[doc. web n. 10250180]

Provvedimento del 17 aprile 2026 

Registro dei provvedimenti
n. 277 del 17 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e l’avv. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, adottato con deliberazione del 28 giugno 2000 (doc. web n. 1098801);

Relatore la prof.ssa Ginevra Cerrina Feroni;                        

PREMESSO

1. La violazione dei dati personali 

In data XX l’Azienda USL Modena, di seguito “Azienda” ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento (UE) 2016/679 (di seguito “Regolamento”), una notifica di violazione dei dati personali, integrata con note del XX e XX e del XX e XX, riguardante un attacco informatico ai propri sistemi informativi, determinato da un malware di tipo ransomware a opera dell’attore malevolo Hunters International.

Tenuto conto dell’elevato numero di interessati coinvolti e della natura dei dati personali oggetto di violazione, l’Ufficio ha ritenuto necessario approfondire alcuni aspetti della violazione dei dati personali mediante una richiesta di informazioni (nota del XX) a cui l’Azienda ha fornito riscontro con nota del XX. Nel mese di XX è stata, inoltre, effettuata un’attività ispettiva nei confronti dell’Azienda.

2. Il fatto

Dall’esame degli atti e all’esito della citata attività ispettiva, è risultato quanto segue.

2.1. La descrizione della violazione dei dati personali 

2.1.1. Notifica della violazione al Garante

Preliminarmente, con la notifica del XX, l’Azienda ha dichiarato che si era verificato un attacco hacker (v. notifica del XX, sez. XX, punto XX) e, successivamente, ha informato l’Autorità in ordine alla pubblicazione sul dark web di n. 21 files esfiltrati dai sistemi dell’Azienda e successivamente di 1,2 milioni di files (per un totale di 954,7 GB) (v. notifiche del XX e XX e XX, sez. XX, punto XX).

2.1.2. Attività ispettive

Con riguardo alle modalità e tempistiche dell’attacco, durante le attività ispettive, l’Azienda ha confermato “quanto riportato nelle notifiche e, in particolare, nel documento di XX “Report Incidente AUSL-Modena” (di seguito “report incidente”) in cui è riportata, in modo puntuale, la descrizione delle diverse fasi dell’attacco. Al riguardo, è stato precisato che “l’attaccante è presumibilmente entrato nella rete dell’Azienda attraverso credenziali VPN utilizzate da un tecnico sistemista di XX che svolgeva assistenza sulle postazioni di lavoro (utenza “XX”) tramite l’host XX (XX) e che l’esfiltrazione è avvenuta a partire dal XX” (v. verbale del XX, pag. XX). Nella stessa occasione, l’Azienda ha rappresentato che “l’erogazione dei servizi verso l’utenza e la somministrazione delle prestazioni sanitarie non ha subito interruzioni, sebbene con rallentamenti dovuti al mancato supporto degli strumenti tecnologici. L’attività dei centri prelievi (laboratori) è stata comunque garantita per i pazienti interni ricoverati e la sua riattivazione per i pazienti esterni è stata individuata come prioritaria, anche con il recupero delle prestazioni prenotate e non erogate” (v. verbale del XX, pagg. XX e X).

Per quanto concerne la portata della violazione con riferimento alla temporanea indisponibilità di dati, l’Azienda ha dichiarato che “non ha avuto alcuna perdita di dati e ha ripristinato la maggior parte dei servizi nei primi 10 giorni predisponendo il ripristino, concordato con la direzione, sulla base di caratteristiche tecniche (es. anagrafe sanitaria, laboratorio di analisi) e della classificazione di urgenza dei servizi” e ha precisato che “sono stati riavviati, tra i principali sistemi in via prioritaria: dal XX il dominio e la posta elettronica, dal XX l’accesso agli applicativi regionali (autenticazione dal dominio AUSL) e l’anagrafe sanitaria e i servizi di assistenza collegati, dal XX le integrazioni degli applicativi dipartimentali (laboratorio, radiologia), il SIO (es. sale operatorie, cartella clinica, movimento degenti) e il CUP, dal XX il pronto soccorso, dal XX lo screening” (v. verbali del XX, pag. XX e del XX pag. XX).

