Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati, così come prescritto dal GDPR.
Il provvedimento fa seguito a un grave attacco informatico di tipo ransomware che ha comportato l’accesso abusivo alla rete dell’Ordine, la cifratura dei dati presenti sui server e la cancellazione di backup conservati su dispositivi NAS.
L’attacco, riconducibile al gruppo criminale NoEscape, è stato scoperto solo una settimana dopo, quando l’Ordine ha ricevuto una segnalazione da parte del CSIRT nazionale (Computer Security Incident Response Team), che indicava la presenza sul dark web di un messaggio con minacce di pubblicazione di oltre 7 GB di dati riservati.
L’Ordine ha notificato il data breach all’Autorità, dichiarando di essere stato vittima di un attacco sofisticato, che ha portato alla pubblicazione illecita online di archivi contenenti dati personali.
Secondo quanto dichiarato dall’Ordine, i dati sono stati in parte recuperati grazie a salvataggi su cloud e a copie fisiche conservate in cassaforte, ma la violazione ha comunque coinvolto circa 15.000 registrazioni. I dati sottratti includevano anche categorie particolari di dati, tra cui quelli sanitari, relativi all’orientamento sessuale, alle convinzioni religiose e politiche, oltre a dati giudiziari, cioè relativi a procedimenti disciplinari o penali.
Gli interessati coinvolti sono stati circa 3.000, e l’impatto è stato definito alto soprattutto per 159 psicologi oggetto di procedimenti disciplinari e per le persone citate in tali documenti. Più limitato, ma comunque rilevante, l’impatto per alcuni dipendenti e collaboratori dell’Ordine, i cui documenti di identità risultano tra i file pubblicati.
I rischi concreti per gli interessati, riconosciuti dallo stesso Ordine, spaziano dalla perdita di controllo sui propri dati alla discriminazione, dal furto d’identità a danni economici e reputazionali, fino alla diffusione di dati personali a soggetti non autorizzati.
Nonostante l’Ordine abbia sostenuto che solo una parte “non significativa” dell’intero patrimonio informativo sia stata effettivamente colpita, 6,9 GB su centinaia, il Garante ha ritenuto la violazione grave e ha contestato all’ente l’assenza di adeguate misure di sicurezza, che avrebbero potuto contenere o impedire l’attacco.
Indice degli argomenti
Le difese della società
Di fronte alle contestazioni del Garante, l’Ordine degli Psicologi della Lombardia ha sottolineato la propria natura di ente pubblico non economico, caratterizzato da risorse limitate e assenza di finanziamenti statali.
Il suo bilancio, spiegano i vertici, si regge esclusivamente sulle quote versate dagli iscritti e può contare su un organico di soli 13 dipendenti.
Nonostante ciò, l’Ordine rivendica di aver destinato tra il 5% e il 7% del proprio fatturato annuale alla gestione delle infrastrutture IT e alla sicurezza informatica, in linea – sostengono – con gli standard di mercato.
La strategia di protezione adottata dall’ente è stata costruita, riferisce l’Ordine, sulla base delle linee guida dell’Agenzia per l’Italia Digitale (AgID), in particolare la Circolare n. 2/2017, che stabilisce le misure minime di sicurezza ICT per le pubbliche amministrazioni. Secondo tale cornice normativa, l’uso di sistemi avanzati di rilevamento automatico delle violazioni – come i Data Loss Prevention (DLP) o sistemi sofisticati di monitoraggio dei log e degli alert – rientra tra le misure di livello alto, e quindi non obbligatorie per realtà con profili di rischio e risorse ridotte come quella dell’Ordine.
L’attacco informatico, spiega l’ente nella propria memoria difensiva, sarebbe stato condotto con modalità brute force, ovvero mediante accessi ripetuti e mirati che sfruttavano credenziali utente precedentemente compromesse.
La mancanza di segnali d’allarme evidenti è attribuita a diversi fattori tecnici: gli accessi sono avvenuti in orari serali o nel fine settimana, sono stati distanziati nel tempo e non provenivano da paesi esteri bloccati.
Inoltre, il traffico generato dagli attaccanti sarebbe rimasto ben al di sotto della soglia di attenzione: non più di 5 GB in totale, spalmati su più giorni, a fronte di un traffico giornaliero abituale che oscilla tra i 10 e i 20 GB, anche a causa delle attività di aggiornamento e manutenzione ordinaria.
L’Ordine contesta inoltre l’ipotesi che la violazione sia avvenuta attraverso l’utilizzo di credenziali rubate. Al contrario, l’accesso sarebbe stato possibile a causa di una vulnerabilità del sistema (“bug”) prontamente risolta.
La risposta del Garante privacy
Alle argomentazioni avanzate dall’Ordine degli Psicologi della Lombardia in fase di difesa, il Garante per la protezione dei dati personali ha replicato con fermezza: limitarsi a rispettare le linee guida minime dell’AgID non è sufficiente.
Come ribadito in altri provvedimenti analoghi, tra cui quello del 17 luglio 2024 (n. 444, doc. web n. 10057610), la sola aderenza alle misure standard indicate dalla Circolare AgID n. 2/2017 – pensate per la vasta e variegata platea delle pubbliche amministrazioni italiane – non esonera il titolare del trattamento dall’obbligo di valutare concretamente l’adeguatezza delle misure adottate rispetto ai rischi effettivi connessi ai trattamenti di dati personali svolti.
Secondo l’Autorità, è proprio il principio di responsabilizzazione (accountability) sancito dal Regolamento UE 2016/679 a imporre al titolare di non fermarsi a standard minimi, ma di selezionare, caso per caso, misure tecniche e organizzative capaci di garantire un livello di sicurezza adeguato. E nel caso dell’Ordine, i trattamenti coinvolgevano dati riguardanti anche minori e soggetti vulnerabili.
Dunque, il livello di rischio era da considerarsi elevato, così come la gravità delle potenziali conseguenze in caso di violazione della riservatezza.
Il Garante sottolinea inoltre come l’adozione di sistemi automatizzati di monitoraggio e allerta, se correttamente configurati, avrebbe potuto rilevare attività anomale, anche se tecnicamente “sotto soglia”.
Accessi fuori orario, tentativi di connessione in giorni festivi o durante fine settimana – proprio come avvenuto nell’attacco – non sarebbero passati inosservati a un sistema evoluto.
Eventi apparentemente ordinari, ma in contesti sospetti, avrebbero potuto attivare segnalazioni tempestive. In mancanza di tali strumenti, invece, il controllo si è affidato esclusivamente a presidi manuali, che si sono rivelati inefficaci di fronte a un attacco sofisticato.
Sui costi della sicurezza: cosa impariamo
L’Ordine degli Psicologi della Lombardia ha provato a difendersi, sostenendo che la propria natura di ente pubblico non economico, con risorse limitate e senza contributi statali, avrebbe reso difficoltosa l’adozione di misure di sicurezza più avanzate.
Secondo quanto dichiarato, l’Ordine impiega mediamente tra il 5% e il 7% del proprio fatturato annuo per la gestione dell’infrastruttura tecnologica, una quota ritenuta in linea con gli standard di mercato.
Tuttavia, il Garante per la protezione dei dati personali ha respinto questa argomentazione, chiarendo che la scarsità di risorse economiche e organizzative non può giustificare la mancata implementazione di misure adeguate rispetto ai rischi derivanti dal trattamento dei dati personali.
A riprova di ciò, l’Autorità ha evidenziato che, subito dopo la violazione, l’Ordine è riuscito ad adottare strumenti più sofisticati, come un software per la rilevazione automatica delle minacce, sostenendone i costi senza apparenti difficoltà.
Questo, secondo il Garante, dimostra che l’investimento avrebbe potuto essere pianificato in via preventiva, anziché come risposta a un incidente già avvenuto.
In base all’art. 32 del Regolamento europeo, i titolari del trattamento devono valutare le misure tecniche e organizzative non solo in funzione del costo, ma anche tenendo conto dello “stato dell’arte”, della natura, del contesto e delle finalità del trattamento, nonché del rischio – in termini di probabilità e gravità – per i diritti e le libertà delle persone.
In particolare, il concetto di “stato dell’arte” va inteso in modo dinamico: le organizzazioni devono aggiornare costantemente le proprie misure alla luce dell’evoluzione tecnologica e dell’inasprirsi delle minacce informatiche.
Nel caso dell’Ordine, che gestisce dati personali di estrema delicatezza – incluse informazioni su procedimenti disciplinari, condanne penali, dati sanitari e su soggetti vulnerabili come pazienti o minori – il ricorso a strumenti di monitoraggio automatizzato e sistemi di allerta tempestiva era da considerarsi non solo raccomandabile, ma necessario.
Lo ribadiscono anche le “Linee guida 9/2022” del Comitato europeo per la protezione dei dati (EDPB), secondo cui la capacità di individuare e gestire prontamente una violazione costituisce un requisito essenziale per assicurare la conformità agli obblighi previsti dal Regolamento.
Inoltre, come sottolineato dal Garante, l’adozione di meccanismi automatici – se adeguatamente configurati e supervisionati – può permettere l’individuazione di anomalie che spesso sfuggono al controllo umano.
Attività apparentemente innocue, come traffico di rete in orari insoliti o durante giornate festivi, anche se statisticamente non anomale, possono rappresentare segnali critici se correttamente inquadrati all’interno di un sistema di sicurezza evoluto. In un contesto ad alta esposizione come quello dell’Ordine, l’adozione preventiva di tali strumenti avrebbe potuto fare la differenza.
Le misure post violazione
Dopo la violazione, l’Ordine ha adottato una serie di misure tecniche e organizzative per rafforzare la sicurezza dei propri sistemi e prevenire attacchi analoghi in futuro.
Tra le principali misure adottate, la creazione di accessi VPN basati su certificati, in sostituzione dei vecchi utenti locali, accompagnata da test di funzionamento e da una revisione delle regole di collegamento degli utenti VPN, che ora possono accedere solo ai server strettamente necessari.
È stato inoltre installato un nuovo agente di backup sul server principale, con una riconfigurazione sia del backup in cloud sia di quelli su quattro dispositivi NAS, al fine di garantire una maggiore affidabilità e protezione dei dati.
Una delle misure più rilevanti adottate dall’Ordine figura l’introduzione di un sistema di autenticazione a più fattori (MFA), volto a rafforzare la protezione degli accessi e a limitare significativamente il rischio di accessi non autorizzati.
Parallelamente, l’Ordine sta valutando l’acquisto di un’applicazione cloud per la gestione dell’albo degli iscritti, con funzioni avanzate di raccolta e analisi dei log, e l’invio automatico di alert per facilitare il monitoraggio della sicurezza.
I responsabili IT hanno ripristinato tutti gli archivi e stanno predisponendo un piano per ottimizzare ulteriormente le misure già esistenti, puntando in particolare all’introduzione di sistemi di autenticazione a più fattori e alla cifratura degli archivi.
Tra le altre azioni messe in atto vi sono il rafforzamento delle politiche di password, il blocco degli accessi notturni, la disattivazione degli ingressi non necessari ai server, il controllo della geolocalizzazione degli accessi esterni e la segmentazione più stringente della rete per isolare eventuali nuovi attacchi, evitando che si diffondano ad altri server e dispositivi.
Sono stati inoltre riconfigurati gli switch di rete e limitati gli accessi remoti tramite VPN, mentre sono stati implementati sistemi di backup immutabili e un air-gap tra l’ambiente di produzione e quello di backup, con l’obiettivo di garantire la massima sicurezza.
Il tramonto definitivo delle misure minime di sicurezza
Il provvedimento del Garante contro l’Ordine degli Psicologi della Lombardia segna l’ennesima conferma di un orientamento ormai consolidato: l’epoca delle “misure minime” è definitivamente tramontata. Il solo rispetto delle indicazioni standard – come quelle contenute nella circolare AgID n. 2/2017 – non basta più a garantire la conformità al GDPR, soprattutto quando il trattamento coinvolge dati riferiti a soggetti vulnerabili.
A essere sanzionata, in questo caso, non è stata solo la violazione in sé, ma la mancanza di misure preventive effettive e proporzionate al rischio.
L’implementazione di strumenti avanzati come il monitoraggio dei log, i sistemi di alert o l’autenticazione a più fattori – adottati soltanto dopo l’incidente – avrebbe potuto, se introdotti per tempo, mitigare o addirittura impedire l’attacco.
E in un contesto ad alto impatto, come quello gestito dall’Ordine, è la concreta esposizione al rischio – e non la categoria giuridica dell’ente – a imporre l’adozione di strumenti evoluti, anche in chiave preventiva.
Il caso dell’Ordine lombardo rappresenta quindi un monito per tutti i titolari del trattamento, pubblici o privati: la sicurezza dei dati non può più essere gestita con logiche difensive o meramente formali.
Serve una strategia attiva, dinamica e fondata su una reale comprensione del rischio. Solo così, oggi, si può parlare davvero di accountability.
