[doc. web n. 10074293]

Provvedimento del 4 luglio 2024

Registro dei provvedimenti
n. 409 del 4 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali

Il XX l’Azienda sanitaria locale Città di Torino, di seguito “Azienda”, ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali -successivamente integrata con note del XX, XX e XX e XX, - riguardante un attacco informatico, determinato da un malware di tipo ransomware (HIVE), ai sistemi informativi della stessa.

In considerazione dell’elevato numero di interessati potenzialmente coinvolti e della natura dei dati personali oggetto di violazione, l’Ufficio ha richiesto informazioni all’Azienda in merito alla citata violazione dei dati personali, con particolare riferimento alle circostanze nelle quali la stessa si è verificata, nonché alle misure di sicurezza adottate (nota del XX, alla quale l’Azienda ha fornito riscontro con nota del XX). Successivamente, è stata effettuata un’attività ispettiva nei confronti dell’Azienda il XX, XX e XX.

2. Il fatto

La violazione dei dati personali è stata descritta sia nell’ambito della notifica effettuata, in più fasi, ai sensi dell’art. 33 del Regolamento all’Autorità, sia nel corso della citata attività ispettiva. In particolare, è risultato quanto segue.

2.1. La notifica della violazione al Garante

Preliminarmente, con la notifica del XX, l’Azienda ha dichiarato che i “server dell'azienda risultano sotto attacco informatico, per cui tutti i servizi applicativi non sono disponibili” e, successivamente, il XX, ha aggiornato le informazioni riguardanti la violazione dichiarando che “i server ed i data store dell’azienda, ubicati nei 3 data center dei presidi ospedalieri (XX, XX, XX) sono stati oggetto di attacco hacker, tramite il ransomware “HIVE”” (v. notifica del XX, sez. XX, punto XX e notifica del XX, sez. XX, punto XX).

In aggiunta a quanto precedentemente notificato, l’Azienda, il XX, ha integrato le informazioni con una relazione tecnica sintetica, da cui si evince che “dalla relazione dello CSIRT –ACN è emerso che i primi accessi illegittimi da parte dell’attaccante sono avvenuti in data XX” e che “in data XX, alle ore XX sono pervenute le prime segnalazioni di malfunzionamento ed anomalie dei sistemi applicativi aziendali, che, a seguito di verifiche ed analisi, sono risultate la conseguenza di un attacco ransomware, in seguito identificato come “HIVE”. Al fine di preservare e/o minimizzare la perdita di dati si è proceduto allo spegnimento dell’intera infrastruttura server e ad isolare l’area Data Center per tentare l’eventuale recupero dei dati. Prontamente si è proceduto ad effettuare la denuncia alla Polizia Postale di Torino, la quale è intervenuta sin dal primo giorno con le attività di indagine, lavorando con il gruppo informatico dell’ASL Città di Torino. Parallelamente, si è fatta la segnalazione dell’attacco hacker alla Prefettura ed allo CSIRT (Computer Security Incident Response Team) dell’Agenzia per la Cybersicurezza Nazionale (ACN). L’Azienda ha immediatamente attivato le società e i servizi volti alla gestione dell’emergenza […] dall’analisi effettuata dallo CSIRT non sono emerse azioni di attacco e compromissione verso le postazioni client, ma esclusivamente verso Server” (v. notifica del XX, sez. XX, punti XX e XX e All. XX).

Con nota del XX, infine, l’Azienda ha integrato la notifica, rinviando al documento “Attacco informatico ASL Città di Torino: relazione tecnica finale” redatto anche sulla base delle attività del “team di specialisti del DDFIR (Detection Digital Forensic & Incident Response) dello CSIRT [che avevano operato] presso la sede dell’Ospedale Amedeo di Savoia dell’ASL Città di Torino dal XX al XX” (v. notifica del XX, sez. XX, punto XX e All. XX).

2.2. Le attività ispettive

Nel corso delle attività ispettive, l’Azienda, con riguardo alle modalità e tempistiche dell’attacco, ha confermato “la ricostruzione della violazione dei dati personali notificata preliminarmente il XX, con particolare riferimento alle modalità e alle tempistiche riportate nella relazione finale allegata alla notifica integrativa del XX” (v. verbale del XX, pag. XX).

Per quanto concerne la portata della violazione con riferimento agli applicativi aziendali di ordine sanitario e amministrativo contabile, l’Azienda ha dichiarato che:

“la ASL nasce il 1° gennaio 2017, con il DPGR n. 94 del 13 dicembre 2016, dall’accorpamento delle Asl TO1 e TO2 a loro volta frutto di accorpamento di ASL di dimensioni inferiori effettuato nel 2008. Il territorio della Asl coincide con quello del Comune di Torino, con un bacino di utenza di circa 850.000 assistiti; l’azienda può contare su 4 presidi ospedalieri di cui il più grande è il XX”;

“la violazione ha coinvolto i sistemi server del data center dell’azienda ad eccezione di quelli ubicati presso i fornitori esterni fra cui gli applicativi dell’area amministrativa contabile, il servizio CUP, il sito internet, il servizio di posta elettronica, il servizio di assistenza delle apparecchiature di ingegneria clinica (XX), i sistemi XX, il sistema per la gestione del medico competente”;

- dalle analisi condotte dall’intelligence operation center “non è emersa la presenza sul web di credenziali riconducibili all’azienda e utilizzate nell’attacco di XX”;

“l’erogazione dei servizi verso l’utenza e la somministrazione delle prestazioni sanitarie ha subito qualche rallentamento ma nessuna interruzione (a esempio, il sistema a supporto del pronto soccorso è stato prontamente ripristinato con le funzionalità base e, successivamente, con le previste integrazioni con gli altri sistemi); tutte le strutture, infatti, hanno operato con modalità alternative e sono stati messi a disposizione moduli cartacei (es. procedura di ricovero, richieste di prestazioni specialistiche) e tutto il personale si è reso pienamente disponibile a operare con particolare impegno. Man mano che venivano ripristinati i servizi sono stati recuperati i dati acquisiti in modalità alternativa”;

- “l’attaccante, pur avendo avviato diversi tentativi, non è riuscito a compromettere in maniera definitiva la maggior parte dei sistemi server, anche grazie alla tempestiva chiusura dei canali di comunicazione esterni e interni e allo spegnimento dei data center. Il ransomware HIVE non è riuscito a cifrare interamente le macchine virtuali (file XX) ma solo porzioni di esse e i file descrittori del disco, con conseguente compromissione della lettura dei file medesimi. Con specifici tool, fra cui quelli forniti da XX, è stato possibile, quindi, recuperare e ricostruire i file delle macchine virtuali” e “la task force costituita a valle dell’incidente, il XX, ha proposto e quindi deciso con il direttore generale e l’unità di crisi, di valutare l’incidente nella sua portata di maggiore gravità e ritenere, precauzionalmente, tutta l’infrastruttura compromessa per poter procedere alle opportune analisi e verifiche puntuali di ciascun sistema, evitando i rischi derivanti da un’eventuale persistenza dell’attore malevolo […] si è proceduto al ripristino delle attività ritenute prioritarie (es. laboratorio analisi, pronto soccorso, pagamento degli stipendi)”;

“a valle dell’incidente, solo 39 server virtuali avevano subito una compromissione di livello medio-alto e 46 di livello lieve-moderato. Rispetto ai 428 server virtuali presenti nei data center al momento dell’attacco ne sono stati ripristinati in produzione 265 poiché i restanti 163 non erano funzionanti o erano dedicati a test o ambienti di sviluppo” (v. verbale del XX, pag. XX, XX e XX e verbale del XX pagg. XX e XX).

Per quanto attiene al numero di interessati i cui dati sulla salute sono stati coinvolti dall’attacco, l’Azienda ha dichiarato che “alla data del XX, sia da parte dello CSIRT che della polizia postale non è stata rilevata alcuna pubblicazione di dati sul web riconducibili all’azienda a seguito dell’attacco ransomware”, che “non è stato possibile confermare la violazione della riservatezza dei dati personali, né tantomeno individuare il numero, anche approssimativo, dei potenziali interessati coinvolti e la natura dei relativi dati personali”, che “intende verificare allo stato attuale l’eventuale pubblicazione di dati sul web riconducibili all’azienda a seguito dell’attacco ransomware” e ha fatto presente che “l’organizzazione criminale HIVE, responsabile fatto presente che l’organizzazione criminale HIVE, responsabile dell’attacco, è stata smantellata come da comunicato stampa del XX del Dipartimento di Giustizia degli Stati Uniti, da cui si evince che le forze di polizia hanno preso possesso dell’infrastruttura utilizzata dall’organizzazione per comunicare e sferrare attacchi” (v. verbale del XX pag. XX e verbale XX pagg. XX e XX).

3. Le misure in essere al momento della violazione

3.1. Notifica della violazione al Garante

Con riferimento alle misure in essere al momento della violazione, l’Azienda ha indicato le seguenti misure: “XX per il controllo perimetrale della struttura. XX per il controllo di virus e malware. Backup di primo e secondo livello eseguito tramite il software XX. I backup erano ridondati in datacenter (e/o apparecchiature) differenti: backup in ospedale XX ridondato in ospedale XX e viceversa. XX ridondato su XX diverse all’interno dello stesso datacenter. I datacenter avevano ingresso protetto con serratura chiusa a chiave. Il datacenter ospedale XX fornito anche di allarme in caso di apertura porta” (v. notifica del XX, sez. XX, punto XX).

3.2. Attività ispettive

Circa le procedure di autenticazione informatica utilizzate nell'ambito dell'accesso in VPN e alle postazioni di lavoro e le password policy previste per le diverse tipologie di utenze, l’Azienda ha dichiarato che:

- “le credenziali di autenticazione utilizzate per l’accesso remoto alla rete e ai sistemi gestiti dalla azienda in VPN erano le stesse utilizzate per l’accesso ai sistemi di dominio (server e postazioni di lavoro) e non erano previste procedure di autenticazione informatica a più fattori;

- “erano previste specifiche utenze amministrative per alcuni sistemi quali il server di posta elettronica, i firewall, le Storage Area Network (SAN)”;

- “non era […] prevista una differenziazione fra le utenze degli operatori con privilegi amministrativi e non;

- “la password policy prevedeva una lunghezza minima di XX con almenoXX caratteristiche diverse (maiuscola, minuscola, numero, carattere speciale), password history pari a , scadenza XX (v. verbale del XX, pagg. XX e XX).

Riguardo la segmentazione delle reti, l’Azienda ha dichiarato che “erano presenti misure di sicurezza relative alla segmentazione a livello logico della rete (VLAN): ogni data center era dotato di VLAN dedicata come i server infrastrutturali (storage, backup) e altre VLAN erano dedicate alle postazioni di lavoro. Tali VLAN non erano separate tra loro con apparati firewall. A seguito della violazione si sono create diverse zone, separate da firewall che consentono un controllo puntuale delle comunicazioni fra le macchine in zone diverse” (v. verbale del XX, pag. XX). 

L’Azienda ha, altresì, dichiarato che è stato “presentato un progetto regionale, legato al PNRR, anche insieme alle altre aziende sanitarie, che prevedeva, fra gli altri, interventi per potenziare la sicurezza, quali l’aggiornamento dell’infrastruttura di rete, nonché degli ambienti server, l’adozione di sistemi XDR, SIEM e un SOC, la migrazione al cloud, la sostituzione di applicativi obsoleti, anche al fine di omogeneizzare il patrimonio informativo e applicativo della regione”, rappresentando, altresì, di disporre “di poche risorse sia umane che finanziarie dedicate alla SC Tecnologie” (v. verbale del XX, pagg. XX e XX).

In relazione alle misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, l’Azienda ha dichiarato che:

- “l’azienda utilizzava il prodotto XX e le procedure di backup erano diversificate sia in riferimento ai data center che agli applicativi”;

- “i data base degli applicativi critici (es. pronto soccorso, gestione terapia) erano sottoposti a backup ogni 2 ore e le macchine dedicate agli ambienti di test degli applicativi medesimi venivano sottoposte a backup con frequenza settimanale. I backup avevano periodicità giornaliera in modalità incrementale e periodicità settimanale in modalità full. I tempi di conservazione dei backup erano diversificati per tipologia e sito: a breve termine con tempi di conservazione di 10 - 15 gg e conservati nel data center medesimo; a lungo termine con tempi di conservazione di 90 – 120 gg in altro data center geograficamente separato”;

-  “i data center dei presidi ospedalieri del XX e XX erano e sono tuttora dotati di linee dedicate al backup e segregate, non raggiungibili dall’esterno. Il data center del polo XX, non avendo linee di collegamento che consentivano di spostare il backup, era dotato di uno storage dedicato e separato per la conservazione del backup a lungo termine”;

- “venivano inoltre eseguite prove di restore, ogni 4 mesi circa o, comunque, a richiesta della struttura applicativa, dei fornitori o degli utenti” (v. verbale del XX, pag. X).

Per quanto concerne l’aggiornamento periodico dei sistemi, con particolare riferimento al XX e alla nota vulnerabilità XX, l’Azienda ha dichiarato che “i firewall erano puntualmente aggiornati con interventi pianificati. La parte ha altresì rappresentato che, per attivare l’infrastruttura a supporto dello smart working durante il periodo emergenziale della pandemia COVID-19 e dare continuità operativa ai servizi, si è dovuto procedere molto velocemente e ciò ha richiesto la profusione di un notevole impegno da parte del personale della SC Tecnologie nell’attivazione di servizi” e che “per la distribuzione degli aggiornamenti classificati come sicurezza da Microsoft alle postazioni client veniva e viene tuttora utilizzato il servizio WSUS” (v. verbale del XX, pag.XX).

Circa gli strumenti di monitoraggio degli eventi di sicurezza utilizzati per il rilevamento in tempo reale degli incidenti di sicurezza, con particolare riferimento ai software di monitoraggio, l’Azienda ha rappresentato che “al momento dell’incidente, l’azienda, anche con il supporto di XX, utilizzava lo strumento XX per le analisi dei firewall. A seguito della violazione l’azienda si è dotata di uno strumento di XDR e di un servizio controllo e monitoraggio dei Firewall” (v. verbale del XX, pag. XX).

Quanto alle modalità con le quali gli incidenti di sicurezza sono portati a conoscenza dei soggetti a vario titolo coinvolti e il processo di gestione degli incidenti di sicurezza nel caso in cui questi comportino una violazione dei dati personali l’Azienda ha precisato che “al momento dell’incidente, aveva già in uso, in caso di incidenti di sicurezza, indicazioni operative e un modello di segnalazione […] ispirato al modello di notifica del data breach messo a disposizione dal Garante, che il responsabile della struttura, sulla base delle indicazioni del dipendente che ha riscontrato la problematica, compila e invia all’ufficio privacy e al RPD. Tali soggetti, quindi, effettuano tutti gli opportuni approfondimenti al fine di valutare se l’incidente comporti una violazione dei dati personali trattati e, in tal caso, gli adempimenti da porre in essere alla luce del Regolamento. Le indicazioni, oltre a essere inviate formalmente tramite protocollo generale a tutte le strutture, anche a seguito di aggiornamenti, sono disponibili sulla intranet nella sezione privacy – data breach”. Ha, inoltre, rappresentato che “la SC Tecnologie, sulla base dell’esperienza, segue buone pratiche per la gestione degli incidenti di sicurezza, quali l’interruzione di energia elettrica, i guasti bloccanti della SAN, i blocchi di rete, l’indisponibilità dei servizi di dominio aziendale” (v. verbale del XX, pag. X).

4. Le misure adottate a seguito della violazione

4.1. Notifica della violazione al Garante

Con riferimento alle misure adottate a seguito della violazione, l’Azienda, con la notifica del XX, ha rappresentato che:

"sono stati spenti tutti i server al fine di preservare e/o minimizzare la perdita di dati, ed isolata l’area Data Center”;

“è stato installato il software XX centralizzato e distribuiti i suoi agent sui vari computer per il rilevamento di comportamento anomalo di sistemi informatici; è stato effettuato un hardering del firewall; è stato riattivato il sistema antivirus centralizzato che era stato criptato”;

“è stato attivato un ulteriore servizio di compromise assessment”;

"sono attivi i controlli e monitoraggi da parte dei SOC delle società XX e XX che analizzano le informazioni raccolte dai rispettivi Agent installati, XX e XX, con attività di intervento tempestivo qualora venissero rilevati segnali e comportamenti sospetti”;

“l’accesso generico ad internet dalle postazioni aziendali è stato bloccato, permettendolo la navigazione solo ad un numero limitato di siti istituzionali verificati, gestiti tramite white list”;

“l’infrastruttura Microsoft Active Directory è stata completamente ricostruita, ciò ha consentito una pulizia totale di eventuali compromissioni che fossero state attuate a livello di Active Directory. Sono state resettate le password di tutti gli utenti aziendali. Sono stati disabilitati tutti gli accessi VPN e ricreate ex-novo le credenziali di nuovi accessi VPN strettamente necessari e con limitazioni orarie. Tutti i servizi, applicativi e sistemi, prima di essere messi in produzione, sono stati controllati, bonificati e rispristinati su nuovi server, lasciando inalterati i sistemi/server originali compromessi, al fine di consentire le attività di analisi e indagini, nonché per garantire un eventuale successivo recupero dei dati se al momento non accessibili” (v. notifiche del XX, sez. XX, punto XX).

4.2. Attività ispettive

Nel corso delle attività ispettive l’Azienda ha rappresentato che:

a valle dell’incidente sono state previste sia “procedure di autenticazione informatica a più fattori” sia “3 livelli di utenze: utente non privilegiato/dipendente per l’accesso alla postazione di lavoro e alla posta elettronica, utente amministratore dei sistemi produzione (es. server con servizi applicativi), utente amministratore infrastruttura (es. XX,XX, Firewall)” (v. verbale del XX, pagg. XX e XX);

“attualmente si utilizza ancora il prodotto XX, aggiornato all’ultima versione, con infrastruttura di backup separata dall’ambiente di produzione ed è in corso l’acquisizione di elementi (hw e sw) per l’estensione del prodotto al fine di dotarsi anche di una metodologia di backup immutevole. Per quanto riguarda i tempi di conservazione sono tuttora utilizzate le medesime regole ma è stato esteso a 30 giorni il tempo di conservazione del backup a breve termine. E’ stato, inoltre, attivato un backup offline. (…) A seguito della violazione l’azienda si è dotata di uno strumento di XDR e di un servizio controllo e monitoraggio dei Firewall”; “nell’ambito del contratto Consip servizi cybersecurity 2, sono in corso di attivazione il servizio SIEM in aggiunta ai servizi, già attivati, SOC e XDR. L’azienda, inoltre, sta implementando quanto previsto nelle “Linee guida di sviluppo strategico per l’infrastruttura ICT e la sicurezza”, predisposte dal Politecnico di Torino a seguito di specifica collaborazione […]; è stato inoltre attivato con XX il servizio ”XX” per la prevenzione degli attacchi XX la maggior parte dell’infrastruttura era nuovamente operativa con le soluzioni definitive anche a valle delle verifiche effettuate dalla SC Tecnologie in collaborazione con la società XX” (v. verbali del XX, pag. XX e del XX, pagg. X, XX e XX).

Con riferimento alle operazioni di ripristino dei dati e dei sistemi, l’Azienda ha dichiarato che “nel ripristino dei sistemi che sono risultati compromessi è stata data priorità al sistema informativo per la gestione delle terapie oncologiche, comprese le preparazioni farmaceutiche, e a quello per la nefrologia e dialisi. Per quanto riguarda i sistemi a supporto del pronto soccorso, del laboratorio analisi e della gestione ricoveri, la SC Tecnologie ha prontamente predisposto strumenti informatici semplificati per consentirne l’operatività. A una settimana circa dall’incidente è stato ricostituito il dominio aziendale (Active Directory) anche con il supporto dello CSIRT. A partire dal XX la maggior parte dell’infrastruttura era nuovamente operativa con le soluzioni definitive anche a valle delle verifiche effettuate dalla SC Tecnologie in collaborazione con la società XX” (v. verbale del XX, pagg. X e XX).

4.3 La comunicazione della violazione agli interessati

In relazione alla comunicazione della violazione agli interessati l’Azienda ha preliminarmente rappresentato che erano “in corso le dovute valutazioni” (v. notifiche del XX e XX sez. XX, punto XX) e, successivamente, che era “stata fornita informativa ai cittadini tramite […] - stampa e altri media compreso il quotidiano più diffuso nella Città - sito web istituzionale www.aslcittaditorino.it [evidenziando che erano] in corso le verifiche da parte della polizia postale e agenzia cyber sicurezza nazionale; allo stato attuale la percentuale degli interessati sembrerebbe limitata e se saranno disponibili i dati puntuali, ultimate le verifiche, se possibile si procederà con una comunicazione capillare agli interessati” (v. notifica del XX, sez. XX, punti XX e XX).

Da ultimo, l’Azienda ha dichiarato di aver proceduto con una comunicazione “pubblica sul sito web istituzionale” ritenendo che la comunicazione individuale avrebbe richiesto sforzi sproporzionati (v. notifica del XX, sez. XX, punti XX e XX).

Durante le attività ispettive l’Azienda ha confermato di aver “pubblicato un primo comunicato stampa il giorno stesso dell’attacco, molto sintetico, informando del disservizio, poi internamente si è creato un gruppo WhatsApp con i dirigenti ai fini di comunicazione interna circa l’emergenza informatica. Successivamente si è provveduto ad aggiornare quotidianamente l’utenza circa lo stato di avanzamento del ripristino dei vari servizi con diversi comunicati stampa […] il XX è stata rilasciata un’intervista al TG regionale sull’attacco. L’azienda, tramite l’URP, ha ricevuto un numero esiguo di richieste di informazioni sui servizi da parte di interessati e ha anche attivato una casella PEC dedicata all’incidente: cybersicurezza@pec.aslcittaditorino.it, sulla quale non è stata formalizzata alcuna istanza. È stata altresì esposta apposita cartellonistica nelle bacheche e in tutti i locali accessibili al pubblico dell’azienda […] ha precisato che finora non è stata avanzata nessuna richiesta di risarcimento dei danni riconducibile ai disagi causati dall’attacco” (v. verbale del XX, pagg. XX e XX).

5. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In ordine alla fattispecie descritta, l’Ufficio, sulla base di quanto rappresentato dal titolare del trattamento nell’atto di notifica di violazione e di quanto emerso nel corso dell’attività ispettiva, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981). In particolare, con atto n. XX del XX l’Autorità ha ritenuto che l’Azienda fosse incorsa nella violazione del principio di “integrità e riservatezza”, di cui all’art. 5, par. 1, lett. f), del Regolamento nonché degli obblighi in materia di sicurezza del trattamento (art. 32 del Regolamento).

La medesima Azienda ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice. In particolare, con nota del XX, nel richiamare quanto già espresso nelle notifiche di violazioni e durante l’attività ispettiva, ha dichiarato che:

- “la natura della violazione è connessa ad una causa intenzionale esterna. La violazione ha comportato la temporanea indisponibilità dei dati, temporalmente circoscritta (..). Si segnala che (…), nel mese di XX sono stati prodotti gli esiti della investigazione di Cyber Thread Intelligence effettuata dalla società XX (..), da cui non è emersa alcuna presenza della presenza sul dark web di documenti contenenti dati sensibili relativi all’attacco subito, né sono emerse pubblicazioni di detti dati”;

- “i dati trattati dall’Asl riguardano tra l’altro: pazienti, minori, persone vulnerabili, beneficiari/assistiti, personale dipendente e collaboratori dell’Azienda”;

- “l’investigazione di Cyber Thread Intelligence ha confermato quanto dichiarato e riportato nel verbale di ispezione, circa l’assenza di evidenza di una violazione della riservatezza dei dati personali, e conseguentemente si rileva l’impossibilità di parlare di un numero, anche approssimativo, dei soggetti che potenzialmente potrebbero essere stati coinvolti e conseguentemente la natura dei relativi dati personali”;

- “si tratta (…) di una responsabilità di tipo colposo (…), determinata da un fatto illecito altrui, questo sì di natura dolosa”;

- “l’Azienda ha avviato sin dal primo momento un’azione finalizzata ad attenuare al massimo gli effetti della violazione. Data l’iniziale incertezza sull’effettivo grado di compromissione dell’infrastruttura, l’Azienda ha deciso di considerare precauzionalmente tutta l’infrastruttura come compromessa. Questo approccio ha permesso di effettuare analisi e verifiche puntuali ed approfondite su ciascun sistema, riducendo i rischi derivanti da una possibile persistenza dell’attore malevolo, consentendo un’accurata analisi della violazione ed un ripristino dei servizi in massima sicurezza”;

- “in questo contesto l’Azienda sempre garantito l’erogazione dei servizi e le prestazioni verso l’utenza con qualche iniziale rallentamento, ma senza alcuna interruzione”;

- “l’Azienda ha sempre attribuito grande importanza alla sicurezza e alla protezione dei dati. A partire XX, è stato avviato un progetto di digitalizzazione e reingegnerizzazione dei sistemi informativi dell’infrastruttura. Sin dal mese di XX, nell’ambito degli interventi PNRR, è stato presentato il progetto di Digitalizzazione che includeva una serie significativa di interventi volti a rafforzare la sicurezza, tra cui l’aggiornamento dell’infrastruttura di rete, nonché degli ambienti server, l’adozione di sistema XDR, SIEM e SOC, la migrazione al Cloud e la sostituzione di applicativi obsoleti- Le complesse attività avviate nel XX sono state portate a termine nel XX”;

- “l’ASL (…) si è messa immediatamente a disposizione di codesta Autorità con notifiche ex art. 33 GDPR, costantemente aggiornate allo scopo di garantire un adeguato flusso informativo in merito a tutte le evidenze ottenute man mano, in relazione all’attacco subito, con continue integrazioni e comunicazioni- L’Asl ha garantito la propria massima collaborazione e cooperazione anche durante le attività ispettive; sin dal primo giorno l’ASL ha coinvolto la Polizia Postale, con cui si è collaborato attivamente, fornendo continui aggiornamenti nei giorni e mesi a seguire, ai fini dell’indagine, ha contestualmente segnalato l’evento all’Agenzia per la Cybersicurezza Nazionale, che hai inviato subito il suo Gruppo di esperti dello CSIRT presso la sede dell’ASL. Questa sinergia ha permesso di rafforzare le indagini nonché di identificare rapidamente le azioni necessarie per mitigare gli effetti dell’attacco e migliorare la sicurezza dei sistemi aziendali”;

- “si è cercato di acquisire, in ottica collaborativa ma anche attenuativa degli effetti subiti, il maggior numero di elementi istruttori necessari alla delimitazione del fatto e alla più possibile corretta determinazione delle conseguenze sui dati personali e sulle libertà dei soggetti interessati, anche al fine di intraprendere correttamente tutti i passi necessari alla risoluzione del sinistro e al supporto degli interessati coinvolti indirettamente dall’attacco hacker”;

- “tra i dati trattati dall’ASL vi sono anche quelli ex art. 9 GDPR, relativi allo stato di salute, e ex art. 10 GDPR, relativi a condanne penali e reati”;