Per quanto attiene al numero di interessati i cui dati, anche sulla salute, sono stati coinvolti dall’attacco, l’Azienda ha dichiarato che sono stati oggetto di esfiltrazione parziale “due asset (che) fungevano da file server con cartelle personali dei dipendenti e cartelle di reparto o servizio create su richiesta dal responsabile con opportuni diritti di accesso” e che “l’Azienda ha costituto un gruppo di lavoro dedicato all’analisi dei dati esfiltrati per determinare le categorie di dati, di interessati nonché il numero, anche approssimativo degli stessi. Il gruppo ha verificato a campione i documenti esfiltrati ed effettuato simulazioni per tentare di dimensionare e individuare gli interessati riscontrando grande variabilità in termini di tipologia di file (formati) e contenuti con la conseguenza di non poter confermare il rapporto 1:1 fra file e interessati” (v. verbale del XX, pag. XX). 

Riguardo la portata della violazione, con riferimento ai server e alle postazioni di lavoro, l’Azienda ha precisato, riguardo ai client, che “sono state colpite le postazioni delle radiologie in quanto queste erano, e sono tuttora, gestite da un diverso fornitore (FUJI) ed erano dotate di un antivirus che non ha bloccato l’attacco. Tutti gli altri client erano protetti da altro software antivirus e si era deciso di dotarsi, in generale, di una versione più evoluta di tali software pochi giorni prima dell’attacco” (v. verbale del XX, pag. XX).

2.2. Le misure in essere al momento della violazione

2.2.1. Notifica della violazione al Garante 

L’Azienda ha dichiarato che, al momento della violazione, in relazione alle misure tecniche e organizzative si avvaleva “di vari sistemi software e hardware: firewall, firewall applicativo, antispam, antivirus, SIEM (…) servizi di assistenza sistemistica specializzata in ambito di sicurezza informatica” (v. notifiche del XX e del XX) e, a integrazione di quanto indicato, ha evidenziato, che fra “le misure organizzative poste in essere” sono inclusi “gli atti aziendali di adeguamento al GDPR (istituzione registro dei trattamenti, nomina DPO, procedura gestione data breach); il Regolamento aziendale recante il sistema di gestione e protezione dei dati personali; la policy per la corretta individuazione dei soggetti delegati e dei soggetti designati al trattamento, nonché per la designazione dei responsabili del trattamento ex art. 28 GDPR; la policy per la gestione informatica delle abilitazioni agli applicativi informatici; il Regolamento aziendale per l’utilizzo delle risorse informatiche e degli strumenti di comunicazione; le attività formative in materia di protezione dei dati personali rivolte a tutti i dipendenti/collaboratori della Azienda: il corso in modalità FAD (…), obbligatorio per tutti i dipendenti (in particolare per i neo assunti) e sempre disponibile dal 2019 su apposita piattaforma online; attualmente in essere 2 corsi brevi online (cd “pillole di privacy”) in tema di DSE/FSE e di corretti comportamenti in ambito sanitario per garantire la tutela dei dati personali dei pazienti/utenti; nel mese di XX sono state avviate le attività propedeutiche all’avvio dei corsi ai dipendenti in materia di cybersecurity” (v. notifica del XX).

2.2.2. Attività ispettive

Circa le procedure di autenticazione informatica utilizzate nell’ambito dell’accesso in VPN e alle postazioni di lavoro, che erano in essere al momento della violazione e le password policy previste per le diverse tipologie di utenze, l’Azienda ha precisato che “per gli utenti con e senza privilegi amministrativi, le credenziali di autenticazione utilizzate per l’accesso remoto in VPN erano le stesse utilizzate per l’accesso ai sistemi di dominio (server e postazioni di lavoro) e non erano previste procedure di autenticazione informatica a più fattori. Il passaggio alla MFA era stato pianificato per il mese di XX per tutti gli utenti che accedevano in VPN ed è stato rilasciato in esercizio contestualmente alla riaccensione della VPN dopo l’attacco”; (…) “le password policy delle utenze erano, e sono tuttora, le medesime fatta eccezione per la lunghezza della password che, per le utenze con privilegi è XX)” (v. verbale del XX, pagg. XX e XX).

Riguardo le misure tecniche e organizzative adottate per il file server oggetto di violazione, l’Azienda, ha fornito copia del “Regolamento aziendale per l’utilizzo delle risorse informatiche e degli strumenti di comunicazione” che, al par. 8.8, recante “Dischi di rete, cartelle personali e cartelle condivise” prevede che “l’Azienda mette a disposizione degli utilizzatori che ne facciano richiesta spazio su dischi di rete (cartelle che possono essere personali o condivise tra più utilizzatori) per l’archiviazione di informazioni di carattere professionale. Non possono essere collocati sulle unità di rete - nemmeno per periodi brevi - file personali o comunque aventi contenuto diverso da quello strettamente connesso all’attività lavorativa” (…) il SICT provvede al backup dei dati collocati su unità di rete (…); le unità di rete devono essere mantenute con diligenza a cura degli utilizzatori mediante la periodica – almeno semestrale – revisione dei dati salvati e l’eliminazione di quelli obsoleti o, comunque, non più utilizzati o necessari. È opportuno evitare la duplicazione di dati” (v. verbale del XX, pag. XX e XX).

In riferimento alle misure di sicurezza con riferimento all’aggiornamento periodico (patch management) in essere al momento della violazione dei dati personali, l’Azienda ha dichiarato che “utilizzava, e utilizza, due XX, rispettivamente per i server e i client; che i sistemisti applicavano le patch per le CVE critiche segnalate da XX e che l’Azienda era dotata di una consolle centralizzata per l’aggiornamento dei server XX. La procedura di aggiornamento prevedeva e prevede il rilascio in esercizio dopo un mese in ambiente di test” (v. verbale del XX, pag. XX).

Con riferimento alle misure di sicurezza, in essere al momento della violazione dei dati personali, relative alla segmentazione delle reti, l’Azienda ha dichiarato che “la rete dell’Azienda era segmentata: una rete per i server con i database su VLAN dedicata, e una rete per le postazioni di lavoro. Tra le due reti erano, e sono tuttora, permesse le comunicazioni mediante alcuni protocolli per consentire il funzionamento degli applicativi (es. XX, XX) e l’accesso dai client sui server è regolato da access control list (ACL)” (v. verbale del XX, pag. XX). 

Con riguardo alle misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, l’Azienda ha fornito copia delle procedure di backup e restore nonché dettaglio dei job dei diversi client, server, nonché dello storage e schedule policy (v. verbale del XX degli eventi di sicurezza utilizzati per il rilevamento in tempo reale degli incidenti di sicurezza, con particolare riferimento ai software di monitoraggio, l’Azienda ha rappresentato che “disponeva di un SIEM XX che monitorava gli eventi di sicurezza generati dagli apparati di rete ma non di un SIEM che operasse una correlazione dei diversi eventi di sicurezza.

L’attivazione di tale SIEM era stata pianificata per il XX. La società XX monitorava il traffico IP; non erano stati impostati filtri di firewall per limitare accessi da località ritenute sospette a eccezione della Russia e dell’Ucraina, come da indicazioni del governo italiano. Non erano stati impostati alert o messaggi che rilevassero eventi di sicurezza (es. cancellazioni di chiavi di registro, creazione di utenze privilegiate, creazione di file eseguibili “.exe”) e, pertanto, le diverse operazioni del soggetto attaccante descritte nel report incidente non sono state rilevate. L’Azienda non era dotata di un SOC e il personale di presidio operava solo in orario di ufficio” (v. verbale del XX, pag. XX). 

Per quanto riguarda le modalità con le quali gli incidenti di sicurezza sono portati a conoscenza deisoggetti a vario titolo coinvolti e il processo di gestione degli incidenti di sicurezza nel caso in cui questi comportino una violazione dei dati personali, l’Azienda ha precisato che “è dotata, in orario di ufficio, di presidi con personale dedicato volto a raccogliere ed esaminare le problematiche applicative, di rete, e sistemistiche; fuori orario di ufficio è disponibile, a uno specifico numero di telefono, un risponditore automatico che consente di indirizzare, tramite tastiera del telefono, la problematica riscontrata al personale reperibile di primo livello della specifica area selezionata che, nei casi di maggior gravità, coinvolge, eventualmente, altre figure professionali di secondo livello dei servizi ICT”; che “dal XX le problematiche riguardanti i dati personali (potenziali data breach) sono oggetto di specifica e ripetuta formazione e che la procedura di gestione delle violazioni dei dati personali è disponibile per gli utenti interni sulla intranet nonché, per i responsabili del trattamento, sul sito istituzionale dell’Azienda” (v. verbale del XX, pagg. XX e XX).

Per quanto riguarda il progetto di modernizzazione della sicurezza informatica, l’Azienda ha dichiarato che “a partire da XX, all’esito della sottoscrizione di uno specifico contratto, aveva attivato un progetto di modernizzazione, del quale il relativo assessment era stato completato nei mesi di XX. Tale assessment si basava su un questionario composto da 180 domande, all’esito del quale erano stati individuati tre percorsi principali: formazione, Privileged Access Management (PAM) e SOC&SIEM. Tale progetto prevede, inoltre, servizi di vulnerability assesment (tre volte l’anno per le minacce esterne e due volte l’anno per quelle interne) e di penetration test (una volta l’anno) erogati da due fornitori diversi. Nel mese di XX, era stata avviata una campagna di simulazioni di phishing, poi sospesa a seguito dell’attacco e ripresa nel XX” (v. verbale del XX, pag. XX).

2.3. Le misure adottate a seguito della violazione

2.3.1. Notifica della violazione al Garante

Con riferimento alle misure adottate a seguito della violazione, l’Azienda ha rappresentato in dettaglio “le misure di sicurezza adottate per porre rimedio alla violazione e per prevenire simili future violazioni, con apposita relazione corredata da incident reporting prodotto dalla ditta XX” fra cui “isolamento dei sistemi; messa in sicurezza dei sistemi; ripristino previa scansione con tool appositi”; “in via di predisposizione (delle) comunicazioni, anche individuali, affinché gli (…) (interessati) prendano le necessarie precauzioni, come previsto dalla normativa. Tali comunicazioni, quanto meno per gli interessati maggiormente esposti al rischio (4 cartelle cliniche, 1 referto di PS), saranno presumibilmente consegnate brevi manu presso la sede del Distretto di residenza, previo contatto telefonico. Per quanto riguarda il 1.2000.000 files, previa verifica della loro effettiva attribuzione alla Azienda, quest’ultima sta valutando le corrette azioni informative da adottare, tenuto conto che ad oggi non è ancora stato possibile prendere visione del loro contenuto (…)” (v. notifica del XX, sezz. XX, puntoXX e XX, punto XX).

2.3.2. Attività ispettive

Nel corso delle attività ispettive, l’Azienda, circa le azioni adottate a seguito degli esiti delle analisi di Threat Intelligence svolta da XX al fine di verificare l’esposizione di account appartenenti all’Azienza medesima all’interno di leak su forum o market nel web, deep web e darknet, ha dichiarato che “all’avvio dei sistemi dopo il ripristino, tutte le utenze di dominio e gli account di posta elettronica sono stati oggetto di reset password obbligatorio” (v. verbale del XX, pag. XX).

Con riguardo alle attività formative svolte nel XX, l’Azienda ha dichiarato che “nell’ambito del citato progetto di modernizzazione, sono stati individuati due filoni: il primo riguardante la cybersecurity mediante campagne di simulazione di phishing, all’esito delle quali gli utenti vengono classificati in 3 livelli (base, intermedio e avanzato) e indirizzati a cicli formativi FAD, di 60 minuti, suddivisi in moduli brevi (“pillole”), aventi a oggetto tematiche in tema di cybersecurity (es. phishing, utilizzo corretto dei dispositivi, posta elettronica, ..) con test finale e crediti formativi. Nel XX sono state svolte 4 campagne di simulazione e di successiva formazione” descrivendo “il secondo filone di formazione effettuata dall’Ufficio privacy in modalità sincrona, con l’obiettivo di calare e declinare concretamente nell’organizzazione le indicazioni contenute nel “Regolamento per l’utilizzo degli strumenti informatici” (es. utilizzo dei PC, posta elettronica, file server, dispositivi rimovibili, etc..) anche con esempi pratici e prendendo spunto dai provvedimenti adottati dal Garante in materia.

Anche in tale caso l’attività formativa prevedeva test finali e crediti formativi” (v. verbale del XX, pag. XX).

Con riguardo allo stato di attuazione delle azioni realizzate in riferimento alle “Raccomandazioni di sicurezza” indicate nel “Report incidente”, l’Azienda ha fornito documentazione comprovante la conclusione, con relativa priorità e tempistiche delle attività conseguenti le predette raccomandazioni, della maggior parte delle attività nel primo semestre XX (v. verbale del XX, allegato XX).

Circa la conclusione delle diverse fasi della campagna di comunicazione indicate nella documentazione in atti, l’Azienda ha dichiarato che “la campagna di comunicazione “Digitale insieme”, divisa in fasi, avviata immediatamente dopo l’attacco è stata conclusa” (v. verbale XX, pag. XX).

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice 

In ordine alla fattispecie descritta, l’Ufficio, sulla base di quanto rappresentato dal titolare del trattamento nella notifica della violazione dei dati personali, nella nota di riscontro alla richiesta di informazioni e di quanto emerso nel corso dell’attività ispettiva, nonché all’esito delle conseguenti valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il titolare del trattamento a produrre scritti difensivi e documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; art. 18, comma 1, della legge 24 novembre 1981, n. 689).

In particolare, con atto n. XX del XX, l’Autorità ha ritenuto che l’Azienda fosse incorsa nella violazione del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento, nonché degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del medesimo Regolamento.

L’Azienda ha successivamente trasmesso le proprie memorie difensive ai sensi dell’art. 166, comma 6, del Codice. Con nota del XX, oltre a richiamare quanto già rappresentato in atti e nel corso dell’attività ispettiva, ha evidenziato, in sintesi, che:

- l’attacco informatico era stato preceduto da una fase di accesso abusivo e di infiltrazione progressiva ai sistemi, secondo modalità tipiche degli attacchi di tipo APT; 

- l’Azienda era già consapevole della necessità di rafforzare la propria postura di sicurezza e aveva avviato, prima dell’attacco, un progetto di ammodernamento dei sistemi, poi accelerato anche grazie ai finanziamenti PNRR; 

- non vi sarebbe stata alcuna interruzione dell’assistenza sanitaria, ma soltanto rallentamenti operativi di durata contenuta, considerato che l’Azienda aveva già procedure volte a garantire la sicurezza e la continuità operativa, quale, ad esempio, la presenza dei backup; 

- l’evento avrebbe determinato una compromissione della riservatezza dei dati, ma non una perdita di disponibilità o integrità degli stessi; 

- a tutti gli interessati che si sono rivolti all’Azienda sono stati forniti i necessari chiarimenti;

- dopo l’attacco, l’Azienda avrebbe adottato numerose misure tecniche, organizzative e informative, dirette sia al ripristino dei sistemi sia al rafforzamento strutturale del livello di sicurezza. 

In data XX si è tenuta l’audizione richiesta dall’Azienda ai sensi dell’art. 166, comma 6, del Codice, nel corso della quale la stessa ha ulteriormente ribadito che il progetto di rafforzamento della sicurezza informatica era già stato avviato prima dell’attacco, sebbene la sua attuazione sia stata rallentata da fattori organizzativi, economici e dalla necessità di completare la fase preliminare di assessment; ha inoltre sottolineato la tempestività della reazione all’evento e la prosecuzione degli investimenti nel settore della cybersicurezza.

4. Inquadramento giuridico e valutazioni dell’Autorità 

4.1. Quadro giuridico applicabile

Preso atto di quanto rappresentato dall’Azienda nel corso del procedimento, si osserva che:

- si considerano “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. considerando n. 35).

- l’art. 5, par. 1, lett. f), del Regolamento stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”;

- l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (..)” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

- le “Linee guida n. 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il XX (https://edpb.europa.eu/system/files/2023- chiariscono che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali.

4.2. Giudizio di merito sulle violazioni contestate.

In primo luogo si rileva che i trattamenti effettuati nel contesto in esame, che hanno ad oggetto anche dati appartenenti anche a categorie particolari e riguardano un numero molto rilevante di interessati, richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), del Regolamento, tutte quelle che si rendono necessarie al fine di attenuare i rischi che i medesimi trattamenti presentano e di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali. 

Alla luce di quanto sopra rappresentato, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nella memoria difensiva e nell’audizione, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il  richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Dall’esame delle informazioni e degli elementi acquisiti nonché della documentazione fornita dall’Azienda sono emersi i profili di seguito rappresentati. 

4.2.1. Mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali

Nel corso dell’istruttoria è emerso che, prima del lancio del ransomware, i soggetti attaccanti avevano posto in essere una pluralità di condotte sintomatiche e propedeutiche all’attacco tra cui: utilizzo di strumenti per l’estrazione di credenziali, attività di ricognizione della rete interna e delle utenze di dominio, esfiltrazione progressiva di dati a partire dal XX, connessioni anomale in orari notturni, modifiche di chiavi di registro, creazione di file eseguibili malevoli e attivazione di un’utenza privilegiata appartenente al gruppo “Domain Admins”.

Dalle risultanze ispettive è emerso, tuttavia, che il sistema SIEM in uso presso l’Azienda, al momento dei fatti, non effettuava una correlazione avanzata dei diversi eventi di sicurezza; non risultavano inoltre configurati alert o filtri idonei a segnalare o bloccare tempestivamente eventi anomali quali, ad esempio, accessi sospetti, creazione di utenze privilegiate, generazione di file eseguibili malevoli o alterazioni delle chiavi di registro. È stato altresì accertato che l’Azienda non era dotata di un Security Operation Center e che il presidio umano risultava limitato all’orario d’ufficio.

Tali elementi evidenziano l’assenza, al momento della violazione, di misure adeguate a consentire la tempestiva rilevazione dell’incidente, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, anche alla luce di quanto chiarito dalle Linee guida n. 9/2022 del Comitato europeo per la protezione dei dati, secondo cui la capacità di individuare tempestivamente una violazione costituisce componente essenziale di un assetto di sicurezza adeguato.

4.2.2. Mancata adozione di misure adeguate a garantire la sicurezza dei sistemi

È altresì emerso che, al momento della violazione, per l’accesso remoto in VPN venivano utilizzate le medesime credenziali impiegate per l’accesso ai sistemi di dominio, sia per utenti ordinari sia per utenti con privilegi amministrativi, e che non erano previste procedure di autenticazione a più fattori.

La stessa Azienda ha dichiarato che l’introduzione della MFA era stata pianificata soltanto per XX e che essa è stata resa operativa in concomitanza con la riattivazione della VPN successiva all’attacco.

Tale assetto, tenuto conto del contesto, della tipologia di dati trattati e della notoria esposizione del settore sanitario al rischio cyber, non può ritenersi conforme al livello di sicurezza richiesto dall’art. 32 del Regolamento. Ne consegue che, anche sotto tale profilo, il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

4.3. Dichiarazione in ordine alla legittimità del trattamento

Alla luce delle argomentazioni esposte, e non potendo le difese addotte superare i rilievi formulati dall’Ufficio, l’Autorità accerta che il trattamento posto in essere dall’Azienda è stato effettuato in violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).  

La violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, causata dalla condotta posta in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Ai fini della determinazione della sanzione, si tiene conto dei criteri di cui all’art. 83, par. 2, del Regolamento, e delle “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023 del Comitato europeo per la protezione dei dati, “

Nel caso di specie, la violazione presenta un livello di gravità elevato, avuto riguardo:

- alla natura dei dati coinvolti, comprendenti dati relativi alla salute; 

- all’elevato numero di interessati potenzialmente coinvolti; 

- all’intensità della violazione, in considerazione della tipologia di minaccia concretizzatasi e della inadeguatezza delle misure di rilevazione e prevenzione esistenti al momento dei fatti. 

Al tempo stesso, assumono rilievo:

- la tempestiva notifica della violazione da parte dell’Azienda; 

- la collaborazione, ben oltre l’obbligo previsto dall’art. 31 del Regolamento, prestata nel corso dell’istruttoria e dell’attività ispettiva; 

- le misure correttive e migliorative successivamente adottate; 

- il contesto organizzativo e finanziario in cui maturava il progetto di rafforzamento della sicurezza, anche in connessione con gli effetti protratti della pandemia e con la successiva attivazione di investimenti PNRR. 

Tenuto conto complessivamente di tali elementi, l’Autorità ritiene di determinare la sanzione amministrativa pecuniaria nella misura di euro 10.000,00 (diecimila), ritenuta, nel caso concreto, effettiva, proporzionata e dissuasiva ai sensi dell’art. 83, par. 1, del Regolamento.

In considerazione, inoltre, della natura dei dati oggetto di illecito trattamento e del numero dei soggetti interessati, si ritiene di disporre, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. h) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dall’Azienda Usl Modena, con sede in Modena, Via San Giovanni del Cantone, 23, CAP 41121, Partita Iva/Codice Fiscale 02241850367, nei termini di cui in motivazione, per la violazione delle disposizioni di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) alla medesima Azienda Usl Modena, di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; 

INGIUNGE

quindi, al predetto titolare, di pagare la somma di euro 10.000,00 (diecimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante; 

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori