Premessa
Il Garante per la protezione dei dati personali ha ricordato che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato.
La vicenda ha preso avvio dall’attacco degli hacker del cd “gruppo Monti” subito dalla ASL 1 Abruzzo, di cui la struttura ha informato gli utenti mediante una comunicazione sul proprio sito web il 3 maggio scorso: https://www.asl1abruzzo.it/archivio2_notizie-ed-eventi_0_928_8_4.html aggiornata anche nei giorni seguenti, al fine di tenere informati gli utenti degli sviluppi i merito al ripristino dei dati. L’attacco hacker ha causato non pochi disagi, si legge infatti nella prima comunicazione che “Per interruzione del sistema informatico, non dovuto a problemi interni, non è possibile al momento effettuare la prenotazione di prestazioni presso sportelli CUP, call center e servizio online.” La questione non riguardava solamente la possibilità di gestire i servizi agli utenti a causa dell’interruzione del sistema informatico, ma anche e soprattutto la necessità di capire che fine avessero fatto i dati personali trafugati alla struttura. L’attacco è stato definito dall’Agenzia per la cybersicurezza “Uno fra i più rilevanti atti di pirateria informatica degli ultimi mesi”.
L’attacco, svoltosi mediante ransomware, ha comportato che una grande quantità di dati personali gestiti dalla ASL abruzzese è stata resa disponibile sul dark web dal gruppo di hacker. La stessa ASL Abruzzo, sul proprio sito in data 16 maggio ha poi informato gli utenti che “Chiunque acquisisce dati dal dark web e li diffonde on-line o sui social network si rende autore di reato per acquisizione fraudolenta e diffusione illecita di dati personali, penalmente perseguibile. Pertanto, si invitano gli utenti a non scaricare dal dark web e non condividere con terzi gli archivi di dati resi disponibili dal gruppo di hacker “Monti” potenzialmente riconducibili alla Asl1 Abruzzo. Si segnala inoltre che tali dati presenti sul dark web potrebbero essi stessi contenere virus/ransomware molto dannosi se memorizzati sui computer degli utenti.”
Il medesimo concetto è stato successivamente ribadito dall’Autorità Garante per la Protezione dei Dati Personali due giorni dopo ((https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9888360), ricordando che “chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato”. L’accesso al dark web richiede una conoscenza informatica di pochissimo superiore alla media, trovare i dati trafugati dal gruppo di hacker è in realtà relativamente semplice – ma per proporre una riflessione, non addentrandoci negli ovvi (mi permetto di partire dal presupposto che lo siano) aspetti etici e morali dell’accesso a dati personali di natura sanitaria di altre persone, si voglia ricordare quanto espresso dal Garante Privacy – siamo in presenza di condotte che possono costituire reato.
Attacchi di questo tipo possono inoltre creare ulteriori conseguenze allargando a macchia d’olio i potenziali effetti dannosi nei confronti dei pazienti i cui dati sono stati violati e diffusi: questi dati, essendo di facile disponibilità, oltre a essere stati violati tramite l’attacco, essendo disponibili sul dark web, probabilmente saranno ulteriormente trattati in maniera illecita per attacchi di phishing e social engineering.
Allontanandoci inoltre dalla vicenda specifica, permangono tuttavia dubbi riguardo alla concezione dei “propri scopi” di cui alle indicazioni del Garante Privacy: si intendono ricomprese anche attività di natura difensiva e/o di ricognizione sulla presenza di dati personali propri, magari condotte da un soggetto terzo dotato delle necessarie competenze informatiche per effettuare le ricerche nel mare magnum del dark web, qualora non vi siano rivendicazioni di sorta da gruppi di hacker che fungano da traccia?
Hai domande in merito? ReNorm può aiutarti!
Contattaci