PADOVA - Multa da 10mila euro per l'Ulss 6 Euganea, colpevole di aver inviato migliaia di certificati di esenzione dal ticket sanitario ai destinatari sbagliati nell'aprile 2022. La fuga di dati sensibili è avvenuta a seguito dell'attacco hacker subito dall'azienda sanitaria qualche mese prima, nel dicembre 2021. Dopo oltre un anno dal "data breach" legato ai certificati di esenzione, ora arriva la sanzione dal Garante per la privacy.
Fuga di dati
La violazione di dati personali ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro (certificazioni di tipologia 7R2). I pazienti avevano ricevuto nella cassetta della posta il certificato contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito. Dalle verifiche effettuate dall'Autorità - a seguito della ricezione di alcuni reclami e della notifica di data breach da parte dell'Ulss 6 - è emerso che la violazione era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti. Da quanto si apprende dal provvedimento, la sanzione di 10mila euro è stata calcolata tenendo conto che l'azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante e che l'episodio è risultato isolato e non volontario. L'azienda, inoltre, ha pianificato ulteriori misure per ridurre al minimo eventuali futuri errori, in particolare mediante l'attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d'esenzione in formato digitale.
L'attacco hacker
Nell'aprile 2022 le lettere sbagliate sono arrivate ai cittadini di tutta la provincia, sintantoché in quei giorni sui social si erano moltiplicati gli appelli di ricerca. Si leggeva: «Ho ricevuto il certificato di cerco chi ha ricevuto quello di mio figlio o mia figlia». Ma la ferita si era aperta il 3 dicembre 2021, con l'attacco hacker che ha messo sotto scacco il sistema informatico paralizzando la gestione di dati e prestazioni. I pirati informatici avevano chiesto un riscatto per non diffondere gli oltre 9 mila dati sensibili su cui avevano messo le mani durante l'attacco. Minaccia cui era stato dato seguito il 15 gennaio a fronte al rifiuto dell'azienda sociosanitaria di assecondare le richieste dei cyber criminali. Quindi, ai primi di febbraio, era stata la volta dei certificati, con l'invio via mail di circa 600 esiti di tamponi positivi con le intestazioni sbagliate. Dall'attacco hacker l'Usl ha investito ben oltre un milione di euro per la sicurezza informatica.
