[doc. web n. 10142352]

Provvedimento del 10 aprile 2025

Registro dei provvedimenti
n. 205 del 10 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dr. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dr. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali

In data XX l’Azienda Ospedaliera Universitaria Integrata Verona, di seguito “Azienda” ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali, integrata con note del XX e XX, XX e XX e XX, riguardante un attacco informatico ai sistemi informativi dell’Azienda, determinato da un malware di tipo ransomware.

Tenuto conto dell’elevato numero di interessati potenzialmente coinvolti e della natura dei dati personali oggetto di violazione, l’Ufficio ha ritenuto necessario approfondire la questione mediante una richiesta di informazioni (nota del XX a cui l’Azienda ha fornito riscontro con nota del XX) e un’attività ispettiva nei confronti dell’Azienda, nel mese di XX.

2. Il fatto

Dall’esame degli atti e all’esito della citata attività ispettiva, è risultato quanto segue.

2.1. La notifica della violazione al Garante

Con la notifica preliminare del XX, l’Azienda ha dichiarato che si era verificato un “accesso abusivo al sistema informatico del Titolare e la cifratura di una parte di dati in uso, sono riconducibili ad attività eseguite tramite il ransomware New Rhysida […] una cifratura a livello XX dell’infrastruttura di virtualizzazione XX e di alcuni server fisici che ospitano i sistemi di gestione del dominio aziendale e la maggior parte dei servizi erogati dal data center di AOUI Verona. Sono in corso di riattivazione tutti i servizi. Dalle prime analisi condotte su quanto a disposizione è stato rilevato un traffico anomalo su firewall per un totale di ca. "650,1 GB" di dati. Sono in corso le attività di ripristino dei sistemi oggetto di violazione mediante copie di backup” (v. notifica del XX, sez. XX, punto XX).

Successivamente, in data XX, l’Azienda ha aggiornato le informazioni riguardanti la violazione, dichiarando che “ad oggi tutti i servizi aziendali sono stati ripristinati. Sono state riscontrate evidenze sui log del firewall perimetrale relative al trasferimento di dati per 650,1 GB verso l’IP malevolo 5.255.103.7, geolocalizzato in Olanda; tale traffico è rilevato dalle ore 18.00 del XX alle ore XX del XX. […] In data XX alle ore XX è arrivata alla casella di posta elettronica dell'URP e, per conoscenza, a quella dell'UOS Servizio Sistemi Informativi dell’Azienda una comunicazione da rhysida@mail2tor.com contenente la minaccia di rendere pubblici i dati esfiltrati in assenza del pagamento di un riscatto. Già alle ore 07.56 dello stesso giorno la società XX, che collabora con l’Azienda nella gestione dell'attacco, comunicava la rivendicazione dal Team Rhysida di avere aggiunto “Azienda Ospedaliera Universitaria Integrata di Verona” fra i targets presenti sul proprio Data Leak Site (DLS). All'interno del post non erano presenti sample, e non è indicato il numero di dati esfiltrati. I dati sono attualmente in vendita all’asta, ad un prezzo base di 10BTC; dal momento dell’invio della e-mail, l’asta dovrebbe terminare tra 6 giorni e 23 ore. Analoga segnalazione perviene da CSIRT Italia - Agenzia per la cybersicurezza nazionale alla casella di posta elettronica certificata dell'UOS Servizio Sistemi Informativi alle ore 09.05. Successivamente alle ore 10.19 XX comunicava al Responsabile dell’UOS Servizio Sistemi Informativi che nel DLS Rhysida, presente nel dark web, è stata aggiunta una immagine, come esempio dei dati esfiltrati, che raccoglie in un unico contesto alcuni documenti, clinici e amministrativi, tra cui, in particolare, quelli relativi a referti di esami di laboratorio eseguiti su un minore (data di nascita XX) di cui è riportato il nome e cognome. La medesima immagine, opportunamente sfuocata in modo che i dati personali ivi contenuti non fossero leggibili, è stata poi riprodotta sul web da siti specialistici” (v. notifica del XX, sez. XX, punto XX).

In data XX l’Azienda ha nuovamente integrato le informazioni riguardanti la violazione, dichiarando che “come annunciato nella comunicazione degli hacker menzionata nell’ultima notifica, alla scadenza dell’ultimatum, in assenza di pagamento del riscatto da parte del Titolare, in data odierna (XX) Rhysida ha pubblicato sul dark web il 100%, secondo l’indicazione contenuta sul suo sito, dei dati esfiltrati, corrispondente a 612 GB di dati pari a 900.128 file. Il volume esfiltrato e poi pubblicato sul dark web corrisponde al 2,06% del totale dell’archivio dati aziendale, pari a 29 TB. Da un preliminare esame delle cartelle pubblicate è risultato che i dati ivi contenuti sono di natura amministrativa e sanitaria. È stato individuato un gruppo di lavoro aziendale debitamente autorizzato dal Titolare del trattamento con il compito di procedere all’analisi delle cartelle corrotte al fine di individuare i nominativi degli interessati coinvolti, anche in vista della comunicazione da fare nei loro confronti ai sensi dell'art. 34 del GDPR, e le tipologie di file carpite. A seguito delle attività di monitoraggio costante del team di XX, è stata rilevata la pubblicazione dei dati relativi al Titolare da parte del gruppo ransomware Rhysida, immediatamente comunicata per le vie brevi alle ore 6.50 di oggi, e tramite email alle ore 6.57, al Responsabile dell’UOS Servizio Sistemi Informativi, il quale ha prontamente avvisato la Direzione aziendale e la Polizia Postale. La notizia dell’avvenuta pubblicazione è stata dapprima ripresa da un sito specializzato, che ha dato ampia indicazione delle cartelle pubblicate; successivamente la notizia è apparsa anche sugli organi di stampa ordinari” (v. notifica del XX, sez. XX, punto XX).

In seguito l’Azienda ha precisato che “dall’analisi dei file scaricati sono emerse delle discordanze con quanto dichiarato dal gruppo ransomware nel proprio DLS; nel dettaglio: il gruppo ransomware ha dichiarato di aver pubblicato 612GB di dati, per 900.128 files, tuttavia i files tecnicamente disponibili al download sono 660.003 per una dimensione totale inferiore a quanto dichiarato. È stato riscontrato […] che di 900.128 URL rilasciati dal TA per il download dei file, 240.125 sono duplicati; come detto, il numero totale di files a disposizione sul DLS del gruppo ransomware è pari a 660.003; tuttavia, nel corso delle attività condotte dal team XX è stato possibile recuperarne 658.828. Risultano mancanti 1175 files. […] al momento è possibile confermare che complessivamente sono stati scaricati 476GB di dati, per un totale di 85.798 directories e 658.828 files” (v. notifiche del XX e XX, sez. F, punto 7).

2.2. Attività ispettive

Nel corso delle attività ispettive, l’Azienda ha dichiarato che “la violazione ha coinvolto dati, in particolare, della direzione amministrativa dell’ospedale, della UOC provveditorato ed economato, della UOC affari generali e dell’area sanitaria. Sono state coinvolte molte unità operative in quanto sono stati esfiltrati file da cartelle condivise del file server. Non sono stati coinvolti dall’esfiltrazione i trattamenti come quelli in cloud, il FSE, il dossier sanitario, i gestionali ospedalieri, il CUP, i sistemi RIS PACS, i sistemi di supporto alle analisi di laboratorio e alla medicina trasfusionale. Dal XX l’Azienda ha esternalizzato il sistema informativo ospedaliero passando da 7 applicazioni a un unico e nuovo sistema informativo ospedaliero in cloud XX” e confermato “le ipotesi di vulnerabilità individuate nel report di XX” (v. verbale del XX, pag. XX). Inoltre, l’Azienda ha rappresentato che “i servizi di emergenza-urgenza ed essenziali dell’Azienda hanno continuato a operare anche grazie alla grande cooperazione dimostrata dal personale; è stato bloccato per circa 3 giorni il CUP/casse e il centro prelievi, in ogni caso l’Azienda ha invitato i cittadini a non presentarsi in massa per le analisi di laboratorio, vista l’indisponibilità dei sistemi di supporto per tali prestazioni. L’Azienda ha utilizzato in quei giorni le procedure cartacee di emergenza, da poco aggiornate, a seguito del cambio di sistema avvenuto a XX” (v. verbale del XX, pag. XX).

Con riguardo alle modalità e tempistiche dell’attacco, l’Azienda ha confermato “quanto presente nelle notifiche inviate dall’Azienda al Garante e nel report di XX [documento “INCIDENT RESPONSE Report AOVR - v.1.1 del XX redatto dalla società XX Srl di seguito “report incidente”] incaricata di effettuare l’analisi dell’incidente su suggerimento del CERT della Regione Veneto” (v. verbale del XX, pag. XX) ovvero che, probabilmente, il punto di ingresso dell’attacco è avvenuto per mezzo dello sfruttamento di credenziali in vendita nel dark e deep web relative a servizi esposti nell’infrastruttura del Cliente, in linea con le TTP (Tactics, Techniques and Procedures) dell’attaccante, noto per adottare campagne di phishing.

Per quanto concerne la portata della violazione con riferimento agli applicativi aziendali di ordine sanitario e amministrativo contabile, l’Azienda ha dichiarato che “sono stati oggetto di esfiltrazione file presenti nel file server dove erano presenti cartelle personali all’interno delle quali erano memorizzati file di produttività individuale e cartelle condivise di reparto”, che “la cifratura ha interessato i sistemi gestionali presenti XX (virtualizzazione) che poi sono stati ripristinati da backup già dal XX” e che “i file esfiltrati dal file server rappresentavano circa il 2% del contenuto del file server“ e che “la violazione temporanea della disponibilità causata dal ransomware ha coinvolto tutti i server virtuali, i sistemi on premises e un DB SQL server, non ha coinvolto i data base né i sistemi applicativi in cloud, poi ripartiti grazie al ripristino da backup XX” (v. verbali del XX, pag. XX e del XX pag. XX).

Per quanto attiene al numero di interessati i cui dati sulla salute sono stati coinvolti dall’attacco, nel corso delle attività ispettive, l’Azienda ha confermato che “i pazienti i cui dati sulla salute sono stati oggetto di violazione sono stati gli interessati classificati come “rossi” e “non rossi” (circa 540.000 interessati)” (v. verbale del XX, pag. XX).

Riguardo i pazienti coinvolti negli studi clinici impattati dall’attacco hacker a scioglimento delle riserve effettuate in sede di accertamento ispettivo, l’Azienda ha fornito documentazione di supporto e ha sottolineato che “da un censimento compiuto sino al XX (data in cui l’Azienda ha subito l’attacco hacker), il numero di studi oggetto di violazione risulta limitato in riferimento al numero di studi condotti e/o conclusi a quella data dalle Unità Operative interessate. Infatti, per l’UOC Malattie Infettive si contano 95 studi, a fronte di due fatti oggetto di esfiltrazione; per l’UOC Geriatria B si contano 34 studi, a fronte di quattro fatti oggetto di esfiltrazione; per l’UOC Endocrinologia si contano 159 studi, a fronte di una ventina fatti oggetto di esfiltrazione” (v. nota dell’Azienda del XX).

3. Le misure in essere al momento della violazione

3.1. Notifica della violazione al Garante

L’Azienda ha dichiarato che, al momento della violazione, adottava le seguenti misure tecniche e organizzative, tra le quali [OMISSIS]; destinazione di personale adeguatamente formato alla gestione e verifica delle misure tecniche sopra elencate; sensibilizzazione del personale aziendale su tematiche di phishing tramite comunicazione rivolta a tutti da parte dell'Ufficio Privacy; messa a disposizione sulla intranet aziendale del disciplinare sul corretto utilizzo delle risorse informatiche aziendali; presenza di istruzioni generali sul corretto trattamento dei dati personali in allegato all’autorizzazione al trattamento inviata a tutto il personale aziendale; presenza di una procedura aziendale di gestione dei data breach, pubblicata sulla intranet aziendale” e, a integrazione di quanto indicato nella notifica preliminare, [OMISSIS] (v. notifiche del XX e XX, sez. XX, punto XX).

3.2. Attività ispettive

L’Azienda, nel corso dell’accertamento ispettivo, ha precisato che “al momento della violazione e fin dall’insediamento del nuovo direttore generale, avvenuto nel XX, erano in corso attività di rafforzamento delle misure di sicurezza. In particolare, era in corso di attivazione il CERT regionale che prevedeva anche il servizio SOC per tutte le aziende sanitarie del Veneto e di Cyber Threat Intelligence di cui l’Azienda è stata la prima a beneficiare.[OMISSIS] (v. verbale del XX, pagg. XX e XX).

Circa le procedure di autenticazione informatica utilizzate nell’ambito dell'accesso in VPN e alle postazioni di lavoro in essere al momento della violazione e le password policy previste per le diverse tipologie di utenze, l’Azienda ha dichiarato che “al momento dell’incidente erano previste due modalità di accesso dall’esterno, rispettivamente VPN MFA per i fornitori e XX per i dipendenti senza MFA […] la password policy prevedeva una scadenza a 90 giorni e una lunghezza minima di 8 caratteri (XX). Inoltre l’Azienda era ed è dotata tuttora di una procedura per il rilascio delle credenziali ai fornitori [OMISSIS]. Per quanto riguarda gli utenti interni, il sistema di identity management è integrato con il sistema di gestione del personale (XX) e consente di attivare le credenziali e le relative autorizzazioni sulla base del ruolo ricoperto in Azienda. Dipendenti e fornitori condividevano la medesima password policy e gli utenti privilegiati accedevano con procedure di MFA” e che “le indicazioni sono presenti nell’art. 6 del “Disciplinare per l’uso delle risorse informatiche aziendali”, nella nota di “Designazione a delegato privacy” ex art. 2 quaterdecies del Codice e nelle “istruzioni generali per gli autorizzati al trattamento” consegnate all’atto della fornitura delle credenziali, quali a esempio il concetto di ridondanza, la cancellazione ogni 3 mesi dei file obsoleti o inutili, il divieto di utilizzo di dispositivi rimovibili personali. Tutti i documenti sono anche disponibili in una specifica sezione della intranet” (v. verbali del XX, pag. XX e del XX pag. XX).

Quanto alle misure tecniche e organizzative adottate per il file server oggetto di violazione, l’Azienda ha dichiarato che [OMISSIS]. Le regole per l’utilizzo degli strumenti informatici sono esposte in un disciplinare tecnico adottato dall’Azienda e nel documento di istruzioni per il trattamento dei dati e l’uso degli strumenti informatici trasmesso agli autorizzati contestualmente alle credenziali aziendali; è stata inoltre inviata una mail a tutti i responsabili sull’utilizzo del sistema XX accompagnata dal manuale dell’applicativo” e che [OMISSIS] (v. verbali del XX, pag. XX e del XX pag. XX).

In relazione alle misure di sicurezza con riferimento all’aggiornamento periodico (patch management) in essere al momento della violazione dei dati personali, l’Azienda ha dichiarato che “erano, e sono tuttora, definite regole per l’aggiornamento periodico dei sistemi ed era prevista anche un’area di test delle patch prima di distribuirle, sulla base anche delle criticità delle specifiche vulnerabilità. Per la parte perimetrale, più esposta, le patch erano, e sono tuttora, applicate a tempo zero, i firewall erano, e sono tuttora, gestiti dal responsabile del trattamento XX, mentre i server erano, e sono tuttora, gestiti dal sub responsabile XX. L’Azienda si avvaleva inoltre, e si avvale tuttora, dello strumento XX che consente la patch distribution, la configurazione delle nuove macchine, il desktop management nonché l’assistenza da remoto” (v. verbale del XX, pag. XX).

In riferimento alle misure di sicurezza, in essere al momento della violazione dei dati personali, relative alla segmentazione delle reti l’Azienda ha dichiarato che “era in atto un progetto di segmentazione generale, che coinvolgeva, fra le altre, la rete della medicina nucleare e del laboratorio erano state segmentate per la peculiarità tipica degli apparati elettromedicali, [OMISSIS] (v. verbale del XX, pagg. XX e XX).

Con riguardo alle misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, l’Azienda ha dichiarato che “il backup prevedeva [OMISSIS]. Quotidianamente erano e sono tuttora effettuati controlli in ordine alla avvenuta esecuzione del backup a cura del personale della UOS sistemi informativi e della società XX […]”; che [OMISSIS]. Riguardo la continuità operativa, oltre alla ridondanza delle macchine e delle componenti, questa è realizzata con i due data center [OMISSIS], collegati con fibra ottica dedicata e ridondata. [OMISSIS] (v. verbale del XX, pagg. XX e XX).

Circa gli strumenti di monitoraggio degli eventi di sicurezza utilizzati per il rilevamento in tempo reale degli incidenti di sicurezza, con particolare riferimento ai software di monitoraggio, l’Azienda ha rappresentato che la stessa [OMISSIS] (v. verbale del XX, pag. XX).

Per quanto riguarda le modalità con le quali gli incidenti di sicurezza sono portati a conoscenza dei soggetti a vario titolo coinvolti e il processo di gestione degli incidenti di sicurezza nel caso in cui questi comportino una violazione dei dati personali, l’Azienda ha precisato che “al momento dell’attacco, aveva un referente interno per la sicurezza e un responsabile per l’area applicativa e uno per l’area sistemistica. L’organizzazione prevedeva un primo livello di contatto che coinvolgeva il soggetto reperibile di secondo livello che, a sua volta, contattava il responsabile dei sistemi informativi per i casi più gravi. Per l’incidente in questione, oltre all’attivazione e coinvolgimento delle risorse interne ed esterne, è stata attivata l’Azienda Zero e la direzione ICT della Regione Veneto che, fra le sue attribuzioni, ha il CERT Regionale (all’epoca dell’attacco in fase di costituzione) [e] che l’Azienda era dotata dal XX di una procedura di data breach per rilevare eventuali sospetti di violazioni dei dati personali comprensiva di una metodologia di valutazione del rischio” (v. verbale del XX, pagg. XX e XX).

Per quanto riguarda la formazione e sensibilizzazione dei dipendenti con particolare riferimento al phishing, l’Azienda ha rappresentato che “nel XX, l’Azienda aveva inviato ai dipendenti una newsletter sul tema phishing; nel corso del XX e XX è stato erogato a 6500 dipendenti un corso diviso in due moduli (GDPR e privacy in ambito sanitario), che conteneva anche elementi di sicurezza” (v. verbale del XX, pag. XX).

4. Le misure adottate a seguito della violazione

4.1. Notifica della violazione al Garante

Con riferimento alle misure adottate a seguito della violazione, l’Azienda ha rappresentato di aver proceduto alla “disconnessione dell’infrastruttura da internet; messa in sicurezza dei back up; individuazione dei servizi critici; ripristino online dei server virtuali correlati ai servizi critici; [OMISSIS]; verifica integrità e sicurezza dei sistemi ripristinati, prima di metterli online; reset della password di tutte le utenze aziendali (ca. 8000)” a [OMISSIS] (v. notifiche del XX e del XX, sez. H, punto 1) nonché al [OMISSIS]; attivazione del servizio di consulenza a supporto di AOUIVR nella predisposizione e revisione delle procedure aziendali sulla gestione della sicurezza; [OMISSIS], avvio della campagna di sensibilizzazione e aumento della consapevolezza degli utenti sul rischio cyber e sul fenomeno del phishing, con simulazioni di phishing e pillole formative con test finale per chi incorre nel tranello” (v. notifiche del XX e del XX, sez. XX, punto XX). Ha, inoltre, rappresentato che “la gestione degli accessi a tutti gli applicativi aziendali [OMISSIS] […]il XX è stata attivata la società XX., che ha in gestione l’XX, nell'attività di ripristino dell'operatività dei sistemi informatici a seguito dell'attacco hacker individuato e bloccato la sera prima. In particolare ad XX è stato chiesto di fornire supporto per un tempestivo ripristino di tutti i sistemi aziendali e per attivare un immediato cambio password obbligatorio e generalizzato per tutte le utenze del personale dipendente e non dipendente, che a qualsiasi titolo è autorizzato all’accesso ai sistemi AOUIVR. I server XX sono tornati completamente disponibili verso le XX del XX. Nel corso della notte tra il XX ed il XX si è occupata di preparare un tool per forzare il cambio password a tutti gli utenti per evitare di porre in eccessivo stress i sistemi visto l’alto numero di utenti, circa 9000, si è suddivisa l’operazione di cambio password in [due] campagne” (v. nota del XX).

4.2. Attività ispettive

Nel corso delle attività ispettive, l’Azienda, con riferimento allo stato di attuazione delle azioni di mitigazione, recupero, miglioramento e potenziamento delle misure di sicurezza indicate nella notifica conclusiva del XX e nel documento “INCIDENT RESPONSE Report AOVR - v.1.1 del XX redatto dalla società XX Srl di seguito “report incidente”, ha dichiarato che “ha dato attuazione alla maggior parte delle azioni consigliate da XX; in particolare sono state implementate, fra le altre, a ridosso dell’attacco XX. Successivamente è stato adottato un XX. Sono in corso di approvazione da parte del CRITE l’acquisizione di un sistema [OMISSIS]. In ambito PNRR sono stati inoltre previsti interventi sia di upgrade dell’hardware che di consulenza. Un secondo gruppo di attività richieste al CRITE riguarda [OMISSIS] (v. verbale del XX, pagg. XX e XX).

Per quanto concerne la campagna di sensibilizzazione e aumento della consapevolezza degli utenti sul rischio cyber e sul fenomeno del phishing, l’Azienda ha dichiarato, fornendo anche documentazione a supporto, che “sono state effettuate simulazioni di phishing (somministrazione di 5 tipologie di mail scaglionate e inviate in modalità random) che hanno coinvolto 5473 dipendenti, di cui solo 215 sono caduti in trappola; pertanto, solo questi dipendenti hanno fruito di specifiche “pillole formative” obbligatorie con test finale. Le predette simulazioni, precedute dall’invio di specifiche istruzioni, saranno periodicamente ripetute (la prossima nell’ultimo quadrimestre dell’anno XX) [e] che per aumentare la consapevolezza, l’Azienda differenzia la newsletter interna “Informazienda” con marcatori di colore per richiamare l’attenzione sulle diverse tipologie di comunicazione e gravità, in particolare per le comunicazioni inerenti la sicurezza informatica è utilizzato il colore rosso” (v. verbale del XX, pag. 7).

Inoltre, l’Azienda ha evidenziato che “il CERT Regionale, tramite XX, fornisce all’Azienda il servizio di Cyber Threat Intelligence che, in caso di rilevazione sul dark web di evidenze riconducibili all’Azienda, invia uno specifico report al responsabile della UOS sistemi informativi e ai collaboratori indicati. Tali report vengono presi in esame dal personale della UOS dei sistemi informativi e indirizzati internamente o verso i fornitori, se del caso. A titolo cautelativo, in caso di segnalazione di credenziali compromesse, l’account viene disattivato e forzato un reset password e informato l’interessato” (v. verbale del XX, pag. XX).

5. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In ordine alla fattispecie descritta, l’Ufficio, sulla base di quanto rappresentato dal titolare del trattamento nell’atto di notifica di violazione, nella nota di riscontro alla richiesta di informazioni e di quanto emerso nel corso dell’attività ispettiva, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981). In particolare, con atto n. XX del XX, l’Autorità ha ritenuto che l’Azienda fosse incorsa nella violazione dei principi di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), nonché degli obblighi in materia di sicurezza del trattamento, di cui all’art. 32 del Regolamento.

La medesima Azienda ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice (nota del XX), nelle quali ha precisato quanto già dichiarato in atti e nel corso dell’attività ispettiva, rappresentando, tra l’altro, che:

- “nel periodo in cui è avvenuto l’attacco criminale l’Azienda si trovava in un contesto non comune, del tutto straordinario dal punto di vista organizzativo e tecnologico (…) che inevitabilmente ha comportato uno straordinario impegno (…). Nel corso degli anni XX, a causa dell’emergenza pandemica, tutti gli operatori e le strutture di AOUI sono stati coinvolti nelle costanti azioni di riconversione di reparti e di attività; ciò ha comportato la creazione di percorsi di sicurezza e le attivazioni straordinarie di aree di degenza dedicate alle varie fasi della cura dei pazienti colpiti da Covid-19”;

- “l’adesione alle indicazioni ministeriali e regionali volte al contenimento della pandemia ha profondamente mutato l’operatività complessiva di AOUI. Tra il XX e il XX, subito dopo la prova straordinaria che la pandemia ha richiesto alle aziende sanitarie, è stato avviato un vasto progetto di ammodernamento digitale con l’introduzione del nuovo Sistema Informativo Ospedaliero (SIO). Tale Sistema è stato attivato in AOUI, prima tra le aziende sanitarie della Regione, il XX, in ottemperanza a quanto previsto dalla Deliberazione n. XX del XX […] Questo progetto prevedeva la fornitura in Cloud XX alle aziende sanitarie venete dell’intero sistema clinico e amministrativo mediante un nuovo unico software “monolitico”, che in AOUI Verona ha sostituito ben sette diversi sistemi informatici aziendali: Prenotazione e Cassa (CUP), Ricoveri (ADT), Cartella Clinica di ricovero e ambulatoriale, Prescrizione e Somministrazione farmaci, Sale Operatorie, Pronto Soccorso, Order Entry verso i sistemi dipartimentali”;

- “[…] l’introduzione del nuovo SIO regionale ha comportato una ulteriore, complessa riorganizzazione dei processi aziendali, richiedendo il contributo di tutto il personale di AOUI, sia clinico che tecnico e amministrativo”;

- “tale impegno straordinario ha avuto un impatto su molte aree operative, poiché il personale delle aree sanitaria, tecnica ed amministrativa ha dovuto garantire la continuità delle attività, rispondendo alle nuove esigenze legate all’avviamento del nuovo sistema informativo e facendo fronte alle numerose problematiche tecniche e operative che si sono riscontrate, alcune delle quali sono ancora oggi presenti. In questo contesto, AOUI Verona si trovava a operare per garantire la continuità operativa, l’efficienza dei processi e la resilienza anche dal punto di vista della sicurezza informatica”;

- “la violazione ha […] assunto due aspetti. Per un verso, si è immediatamente caratterizzata come violazione della disponibilità dei dati presi di mira, subito rintuzzata dall’Azienda […] e, per altro verso, ha in un secondo momento assunto i contorni di una violazione della riservatezza dei dati medesimi, in conseguenza della loro esposizione nel dark web. Quanto alla violazione della disponibilità, si evidenzia che la cifratura dei dati ha avuto un impatto minimo, in quanto, grazie ai backup, nel giro di qualche giorno tutti i servizi aziendali sono stati ripristinati e non si è registrata alcuna perdita di dati personali; si può tranquillamente affermare che all’esito dell'attacco hacker nessun interessato ha subito violazioni dell’integrità o della disponibilità dei propri dati per un tempo degno di considerazione. I dati sono rimasti sempre tutti accessibili, permanendo la corrispondenza univoca tra i dati e gli interessati a cui afferivano; i dati, inoltre, non sono stati oggetto di alcuna alterazione o manipolazione che ne potessero compromettere l’esattezza. Ciò ha permesso ad AOUI di continuare a erogare i servizi di emergenza-urgenza e quelli di natura essenziale, nonché di proseguire nelle attività programmate nei giorni immediatamente successivi all’attacco hacker, provvedendo a riprogrammare con tempistiche celeri le attività di carattere non essenziale eventualmente differite; insomma, di fatto l’attività aziendale non ha subito interruzioni in conseguenza dell’evento di che trattasi”;

- “quanto alla violazione della riservatezza, essa si è concretizzata nel momento in cui il gruppo criminale ha pubblicato nel dark web i dati esfiltrati. Al momento peraltro non si hanno notizie che il rischio per i diritti e le libertà degli interessati si sia tradotto in un danno reputazionale, estorsivo, o di altro genere, nei loro confronti, nel senso che anche i pochissimi utenti che hanno avanzato richieste risarcitorie verso l’Azienda hanno soltanto lamentato – senza peraltro documentarlo – il timore derivante dal fatto che i dati che li riguardano sono sfuggiti al controllo del titolare del trattamento”;

- “una parte di dati esfiltrati erano contenuti in documenti di natura amministrativa che non impattano in modo rilevante sui diritti e le libertà degli interessati, anche perché spesso conoscibili per altre vie (ad es. perché pubblicati legittimamente sul sito aziendale), e molti altri […] non raggiungevano a ben vedere la soglia della gravità vuoi per la minore significatività del dato, pur se di salute, vuoi per la minore identificabilità dell’interessato”;

- “anche con riferimento agli utenti per i quali si è optato per una comunicazione personalizzata, possiamo dire, alla luce di una valutazione ex post e delle risposte fornite agli utenti che hanno contattato l’Azienda, che la classificazione del dato esfiltrato in termini di rischio elevato per i loro diritti e libertà personali è stata spesso effettuata, al fine di non incorrere in un ingiustificato ritardo nella comunicazione agli interessati, “per eccesso”. Questo perché, in definitiva, i dati per la maggior parte dei casi erano inseriti in data base contenenti migliaia di righe, utili ai soli fini amministrativo-contabili, senza alcuna rilevanza dal punto di vista clinico e della tutela della salute”;

- “la gravità della violazione risulti attenuata rispetto a una valutazione condotta in astratto che tenga conto del tipo di attività svolta dal titolare del trattamento”;

- “per quanto concerne la durata della violazione, anche qui va fatta una distinzione fra la violazione della disponibilità del dato e quella della sua riservatezza. Infatti, la prima ha esaurito i propri effetti nel giro di pochi giorni. […] già il giorno successivo [all’attacco], in data XX, si è concluso il recupero integrale del backup, permettendo di accedere alla totalità dei dati e di verificarne l’integrità e la disponibilità. In data XX, a partire dalle ore XX, si è proceduto al ripristino dei pc aziendali e di tutte le cartelle di rete compromesse; entro il medesimo tempo è stata quindi eseguita la bonifica di tutti i dispositivi. In data XX, dalle ore XX, è avvenuta la ripartenza digitale mediante avvio del sistema informatico; subito a seguire, a partire dalle ore XX, è stato possibile riaprire gli sportelli di cassa. Il giorno successivo (XX) è terminata la necessità di utilizzare la procedura emergenziale cartacea, prontamente avviata nell’immediatezza dall’Azienda al fine della prosecuzione dei servizi; dalle ore XX è stato, dunque, possibile ripartire con la refertazione digitale e integrazione digitale dei documenti analogici utilizzati nei tre giorni precedenti. In data XX è stato riattivato anche il CUP telefonico. Quanto invece alla violazione di riservatezza, è evidente che, finché i dati restano pubblicati nel dark web, sono potenzialmente aggredibili. Tuttavia, va evidenziato che […] tranne qualche eccezione sono dati frammentati, non facilmente estrapolabili dai ponderosi data base in cui sono archiviati, spesso riferiti a persone non compiutamente identificate, e dunque, in definitiva, di scarso appeal per chi volesse lucrarci”;

- “va […] escluso senza tema di smentite il carattere doloso della violazione (AOUI è stata la prima vittima dell’attacco hacker […]”;

- “in merito alla situazione in essere prima dell’incidente, si desidera porre in evidenza che AOUI disponeva di un’infrastruttura di sicurezza articolata e consolidata, comprendente tra l’altro: ● [OMISSIS]; questa architettura ha permesso all’Azienda di ripristinare tempestivamente i sistemi compromessi, limitando l’impatto della violazione e garantendo la continuità operativa. Questo insieme di elementi di sicurezza multilivello ha sempre permesso di isolare e mitigare rapidamente le attività sospette, proteggendo le risorse aziendali da potenziali minacce e minimizzando i rischi di compromissione. Gli eventi registrati prima della data del XX non sono stati rilevati dai sistemi di controllo in quanto, presi singolarmente, non differivano da attività legate alla normale amministrazione. Fa eccezione una anomalia rilevata in data XXrelativa ad attività di cancellazione di log effettuata dall’utente XX. A fronte di tale attività, è stato attivato il supporto della ditta XX S.r.l., che aveva in gestione i sistemi server, e della ditta , che aveva in gestione il sistema di Identity Management. Lo stesso XX, la ditta XX ha provveduto a disattivare tale utenza sostituendola con una nuova e a cambiarne la password, seppure l’utenza fosse stata posta in stato disattivo, con una randomica non salvata e non conosciuta da alcuno. Nella successiva scansione dalla console XX sui server evidenziati dall’anomalia, non sono comparse evidenze di malware o segnalazioni di attività anomale. La verifica a campione sullo stato di integrità dell'ambiente [OMISSIS], non ha evidenziato falle e si è ritenuta affidabile la fotografia di basso rischio che XX aveva dato sugli endpoint di classe server. Si precisa che AOUI aveva già intenzione di dotarsi di un sistema [OMISSIS], anche in considerazione dell’aumento della complessità dei sistemi e dei log da monitorare dovuto all’introduzione del nuovo SIO, il quale sarebbe ulteriormente accresciuto con l’introduzione di ulteriori componenti per i successivi progetti regionali previsti per gli ospedali sede di DEA di I e II livello. Tali strumenti sarebbero stati poi messi a disposizione dal progetto CERT (Computer Emergency Response Team) regionale, di successiva attivazione, e a cui AOUI ha aderito all’esito del percorso più sotto descritto, e pertanto l’Azienda non poteva procedere autonomamente all’acquisizione degli stessi, in quanto tale iniziativa avrebbe comportato l’esigenza di chiedere specifica autorizzazione alla Commissione Regionale per gli Investimenti in Tecnologia ed Edilizia (CRITE), in ottemperanza a quanto disposto con DGR Veneto n. XX del XX, (…), la quale con ogni probabilità l’avrebbe negata trovando l’iniziativa stessa già copertura nel progetto regionale anzidetto, e in ogni caso ciò avrebbe determinato una dilatazione dei tempi necessari alla definizione delle procedure per l’acquisizione degli strumenti di che trattasi”;

- “gli strumenti di particolare interesse per AOUI sarebbero stati erogati attraverso i seguenti servizi: [OMISSIS] […] l’Azienda, in linea con le tempistiche regionali, ha formalmente aderito al Progetto “Computer Emergency Response Team” del CERT regionale con Deliberazione del Direttore Generale n. XX del XX (…) sottoscrivendo la conseguente convenzione in data XX. I fatti sin qui esposti dimostrano chiaramente che AOUI aveva in atto un processo di ulteriore innalzamento della propria postura di sicurezza strettamente legato alla progettualità regionale. Si evidenzia, peraltro, che AOUI è stata la prima azienda sanitaria della Regione Veneto ad attivare i servizi offerti dal CERT”;

- “la segmentazione e la separazione delle reti in AOUI è attiva da anni. [OMISSIS]. Nei primi mesi del XX, l’Azienda ha ampliato ulteriormente la segmentazione della rete [OMISSIS];

- [OMISSIS]. Tuttavia, per procedere con l’acquisizione AOUI doveva necessariamente avvalersi dello strumento Consip XX, attivato da poco da Consip a causa del ricorso di un concorrente successivamente all’aggiudicazione. [OMISSIS];

-“per garantire un accesso remoto sicuro in AOUI era in uso una VPN con autenticazione multi-fattore (MFA) per i fornitori e gli amministratori. Gli utenti non privilegiati, invece, accedevano ad alcune applicazioni attraverso il portale applicativo aziendale, [OMISSIS];

- “questa tecnologia garantiva un alto livello di sicurezza nella gestione degli accessi dall’esterno del perimetro di AOUI rendendo, seppur utile come elemento ulteriore nell’infrastruttura di sicurezza, non prioritaria l’autenticazione multi fattoriale (MFA). Questa tecnologia, inoltre, non operando in maniera esclusiva ma integrandosi con le altre misure di sicurezza adottate dall’Azienda e precedentemente descritte, forniva elementi sufficienti per ritenere idonea la sicurezza del perimetro aziendale”;

- “non risultano evidenze certe che l’accesso non autorizzato sia avvenuto tramite il portale applicativo aziendale. Tale eventualità costituisce solo una mera ipotesi e si ritiene che la Multi Factor Authentication per l’accesso al portale applicativo possa considerarsi, pur costituendo una misura di sicurezza ulteriore, non dirimente nell’impedire la violazione verificatasi”;

- “più approfonditamente, la tecnologia XX posta a protezione del portale applicativo aziendale fornisce un ambiente sicuro per l’accesso remoto alle applicazioni aziendali grazie alla creazione [OMISSIS], offrendo diversi vantaggi di sicurezza [quali] isolamento delle risorse […] controllo degli accessi e delle autorizzazioni […] prevenzione della persistenza di minacce […] controllo e monitoraggio centralizzati […] protezione dei dati sensibili […] aggiornamenti e gestione delle patch centralizzati […] ad avviso di AOUI XX risultava idoneo a garantire la sicurezza delle applicazioni e dei dati aziendali attraverso una combinazione di isolamento dell’ambiente, controllo degli accessi e centralizzazione della gestione”.

Dopo aver fornito elementi in ordine alle modalità di comunicazione agli interessati ai sensi dell’art. 34 del Regolamento (“comunicazione pubblica, attuata sia mediante l’utilizzo di mezzi di comunicazione di massa -profili social aziendali e a mezzo stampa- sia sul sito internet aziendale; comunicazione personalizzata, articolata in differenti modalità per i pazienti definiti “rossi”, cioè a rischio elevato per il tipo e la natura dei dati esfiltrati che li riguardavano, per i fornitori, per i dipendenti e i collaboratori dell’Azienda; attivazione di una casella email dedicata (…), che fungesse da punto di contatto con gli interessati che desiderassero maggiori informazioni in merito all’accaduto e al tipo di dati esfiltrati che li riguardassero; istituzione di uno sportello di assistenza per gli interessati che, previa prenotazione, chiedessero di visualizzare i dati esfiltrati in presenza di personale facente parte della Task Force, con la possibilità di estrarre copia dei dati medesimi, predisposizione di un percorso di supporto sanitario, anche di natura psicologica, per garantire un sostegno professionale gratuito a pazienti problematici che avrebbero potuto risentire un danno nell’apprendere della violazione dei loro dati”) e elencato nuovamente le misure tecniche e organizzative in essere al momento dell’attacco l’Azienda ha, inoltre, inteso precisare che:

- “successivamente all’attacco, le misure […] sono state ulteriormente ampliate […] per quanto concerne quelle di natura tecnica, con Delibera n. XX del XX è stata disposta l’adesione formale al CERT di Regione Veneto (…). In particolare […]  AOUI ha potuto così finalmente adottare le soluzioni che da tempo attendeva e che sarebbero state erogate all’interno del CERT. [OMISSIS];

- “è stato valutato utile affiancare al sistema [OMISSIS], riducendo il carico di lavoro dei team di sicurezza e migliorando l’efficienza operativa. XX offre inoltre un servizio di supporto continuo, garantendo assistenza immediata in caso di incidenti di sicurezza o necessità operative”;

- [OMISSIS]. È stato possibile in questo modo dismettere il proxy XX utilizzato per la navigazione internet”;

- [OMISSIS];

- [OMISSIS];

- “è stato attivato, in via continuativa, con campionamento degli utenti per profilo, settore e area operativa, una campagna di phishing simulato per rilevare il livello di consapevolezza dell’utenza, con iscrizione obbligatoria ad uno specifico corso e relativo test in caso di abbocco. È stata attivata un’Area specifica per la Cyber Security, composta da due persone più un Responsabile, che lavora a stretto contatto con i responsabili di area IT e con la Direzione aziendale e collabora con le autorità esterne per garantire la sicurezza delle informazioni e la protezione dell’infrastruttura IT da attacchi informatici, minacce e vulnerabilità, con particolare attenzione alla sicurezza dei dati sensibili dei pazienti e alla conformità normativa specifica del settore sanitario”;

- “l’Azienda ha avviato una serie di percorsi formativi con lo scopo di sensibilizzare il personale a un monitoraggio costante delle operazioni di trattamento compiute, istruendolo su come far fronte a tutte le esigenze che si possano prefigurare, con particolare attenzione alla fase di utilizzo di sistemi informatici. Sono stati, pertanto, implementati i percorsi formativi aziendali, predisponendo piani obbligatori di formazione sia di natura generale sia specifica, ossia calata sulle peculiarità di trattamento che le differenti categorie di dipendenti possono compiere”, descrivendo le iniziative avviate al riguardo;

- “l’Azienda ha informato l’Autorità della violazione occorsa nei termini di legge, rendendosi immediatamente disponibile a fornire la documentazione e le informazioni che la stessa ha ritenuto necessarie, offrendo costantemente la massima collaborazione. L’Azienda ha garantito un costante flusso informativo in merito a tutte le fasi dell’attacco subito, suddividendo la notifica della violazione in diverse fasi corrispondenti all’evolversi della situazione […] un ulteriore elemento di collaborazione con l’Autorità è senz’altro rappresentato dal supporto fornito dall’Azienda in sede di attività ispettiva, svolta presso la sede aziendale nelle giornate del XX e XX […]”;

- “le categorie di dati interessati dalla violazione sono: - dati anagrafici; - dati di contatto; - dati di pagamento; - dati relativi a condanne penali e reati (casellari giudiziali); - dati relativi a documenti di identificazione e riconoscimento; - dati relativi alla salute; - dati genetici”.

L’Azienda ha, infine, chiesto di considerare “i rilevanti danni che l’attacco ha già cagionato all’Azienda in termini di risorse umane impiegate per lungo tempo nella gestione della violazione, dell’impegno economico sopportato per arruolare le società che hanno collaborato nel ripristino dello status quo ante e nella implementazione delle ulteriori misure di sicurezza attivate”.

Durante l’audizione che si è tenuta il XX, è stata data “lettura di una nota - che [è stata] acquisita agli atti e alla quale si intende rinviare integralmente - predisposta dall’Azienda, nella quale sono state riassunte le misure in atto al momento dell’attacco nonché le azioni migliorative intraprese dall’Azienda e le azioni correttive volte ad evitare il verificarsi di simili violazioni future”. In particolare, nella predetta nota, è stato rappresentato che “l’attacco ransomware “New Rhysida” del XX ha rappresentato un evento critico capitato in un periodo di grande cambiamento dei nostri sistemi informativi, in cui tutta l’Azienda era impegnata nel progetto regionale del nuovo sistema informativo ospedaliero, progetto senza precedenti anche dal punto di vista del cambiamento organizzativo. Ciò nonostante, l’Azienda si è immediatamente attivata per: limitare i danni derivanti dall’incidente; garantire la continuità operativa delle attività sanitarie essenziali; attuare azioni correttive strutturali per rafforzare la sicurezza e proteggere i dati personali dei nostri pazienti e operatori […] con grande impegno AOUI ha proseguito nel percorso di rafforzamento infrastrutturale e sensibilizzazione del personale sulle tematiche di cybersecurity e privacy, al fine di prevenire situazioni analoghe, anche grazie ai fondi PNRR che ha richiesto a Regione Veneto e che sono stati inseriti nel Piano Operativo Regionale (POR). Le principali azioni includono: segmentazione avanzata della rete […] protezione delle utenze privilegiate […] monitoraggio proattivo […] patch management e aggiornamenti […] formazione e consapevolezza […] al momento dell’attacco, l’Azienda era impegnata nella transizione verso un nuovo Sistema Informativo Ospedaliero (SIO), un progetto innovativo ma complesso, primo in Veneto per dimensione e impatto. Tale contesto ha richiesto uno sforzo straordinario di risorse umane e tecnologiche, che ha temporaneamente reso più vulnerabili alcune componenti infrastrutturali. AOUI Verona ha affrontato l’incidente con la massima trasparenza, responsabilità e tempestività, adottando azioni correttive strutturali per rafforzare la resilienza e garantire al meglio la protezione dei dati personali dei cittadini […]”.

A conclusione l’Azienda ha richiesto “la non applicazione della sanzione accessoria della pubblicazione del provvedimento sul sito, (…) o, tutt’al più, la sua pubblicazione per estratto; ciò al fine di non alimentare manovre speculative da parte di utenti che, come sovente accade in casi del genere, tentano in qualche modo di lucrare un risarcimento pecuniario non giustificato”.

6. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nel corso del procedimento, si osserva che:

si considerano “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. considerando n. 35);

l’art. 5, par. 1, lett. f), del Regolamento stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”;

l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

le “Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 (https://edpb.europa.eu/system/files/2023- chiariscono che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali.

7. Valutazioni del Garante e conclusioni.

In primo luogo si rileva che i trattamenti effettuati nel contesto in esame, che hanno ad oggetto anche dati appartenenti a categorie particolari e riguardano un numero molto rilevante di interessati, richiedono l’adozione di rigorose misure tecniche e organizzative, che si rendono necessarie al fine di attenuare i rischi che i medesimi trattamenti presentano e di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali.

Alla luce di quanto sopra rappresentato, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il  richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita dall’Azienda è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, in relazione ai seguenti profili:

7.1. Mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali

Nel corso dell’istruttoria è emerso che i soggetti malintenzionati hanno effettuato una serie di operazioni propedeutiche all’attacco informatico quali: “un primo evento di accesso in RDP dal server XX il XX”; “attività di cancellazione dei log da parte del TA sfruttando l’utenza “XX, a partire dalle XX (UTC) del giorno XX e fino alle XX (UTC)”; “l’esecuzione di comandi powershell da parte dell’attaccante, che mirano a raccogliere credenziali in massa ed eseguire discovery all’interno del sistema già dal giorno XX dalle ore XX (UTC)”; “eventi di failed logon provenienti dal server proxy XX, utilizzato per la navigazione interna” (v. report incidente pagg. XX). L’Azienda “era dotata [OMISSIS]” (v. verbale del XX, pag. XX). Gli “eventi di failed logon provenienti dal server proxy (XX) XX, utilizzato per la navigazione interna [...] non sono stati considerati rilevanti in quanto molto frequenti e le utenze a cui erano ricondotti non erano quelle presumibilmente recuperate dal dark web” (v. verbale del XX, pag. XX).

Inoltre “i log della XX [sono risultati] indisponibili a causa del funzionamento dello stesso con modelli di “XX”, rendendo impossibili ulteriori rilevazioni di eventuali evidenze precedenti allo sfruttamento dell’utenza e potenzialmente utili a ricostruire il punto d’ingresso all’infrastruttura” (v. report incidente pag. XX).

Tali circostanze non hanno consentito all’Azienda di venire tempestivamente a conoscenza della violazione dei dati personali occorsa. La mancata adozione di misure adeguate a rilevare tempestivamente le violazioni dei dati personali costituisce una condotta non conforme alle disposizioni di cui agli artt. 5, par. 1, lett. f) e 32, par. 1, del Regolamento che, nel caso in esame, tenuto conto di quanto previsto dalle citate Linee guida n. 9/2022, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “individuare […] tempestivamente una violazione”.

7.2. Mancata adozione di misure adeguate a garantire la sicurezza dei sistemi e delle reti

Nel corso dell’istruttoria è emerso che l’Azienda non aveva adottato adeguate misure per segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, nonché i sistemi (server) utilizzati per i trattamenti.

Infatti, come evidenziato anche da l’Azienda nel corso delle attività ispettive, al momento della violazione dei dati personali “era in atto un progetto di segmentazione generale, che coinvolgeva, fra le altre, la rete della medicina nucleare e del laboratorio erano state segmentate per la peculiarità tipica degli apparati elettromedicali, XX (v. verbale del XX, pagg. XX e XX).

L’Azienda, successivamente, con le memorie difensive, ha specificato che “la segmentazione e la separazione delle reti in AOUI è attiva da anni. [OMISSIS]. Nei primi mesi del XX, l’Azienda ha ampliato ulteriormente la segmentazione della rete [OMISSIS]”.

Al riguardo si osserva che dall’analisi della documentazione in atti si evince che l’autore dell’attacco è riuscito ad accedere a diversi sistemi informatici (server) effettuando movimenti laterali e sfruttando l’adozione incompleta di misure volte a limitare il traffico tra le reti a cui sono attestati i sistemi presenti all’interno del data center dell’Azienda (es. accesso in RDP ad alcuni domain controller).

Peraltro, al momento in cui si è verificato l’attacco, il cui punto di ingresso “probabilmente, è avvenuto per mezzo dello sfruttamento di credenziali in vendita nel dark e deep web relative a servizi esposti nell’infrastruttura del Cliente” (v. report incidente pag. XX), l’accesso remoto, XX, alla rete dell’Azienda, da parte dei dipendenti, avveniva mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password. In relazione a tale aspetto, l’Azienda, a seguito dell’incidente, ha ritenuto necessario “rafforzare le procedure di autenticazione informatica anche per gli utenti senza privilegi estendendo a tutti i servizi la MFA” (v. verbali del XX, pagg. XX e XX e del XX pag. XX).

L’adozione parziale, al momento della violazione, di misure volte a garantire la sicurezza delle reti, non risulta pienamente conforme alle disposizioni di cui agli artt. 5, par. 1, lett. f) e 32, par. 1, del Regolamento che, nel caso in esame, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)).

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).  

La violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, causata dalle condotte poste in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio (del Garante) adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60), benché l’episodio risulti essere stato determinato da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alla polizia postale.

Ciò premesso, valutati nel loro complesso taluni elementi e, in particolare, che:

- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nell’introduzione di specifiche misure e ha cooperato con l’Autorità ben oltre l’obbligo previsto dall’art. 31 del Regolamento in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. c) e f) del Regolamento);

- l’evento si è verificato in un periodo di forte cambiamento dei sistemi informativi, a seguito dell’introduzione del nuovo sistema informativo ospedaliero, che aveva subito rallentamenti in ragione della precedente necessità di gestire l’emergenza pandemica, con la relativa riconversione di reparti e attività (art. 83, par. 2, lett. k) del Regolamento),

si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5 e 32 del medesimo Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della tipologia di dati personali oggetto di illecito trattamento (dati sulla salute, dati genetici, dati relativi a condanne penali e i reati) e del numero e della categoria dei soggetti interessati dalla violazione, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l’ordinanza-ingiunzione, sul sito Internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dall’Azienda Ospedaliera Universitaria Integrata Verona, con sede in Piazzale Aristide Stefani n. 1, CAP 37126, Partita Iva/Codice Fiscale 03901420236, nei termini di cui in motivazione, per la violazione delle disposizioni di cui agli 5, par. 1, lett. f) e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) alla medesima Azienda Ospedaliera Universitaria Integrata Verona, di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi, al predetto titolare, di pagare la somma di euro 10.000,00 (diecimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/198. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi