Nel panorama digitale attuale, la sicurezza dei dati personali è una sfida costante, sia per le aziende private che per gli enti pubblici. Un recente provvedimento del Garante per la Protezione dei Dati Personali ha fatto luce su un grave incidente che ha coinvolto l’Ordine degli Psicologi della Regione Lombardia (OPL), offrendo spunti importanti sulle responsabilità dei titolari del trattamento e sull’importanza di misure di sicurezza adeguate.

Questo articolo analizza i dettagli dell’attacco, le misure adottate dall’Ordine e la valutazione del Garante, sottolineando i punti chiave del provvedimento.

Qui il provvedimento del Garante della Privacy.

L’Attacco Ransomware all’Ordine degli Psicologi della Lombardia

L’incidente ha avuto inizio il 3 ottobre 2023, quando l’Ordine degli Psicologi della Regione Lombardia (OPL) ha subito un accesso abusivo alla rete informatica, la cifratura dei dati sui server e la cancellazione dei dati da NAS di backup. L’Ordine ha successivamente chiarito che si trattava di un sofisticato attacco ransomware attribuito all’associazione criminale “NoEscape”.

L’attacco ha comportato la cifratura e l’esfiltrazione di circa 6,9GB di dati (compressi 4,5 GB). Successivamente, a seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato i dati esfiltrati sul dark web in due diverse date, il 18 ottobre e il 31 ottobre 2023. L’analisi condotta da un consulente esterno ha confermato che i dati pubblicati sul dark web ammontavano a circa 4.16GB e includevano: Carte d’identità e passaporti, Accordi riservati, Contratti, Documenti bancari, Dati correlati ai clienti (presumibilmente iscritti all’Ordine) e Report interni.

I Dati e gli Interessati Coinvolti

La violazione ha coinvolto circa 15.000 registrazioni di dati personali. L’Ordine ha stimato che gli interessati coinvolti nell’attacco informatico fossero 3.000. Tra i dati violati figuravano:

  • Dati anagrafici e di contatto.
  • Dati di pagamento.
  • Dati relativi a documenti d’identità/riconoscimento.
  • Dati coperti da segreto professionale.
  • Dati appartenenti a categorie particolari (origine razziale o etnica, convinzioni religiose o filosofiche, appartenenza sindacale, vita sessuale o orientamento sessuale, stato di salute).
  • Dati relativi a condanne penali e reati.

L’Ordine ha valutato l’impatto della violazione come alto per i dati di circa 159 interessati coinvolti in procedimenti disciplinari (segnalanti/segnalati e persone citate). Per questi soggetti, la violazione comportava rischi elevati, tra cui perdita di controllo dei dati, discriminazione, furto d’identità, frodi, pregiudizio alla reputazione, conoscenza da parte di terzi non autorizzati e danni economici e sociali significativi. Per i dipendenti (13) e i collaboratori (3) i cui documenti d’identità erano stati esfiltrati, la gravità è stata ritenuta media. Per altri interessati, l’Ordine ha ritenuto che la documentazione riguardasse unicamente le parti coinvolte e il provvedimento adottato. Successivamente, l’Ordine ha chiarito che le uniche categorie particolari di dati personali impattate per i dipendenti riguardavano l’appartenenza sindacale, limitata a ricevute di pagamento delle quote. Per fornitori e altri iscritti non coinvolti in procedimenti disciplinari, le informazioni oggetto della violazione erano prevalentemente di pubblico dominio.

Le Misure di Sicurezza Prima e Dopo l’Attacco

Al momento dell’attacco, l’Ordine ha dichiarato di adottare diverse misure di sicurezza:

  • Verifiche costanti sugli aggiornamenti dei sistemi operativi, firmware degli apparati di rete.
  • Sistema di autenticazione configurato e monitorato.
  • Antivirus su tutte le postazioni.
  • Salvataggi in locale su due NAS in sedi diverse.
  • Un backup in cloud con un fornitore terzo.
  • Backup su dischi esterni USB conservati in cassaforte (5 HD) e in cassetta di sicurezza bancaria (2 HD).
  • Una VPN per la connessione ai sistemi.
  • Monitoraggio e aggiornamento costanti di queste misure.

Dopo la violazione, l’Ordine si è attivato per ripristinare i dati dai backup (fisici e cloud). Sono state prontamente coinvolte parti terze e sono state adottate misure immediate:

  • Disabilitazione delle regole sul firewall che permettevano l’accesso esterno in terminal server.
  • Blocco di tutte le VPN attive e aggiunta di regole per bloccare il traffico notturno.
  • Cambio delle password (a partire dal server di dominio).
  • Creazione di una nuova macchina virtuale con software di backup.
  • Ripristino dei server virtuali utilizzando copie di backup fisiche e cloud.
  • Eliminazione dei file criptati dopo averne fatta copia.
  • Test e installazione di software di monitoraggio su tutte le macchine e server.

Per prevenire simili violazioni in futuro, l’Ordine ha implementato ulteriori misure:

  • Creazione di accessi VPN con certificati al posto degli utenti locali.
  • Test di funzionamento e modifica delle regole di collegamento VPN.
  • Installazione di un nuovo agent di backup e riconfigurazione dei backup su cloud e NAS.
  • Adozione di un nuovo applicativo in cloud per la gestione dell’albo.
  • Valutazione dell’acquisto di un applicativo per la raccolta e l’analisi dei file di log con alert.
  • Predisposizione di un piano di ottimizzazione delle misure, includendo misure più stringenti per le categorie particolari di dati, come l’adozione di un sistema di autenticazione a più fattori (MFA) e la cifratura degli archivi.
  • Valutazione di un software di monitoraggio per identificare criticità e allertare l’ADS.
  • Valutazione di una soluzione per garantire l’integrità dei salvataggi on site e un ripristino rapido.
  • Introduzione di una nuova segmentazione della rete per isolare attacchi.
  • Implementazione di nuove procedure di backup e air-gap tra produzione e backup.
  • Definizione di password policy più stringenti.
  • Blocco degli accessi notturni alla rete e regole più rigide per l’accesso ai server.
  • Controllo della geolocalizzazione degli accessi esterni.
  • Riconfigurazione degli switch di rete.
  • Limitazione dell’accesso remoto tramite VPN.
  • Implementazione di nuovi sistemi di backup immutabili.

La Comunicazione agli Interessati

L’Ordine si è impegnato a comunicare la violazione agli interessati entro il 24 novembre 2023. La comunicazione è stata effettuata:

  • Su base individuale, per i segnalanti/segnalati e individui citati nei procedimenti disciplinari ad alto rischio, nonché per i dipendenti e collaboratori coinvolti (circa 334 interessati rintracciabili).
  • Mediante comunicazione pubblica sul proprio sito Internet per gli altri interessati, ritenendo l’invio individuale uno sforzo sproporzionato, in conformità con l’articolo 34, comma 3, del Regolamento GDPR.

L’Istruttoria del Garante e i Punti Critici

Il Garante ha avviato un’attività istruttoria, notificando all’Ordine l’avvio del procedimento per aver omesso di adottare misure adeguate a rilevare tempestivamente le violazioni di dati personali e garantire la sicurezza degli stessi.

Secondo il Garante, l’Ordine ha violato gli artt. 5, par. 1, lett. f) e 32, par. 1, del Regolamento GDPR. Il Garante ha identificato diverse criticità:

  1. Mancata adozione di misure adeguate a rilevare tempestivamente le violazioni: Nonostante i log del firewall mostrassero numerosi tentativi di connessione RDP (Remote Desktop Protocol) dall’esterno già dal 30 settembre 2023 e sessioni RDP serali/notturne dal 2 ottobre, l’Ordine si è accorto dell’attacco solo il 3 ottobre, inizialmente interpretandolo come un problema tecnico, e solo il 10 ottobre ha compreso che si trattava di una violazione di dati personali. Il Garante ha rilevato la mancanza di misure adeguate per rilevare tempestivamente comportamenti anomali negli accessi alla rete e nelle operazioni sugli account.
    • Le difese dell’Ordine: L’Ordine ha sostenuto di aver adottato misure in linea con il livello standard delle Circolari AgID per le pubbliche amministrazioni, ritenendole adeguate. Ha argomentato che un meccanismo di alert avanzato sarebbe stato un onere sproporzionato date le limitate risorse economiche e organizzative. Inoltre, ha affermato che l’attacco era così sofisticato (esfiltrazione progressiva in orari notturni/festivi senza superare la soglia di traffico media) che anche sistemi di alert avanzati potrebbero non essere stati efficaci.
    • La posizione del Garante: Il Garante ha respinto queste argomentazioni. Ha sottolineato che la conformità alle Circolari AgID (basate sullo stato dell’arte del 2015) non esonera il titolare da una valutazione concreta e periodica dei rischi attuali, che sono notevolmente aumentati negli anni successivi. I costi di attuazione sono un fattore da considerare nella scelta tra soluzioni efficaci, ma non possono giustificare un abbassamento del livello di protezione necessario, soprattutto considerando la natura delicata dei dati trattati (categorie particolari, dati relativi a procedimenti disciplinari, soggetti vulnerabili come pazienti e minori). Sistemi automatici di alert, se configurati correttamente, possono rilevare eventi che sfuggono al controllo umano, indipendentemente dal volume di traffico anomalo. Il Garante ha anche notato che l’Ordine, dopo la violazione, ha comunque sostenuto il costo di un software per la rilevazione di minacce, dimostrando la possibilità di sostenere tali costi.
  2. Mancata adozione di misure adeguate a garantire la sicurezza dei sistemi: Il Garante ha riscontrato che l’Ordine non aveva adottato un sistema di autenticazione a più fattori (MFA), misura che avrebbe potuto impedire l’accesso anche in caso di compromissione delle credenziali. L’Ordine ha adottato l’MFA solo dopo l’incidente.
    • Le difese dell’Ordine: L’Ordine ha dichiarato che al momento dell’attacco aveva un sistema di autenticazione configurato in linea con AgID (richiedendo MFA solo per utenze privilegiate di livello “alto”) e password robuste (14 caratteri, non riutilizzabili). Ha sostenuto che l’attacco non è avvenuto tramite sottrazione di credenziali, ma per una “vulnerabilità” (bug) di un punto di accesso RDP, e che quindi l’MFA non avrebbe evitato la violazione. Ha anche affermato che le credenziali email esposte (non protette adeguatamente da cifratura) non erano utilizzabili per accedere ai sistemi interni tramite RDP. I costi di scansioni del dark web o vulnerability/penetration test erano sproporzionati. Infine, ha dichiarato che le credenziali per l’accesso ai sistemi interni erano protette da algoritmi crittografici tramite Active Directory e che i dischi dei computer erano cifrati, misure ritenute in linea con AgID.
    • La posizione del Garante: Il Garante ha ribadito che i costi non possono giustificare un livello di protezione inadeguato. Ha confermato che la mancanza di MFA era una misura inadeguata per un trattamento ad alto rischio come quello dell’Ordine. Sebbene l’Ordine sostenga che le credenziali email esposte non fossero il vettore diretto, il Garante ha notato che non erano adeguatamente protette e che non si può escludere che gli attaccanti abbiano tentato di usarle o credenziali simili. Il Garante ha infine rilevato che il server RDP, vettore d’ingresso dell’attacco, utilizzava un sistema operativo obsoleto (XX), le cui vulnerabilità sono state sfruttate. Questo configura un’ulteriore omissione nel garantire la sicurezza dei sistemi.

La Sanzione del Garante

Alla luce delle violazioni riscontrate (artt. 5, par. 1, lett. f) e 32, par. 1, del Regolamento GDPR), il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria. Ai sensi dell’art. 83, par. 3, del Regolamento, poiché le violazioni derivano da un’unica condotta legata al trattamento, si applica la sanzione prevista per la violazione più grave, che nel caso specifico è quella dell’art. 5(1)(f), soggetta a una sanzione massima di 20.000 euro.

Nel determinare l’importo, il Garante ha tenuto conto di diversi fattori:

  • Elementi a carico dell’Ordine: L’omessa adozione di adeguate misure tecniche e organizzative, per la quale l’Ordine ha un elevato grado di responsabilità. L’alto livello di gravità della violazione, dato il numero elevato di interessati e la natura delicata dei dati, con conseguenti rischi significativi. La negligenza della condotta, pur considerando che l’esfiltrazione è imputabile a un atto doloso esterno.
  • Elementi a favore dell’Ordine: La presenza di un firewall che rilevava i log (sebbene non monitorati tempestivamente). La sofisticatezza dell’attacco, studiato per eludere i controlli di traffico. La violazione non ha compromesso l’integrità e la disponibilità dei dati (grazie ai backup). L’Ordine ha notificato tempestivamente la violazione al Garante e ha cooperato durante l’istruttoria. Non risultano precedenti violazioni pertinenti. L’Ordine è un ente pubblico con limitate risorse organizzative ed economiche.

Considerando tutti questi elementi, il Garante ha determinato la sanzione pecuniaria nella misura di 30.000 euro. Ritenendo che l’Ordine avesse già adottato misure correttive per prevenire futuri incidenti, il Garante non ha ritenuto necessario imporre ulteriori misure oltre alla sanzione.

Conclusioni

Il caso dell’Ordine degli Psicologi della Lombardia evidenzia l’importanza cruciale di:

  1. Valutazione dinamica del rischio: Le misure di sicurezza non sono statiche e devono essere costantemente aggiornate alla luce dell’evoluzione tecnologica (“stato dell’arte”) e dell’aumento del rischio cibernetico. La conformità a standard minimi o linee guida obsolete potrebbe non essere sufficiente.
  2. Investimenti adeguati nella sicurezza: Le limitate risorse non possono giustificare la mancata adozione di misure essenziali, soprattutto quando si trattano dati sensibili di un elevato numero di interessati e soggetti vulnerabili.
  3. Meccanismi di rilevamento tempestivo: Implementare sistemi (anche automatizzati) che consentano di identificare rapidamente attività sospette è fondamentale per limitare i danni di un data breach. Il monitoraggio dei log deve essere efficace e costante.
  4. Protezione degli accessi e gestione delle vulnerabilità: L’uso di autenticazione a più fattori (MFA) e la gestione tempestiva delle vulnerabilità dei sistemi (come server RDP esposti o sistemi operativi obsoleti) sono misure basilari per impedire accessi non autorizzati.
  5. Sicurezza “by design” e “by default”: La protezione dei dati deve essere considerata fin dalla progettazione dei trattamenti e delle infrastrutture.

Ricevi aggiornamenti via WhatsApp e via Facebook.

Condividi questo post

By Published On: 31 Maggio 2025Categories: Privacy0 Comments on Un Attacco Ransomware, Dati Sensibili e la Decisione del Garante Privacy: Il Caso dell’Ordine degli Psicologi della LombardiaTags: , Last Updated: 31 Maggio 2025

Leave A Comment

Post correlati

Commento sanzione Garante Privacy su certificazioni Aziende Sanitarie

Commento sanzione Garante Privacy su certificazioni Aziende Sanitarie

13 Gennaio 2025|0 Comments
Garante Privacy: nei certificati niente riferimenti al Servizio e alle cure prestate

Garante Privacy: nei certificati niente riferimenti al Servizio e alle cure prestate

11 Gennaio 2025|0 Comments
Obblighi privacy per il Dirigente Psicologo: soggetto autorizzato vs. soggetto designato

Obblighi privacy per il Dirigente Psicologo: soggetto autorizzato vs. soggetto designato

11 Dicembre 2024|0 Comments
Garante Privacy sulla ricerca psicologica nelle scuole

Garante Privacy sulla ricerca psicologica nelle scuole

13 Giugno 2024|0 Comments
Garante Privacy sanziona Psicologo per violazione privacy

Garante Privacy sanziona Psicologo per violazione privacy

12 Giugno 2024|0 Comments
Total Views: 388Daily Views: 1