un attacco informatico. Sottratti i dati personali di pazienti, medici, infermieri e impiegati.

Nomi, codici fiscali, account email e password sottratti durante un attacco informatico avvenuto tra marzo e aprile. Anonymous LulzSec Italia ha deciso di renderlo pubblico ieri sul proprio account Twitter, solo dopo essersi assicurato che la falla presente nei sistemi IT dell’Ospedale milanese fosse stata risolta.

Nel primo tweet pubblicato, LulzSec Italia ha chiesto al San Raffaele se il furto di dati fosse stato o meno comunicato al Garante per la Protezione dei Dati Personali come previsto dal GDPR entrato in vigore il 25 maggio 2018.

tweet_LulzSec_Italia

Un tweet che è passato inosservato per ore. Quasi la totalità dei media inizialmente non ha riportato la notizia, e quando la Direzione del San Raffaele ha deciso di rilasciare un comunicato stampa, lo ha fatto asserendo che

“…la situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio e le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse – e che la Direzione ospedaliera – è già in contatto con gli organi competenti per fornire ogni utile chiarimento”.

Questa dichiarazione stizziva gli “attivisti anonimi” e dopo poche ore veniva infatti pubblicato un nuovo tweet con allegata una lista di dati personali di una quarantina di pazienti che in passato avevano ricevuto cure sanitarie da parte dell’Ospedale San Raffaele.

Attacco informatico all'ospedale San Raffaele di Milano 1

LulzSec Italia dà appuntamento a oggi 22 maggio quando pubblicherà in chiaro tutti i dati in loro possesso.

 

Fonte: @LulzSec_ITA Fanpage