L’ennesimo data breach ad una struttura sanitaria ha mostrato la vulnerabilità del tessuto informatico di molte aziende sparse sul territorio; la ASL 1 di Avezzano, Sulmona e L’Aquila non è stata certamente la prima e con tutta probabilità non sarà nemmeno l’ultima.
Per l’ennesima volta sono stati trafugati e pubblicati dati sanitari di malati, di minori, in totale spregio della dignità e del decoro; queste però sono le “regole” imposte dagli hacker e sono note da anni. Non dobbiamo, infatti, dimenticare tutti quei data breach più o meno ignorati, passati sotto silenzio, o meno clamorosi ma ugualmente gravi tra cui, a mero titolo di esempio:
ULSS6 Euganea – Regione Veneto
ASL 3 Napoli: attacco ransomware
Attacco all’Ospedale Macedonio Melloni
Data breach all’Azienda Sanitaria Provinciale di Messina
Ospedale San Giovanni Addolorata: data breach
A chi si domanda se il problema sia l’assenza di regole che mettano al sicuro dati e infrastrutture si può rispondere: no, le regole ci sono ma non vengono osservate. Si potrebbe citare (come sempre) la tanto vituperata Circolare 2/2017 di AgID sulle misure minime di sicurezza ICT per le pubbliche amministrazioni. Si potrebbero citare le altrettanto note linee guida sulla formazione, gestione e conservazione del documento informatico, sempre di AgID. Si potrebbero citare, infine, i numerosi standard internazionali da adottare per mantenere al sicuro le informazioni.
Quando la norma non basta
Non basta, tuttavia, che venga scritta una regola, una circolare, una legge, una linea guida, perchè i dati siano al sicuro. Nè l’adozione bovina della stessa può difendere i nostri dati: questi documenti vanno “capiti” e richiedono uno sforzo cosa che, in molti casi, si preferisce non fare. Costi elevati, responsabilità eccessive, incapacità tecnica, queste sono solo alcune delle motivazioni che si sentono quando si prova a “smuovere” la situazione ed il motivo alla base è uno solo: nessuno risponde degli errori fatti. I pazienti affidano alle strutture sanitarie e alle pubbliche amministrazioni i loro dati che in molti casi, tra l’altro, sono protetti da segreto professionale.
La sanzione economica comminata alla pubblica amministrazione, andrebbe poi a carico dei cittadini che, attraverso le tasse, andrebbero a scontarla. Tuttavia, ci sono molti modi per mantenere il rispetto della dignità dei pazienti (perchè in fondo di questo si tratta); i responsabili che per anni hanno trattato con incuria i sistemi e i dati dovrebbero lasciare il posto a personale più competente e responsabile. Lo stato dei sistemi informativi, gli errori di gestione nel trattamento dei dati, si possono individuare con relativa semplicità e affidabilità da un’analisi del comparto IT. Non basta quindi il testo normativo: serve una professionalità che ne consenta l’applicazione adeguata. In un articolo molto ben fatto de Il Post, c’è un passaggio che spiega in che modo la Regione Abruzzo sta reagendo.
Nonostante il furto e la pubblicazione dei dati siano un danno enorme per moltissime persone, in questi giorni la Regione Abruzzo non sta dando molte informazioni in merito all’attacco: l’azienda sanitaria si è limitata a dire che i tecnici sono al lavoro per risolvere il problema a cui ancora non è stata trovata una soluzione, mentre il presidente della Regione Marco Marsilio ha detto che non sarebbe stato pagato alcun riscatto e ha invitato a non scaricare i dati diffusi illegalmente.
Fonte: “Sono stati pubblicati tutti i dati di migliaia di pazienti rubati a un’azienda sanitaria in Abruzzo”, Il Post (LINK)
Si fa riferimento ad un messaggio che campeggia sul sito della ASL1, aggiornato alla data 16 maggio 2023 che riporta:
[16.05.2023] AGGIORNAMENTO PER I CITTADINI
Chiunque acquisisce dati dal dark web e li diffonde on-line o sui social network si rende autore di reato per acquisizione fraudolenta e diffusione illecita di dati personali, penalmente perseguibile. Pertanto, si invitano gli utenti a non scaricare dal dark web e non condividere con terzi gli archivi di dati resi disponibili dal gruppo di hacker “Monti” potenzialmente riconducibili alla Asl1 Abruzzo. Si segnala inoltre che tali dati presenti sul dark web potrebbero essi stessi contenere virus/ransomware molto dannosi se memorizzati sui computer degli utenti. Ricordiamo che sono ancora in corso le indagini della Polizia postale e dell’Agenzia per la cybersicurezza nazionale. Per eventuali ulteriori informazioni è possibile scrivere direttamente alla pec protocollogenerale@pec.asl1abruzzo.it oppure alla email dpo@asl1abruzzo.it.
Fonte: ASL1 Avezzano Sulmona L’Aquila
Un messaggio che non fornisce indicazioni reali sullo stato di ripristino dei dati, sugli sviluppi di una possibile indagine interna in merito alle cause del data breach, sugli eventuali problemi di configurazione, su tutte quelle informazioni e responsabilità che i cittadini si aspettano di leggere. No, gli annunci finora pubblicati sul sito della ASL1 non affrontano queste tematiche.
Non chiariscono le modalità con cui il virus è stato inoculato, nè dimensionano la problematica che è nota dal 3 maggio (ossia da oltre 2 settimane), tempo sufficiente per avere tutte le informazioni.
Per interruzione del sistema informatico, non dovuto a problemi interni, non è possibile al momento effettuare la prenotazione di prestazioni presso sportelli CUP, call center e servizio online. Tuttavia saranno garantite le prestazioni sanitarie già prenotate con le seguenti modalità. Chi ha una prenotazione può presentarsi allo sportello CUP per pagamento e registrazione del ticket nel giorno fissato per la prestazione con foglio di prenotazione ed impegnativa. Chi invece deve prenotare una prestazione urgente ovvero laddove sull’impegnativa sia presente la classe di priorità U può recarsi allo sportello CUP di un ospedale che contatterà il reparto interessato ai fini della erogazione della prestazione. Saranno inoltre garantiti gli esami ematochimici in emergenza/urgenza (es. emocromo, PT, PTT, PCR). Ci scusiamo per il disagio.
Comunicato della Direzione Sanitaria della ASL1 Abruzzo
Aggiornamento del 12 novembre 2025
Il 14 marzo 2023 un articolo del Corriere della Sera aveva riportato l’attenzione sull’argomento, mostrando l’indignazione dei cittadini Aquilani in merito alla vicenda.Il giorno 11 novembre 2025, a seguito dell’inchiesta del programma televisivo Report, si è tornato a parlare del data breach dell’ASL 1 accendendo un riflettore sulla mancata sanzione. A questo proposito si riporta un articolo pubblicato sul portale SITE.
Aggiornamento del 11 dicembre 2025: la multa da 2,5 MLN di euro
Il giorno 11 dicembre 2025 il Messaggero ha pubblicato un articolo nel quale si afferma che le prime cinque richieste di risarcimento fatte alla ASL 1 dell’Aquila sono state del valore di due milioni e mezzo di euro.
Le persone che hanno chiesto risarcimenti lamentano la violazione di atti che vanno dai semplici dati anagrafici, fino ai referti completi o intere cartelle cliniche (con diagnosi, anamnesi anche familiare,
terapie, storia clinica dettagliata) passando per documenti ancor più delicati che attestano interruzioni di gravidanza, trattamenti oncologici, problemi psichiatrici, patologie che possono comportare ostracismo
sociale.
La richiesta del risarcimento è stata possibile grazie alle evidenze e alle valutazioni tecniche dagli esperti in cybersicurezza.
Abbiamo dedicato mesi – puntualizzano i due legali – ad analizzare nel dettaglio il provvedimento avvalendoci di consulenti informatici e di cybersicurezza. Senza entrare troppo nel dettaglio e nel tecnico, possiamo dire che tra le plurime violazioni accertate, alcune ci hanno colpito in modo particolare.
Secondo quanto dichiarato nell’articolo e a seguito dell’analisi tecnica compiuta, è chiara la mancanza di accountability da parte della ASL 1 dell’Aquila. Il problema della multa è la ricaduta che questa può avere sulle tasche dei cittadini: la ASL, infatti, è una struttura pubblica e le sanzioni comminate dal Garante tengono conto di questo impatto. Un tribunale invece non è tenuto ad osservare questo aspetto e quindi potrebbe accettarla e, anche in caso di decurtazione, questo potrebbe incidere pesantemente sulle casse pubbliche. La cosa che non si riesce a capire è come, più che della multa economica, non si parli di provvedimenti orientati alla responsabilità professionale di chi, per anni, ha tenuto una condotta non idonea alla gestione dei dati personali sanitari. Più che un provvedimento economico di ristoro, sicuramente necessario, servirebbe un provvedimento disciplinare utile ad allontanare immediatamente le persone senza competenze ed impegnarsi ad evitare che professionisti non adeguati possano commettere i medesimi errori, coprendo posizioni a loro inidonee. I casi come quelli dell’ASL 1 dell’Aquila (che non è unico ed è bene ricordarlo) dimostrano una diffusa ignoranza in materia di protezione del dato personale sia a livello gestionale che tecnico e a dimostrazione di questo ci sono le numerose violazioni accertate di cui parlano gli avvocati.
La cultura del dato che manca
Non ci si può stancare di ripetere che questo non è un problema tecnico; no, non lo è. Gli aspetti tecnici sono secondari: prima vi è un problema culturale sulla protezione dei dati e questo problema culturale incide di rimando sulla configurazione dei sistemi, delle reti e dei dati. Una frase che in molti avranno sentito pronunciare in merito ai data breach e alla sicurezza informatica è: “la cybersercurity è un problema culturale” ma pochi sanno cosa significa veramente.
Chiedere ad un studente delle elementari, delle medie e del liceo di scrivere un tema, porterà a tre risultati differenti: la persona è la stessa, l’argomento è lo stesso ma i contenuti sono profondamente diversi. La conoscenza e la maturità fanno la differenza. Ci sono molti modi per gestire i dati di un’organizzazione, alcuni più seri e responsabili di altri, alcuni più complessi ma sicuri di altri. Questo dovrebbe far nascere una serie di domande di cui la prima è: c’è la maturità da parte del personale tecnico per prendere in carico strutture che trattano dati così delicati? Le competenze si possono verificare, valutare, accrescere ma non possono mai essere ignorate.