“l’ASL, dopo l’attacco, ha posto in essere condotte proattive volte a bloccare i suoi effetti, forte della significativa esperienza maturata, ha collaborato con l’Azienda Sanitaria Zero della Regione Piemonte per iniziative di formazione in materia di Cyber Security a favore delle Aziende sanitarie”;

- “ad attenuare l’entità del danno subito, si conferma che, alla data odierna, non sono pervenute richieste di risarcimento di danni per la violazione dei dati personali, né vi è stata evidenza di significativi contatti, lamentele, ricorsi e/o reclami e né tantomeno messe in mora da parte di presunti danneggiati”;

- “il danno subito è stato parimenti attenuato dalla pronta reazione dell’ASL, che ha garantito in maniera continuativa e senza interruzione l’erogazione dei servizi verso l’utenza e la somministrazione delle prestazioni sanitarie”:

- “nel corso del XX e del XX l’Azienda, anche con il supporto accademico progettuale del Politecnico di Torino, ha effettuato importanti investimenti sulla sicurezza e protezione dei dati, che a titolo esemplificativo hanno consentito di: superare l’obsolescenza dei software che erano presenti sul numero un residuo di sistemi; elevare le misure di sicurezza di accesso con autenticazione multi fattore con una differenziazione di tipologie di utenze e policy di sicurezza; segmentare le reti grazie all’acquisizione di ulteriori sistemi firewall; attivare soluzioni avanzate di SOC comprensivo di strumenti e soluzioni per la puntuale e tempestiva rilevazione di tentativi di violazione”.

Durante l’audizione richiesta dall’Azienda, che si è tenuta il XX, è stato rappresentato che:

- “nell’agosto del XX l’Azienda era reduce da 2 anni di pandemia, nei quali la priorità assoluta era contrastare la pandemia e garantire, il più possibile, l’incolumità degli assistiti”;

- “successivamente all’attività ispettiva, come dichiarato durante la stessa, è stata commissionata ad una società informatica specializzata, e successivamente effettuata, una analisi approfondita, eseguita nel periodo di XX, circa la presenza di informazioni riconducibili all’Azienda, a valle dell’attacco di XX, su dark e deep web. Gli esiti di tale analisi hanno evidenziato l’assenza delle predette informazioni”;

- “sono proseguite le attività di rafforzamento delle misure tecniche e organizzative adottate dall’Azienda”;

- “al momento, anche successivamente all’ispezione, non risultano pervenute richieste risarcitorie e reclami in relazione all’attacco occorso, ma soltanto 4 richieste di informazioni al riguardo; ciò confermerebbe l’assenza di danno per i cittadini”;

- “nell’immediatezza dell’attacco e nelle settimane successive, l’Azienda ha garantito regolarmente l’assistenza sanitaria ai cittadini, che non hanno subito conseguenze”;

- “l’Azienda ha collaborato attivamente, dimostrando una condotta leale e trasparente, sia con il CSIRT e con la Polizia postale, che con l’autorità di controllo, notificandole tempestivamente la violazione e aggiornando la notifica con gli elementi di volta in volta acquisiti, anche relativi alle misure adottate per prevenire simili violazioni future, per un totale di 5 comunicazioni nell’arco di 4-5 mesi; la predetta condotta, connotata da lealtà, trasparenza e collaborazione, è stata tenuta anche durante l’attività ispettiva; sono state, infatti, fornite, senza omissioni, tutte le informazioni richieste dal Garante, per valutare compiutamente la vicenda”.

4. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nel corso del procedimento, si osserva che:

si considerano “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento).

i dati personali devono essere “trattati in maniera da garantite un’adeguata sicurezza […] compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza», art. 5, par. 1, lett. f), del Regolamento).

l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 (https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf) chiariscono, inoltre, che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali;

il Considerando n. 85 precisa che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”;

secondo il Considerando n. 87, “è opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato”.

7. Valutazioni del Garante e conclusioni.

A fronte di quanto sopra rappresentato, si rileva che i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di un numero molto rilevante di interessati. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti anche a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata e durante l’audizione, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il  richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita dall’Azienda è emerso che il trattamento è stato effettuato in violazione degli art. 5, par. 1, lett. f) e 32 del Regolamento, in relazione ai seguenti profili:

7.1. Mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali

Nel corso dell’istruttoria è emerso che “i primi accessi illegittimi in VPN si sono verificati il XX attraverso l’account di un dipendente […]; da quel momento le azioni dell’attaccante si sono concentrate sull’acquisizione di privilegi sempre più elevati, sullo studio dell’infrastruttura server e sulla preparazione ed installazione di tools e programmi necessari per avviare la fase conclusiva dell’attacco. Alle ore XXdi XX l’attaccante ha avviato i processi di cifratura che sono proseguiti sino alle ore XX, orario in cui è stato spento l’ultimo Server dell’intera infrastruttura server e si è isolata l’area Data Center Aziendale al fine di preservare e minimizzare la compromissione dei sistemi e consentire il ripristino dei dati”.

L’Azienda ha dichiarato che “utilizzava lo strumento XX per le analisi dei firewall. A seguito della violazione l’azienda si è dotata di uno strumento di XDR e di un servizio controllo e monitoraggio dei Firewall”. Tale circostanza non ha consentito all’Azienda di venire tempestivamente a conoscenza della violazione dei dati personali occorsa.

La mancata adozione di misure adeguate a rilevare tempestivamente le violazioni dei dati personali non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, tenuto conto di quanto previsto dalle citate Linee guida, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “individuare […] tempestivamente una violazione”.

7.2. Mancata adozione di misure adeguate a garantire la sicurezza delle reti e obsolescenza dei software di base installati su alcuni sistemi di trattamento

Nel corso dell’istruttoria è emerso che l’Azienda non aveva adottato adeguate misure per segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, nonché i sistemi (server) utilizzati per i trattamenti. Infatti, come è emerso nel corso delle attività ispettive, “erano presenti misure di sicurezza relative alla segmentazione a livello logico della rete (VLAN): ogni data center era dotato di VLAN dedicata come i server infrastrutturali (storage, backup) e altre VLAN erano dedicate alle postazioni di lavoro. Tali VLAN non erano separate tra loro con apparati firewall”. In relazione a tale aspetto, l’Azienda, a seguito dell’incidente, ha ritenuto necessario creare “diverse zone, separate da firewall che consentono un controllo puntuale delle comunicazioni fra le macchine in zone diverse”.

Peraltro, al momento in cui si è verificata la violazione dei dati personali, l’accesso remoto, tramite VPN, alla rete della ASL, avveniva mediante una procedura di autenticazione informatica basata solo sull’utilizzo di username e password. In relazione a tale aspetto, l’Azienda ha specificato che “le credenziali di autenticazione utilizzate per l’accesso remoto alla rete e ai sistemi gestiti dalla azienda in VPN erano le stesse utilizzate per l’accesso ai sistemi di dominio (server e postazioni di lavoro) […] erano previste specifiche utenze amministrative per alcuni sistemi quali il server di posta elettronica, i firewall, le Storage Area Network (SAN); non era […] prevista una differenziazione fra le utenze degli operatori con privilegi amministrativi e non”. In relazione a tale aspetto, l’Azienda, a seguito dell’incidente, ha ritenuto necessario attivare una procedura di autenticazione informatica a più fattori.

Nel corso dell’istruttoria è emerso che “non si ha avuto evidenza delle vulnerabilità sfruttate e che l’ipotesi dello CSIRT è che siano state utilizzate vulnerabilità di alcuni server con sistemi operativi obsoleti come il server XX con sistema operativo XX e che “al momento dell’incidente vi erano 21 macchine con sistema operativo XX in produzione e dedicate ad applicativi legacy su cui non era possibile fare aggiornamenti”. In relazione a tale aspetto, l’Azienda, a seguito dell’incidente, ha proceduto a razionalizzare e ridurre il numero di “server virtuali con il sistema operativo XX” e a isolarli “in una zona c.d. “nera” senza connettività”.

La mancata realizzazione, al momento della violazione, di misure adeguate a garantire la sicurezza delle reti e l’utilizzo di software di base obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza, non risulta pienamente conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, richiede che il titolare del trattamento debba mettere in atto misure per “assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)).

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, causata dalla condotta posta in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60), nonostante il carattere non intenzionale della violazione (l’episodio risulta essere stato determinato da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alla polizia postale).

Ciò premesso, valutati nel loro complesso taluni elementi e, in particolare, che:

- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del (art. 83, par. 2, lett. h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nell’introduzione di misure volte a ridurre la replicabilità dell’evento occorso e ha dimostrato un altissimo grado di cooperazione con l’Autorità in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. c) e f) del Regolamento);

si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 8.000,00 (ottomila/00) per la violazione degli artt. 5 e 32 del medesimo Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria locale Città di Torino, per la violazione dei principi di base del trattamento di cui all’art. 5, par. 1, lett. f) e degli obblighi di cui all’art. 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Azienda sanitaria locale Città di Torino, con sede legale in Torino, Via San Secondo, n. 29 - 10128 - Codice Fiscale/Partita Iva 11632570013, di pagare la somma di euro 8.000,00 (ottomila/00) a titolo di sanzione amministrativa pecuniaria, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione per intero del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice, e ritiene che ricorrano i presupposti per l’annotazione nel registro interno dell’Autorità di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei