Era maggio 2023 quando la Azienda Sanitaria Locale della provincia dell’Aquila finì nel mirino di una campagna di cyberattacco. Non una semplice violazione, ma un vero e proprio data breach che espose al pubblico – e presumibilmente a operatori malevoli – le cartelle cliniche e i dati personali di circa 6.800 pazienti. L’attacco era di tipo ransomware, condotto dalla cyber-gang criminale Monti, ovviamente sempre presente nella memoria storica di Ransomfeed. Tra questi, come emerso successivamente, figuravano anche informazioni sensibili appartenenti a membri della magistratura aquilana, dettaglio che di fatto trasferì l’inchiesta penale alla Procura di Campobasso per questioni di competenza territoriale.
Oggi, a distanza di oltre due anni, le conseguenze legali di quell’incidente iniziano a materializzarsi in modo concreto. Un gruppo di pazienti, rappresentato dagli avvocati Marco Colantoni (Foro dell’Aquila) e Pier Luigi D’Amore (Foro di Avezzano), ha notificato all’ASL una diffida stragiudiziale con una richiesta di risarcimento danni collettiva di 2,5 milioni di euro. La notizia, rimbalzata dalle agenzie di stampa, riporta alla luce non solo le gravi responsabilità in capo all’ente sanitario, ma solleva questioni cruciali sulla sicurezza informatica delle infrastrutture pubbliche che gestiscono dati “speciali” come quelli sanitari.
La tesi dei legali è netta e si fonda su un presupposto tecnico-giuridico preciso: la violazione sistematica del GDPR sarebbe diretta conseguenza di un sistema informatico obsoleto e strutturalmente inadatto a respingere intrusioni sofisticate. In altre parole, la vulnerabilità dell’infrastruttura IT dell’ASL avrebbe costituito la falla che ha permesso l’esfiltrazione dei dati. Non un incidente inevitabile, quindi, ma il risultato di una negligenza nella governance della cybersecurity.
All’epoca dei fatti, l’ASL era guidata da Ferdinando Romano (oggi alla guida del Policlinico Tor Vergata di Roma). Le indagini della Polizia Postale, ancora in corso contro ignoti – con il sospetto che l’attacco sia partito da server esteri –, hanno delineato un’operazione tipica del cybercrime moderno: violazione, cifratura o esfiltrazione dati, e richiesta di riscatto. Il Garante della Privacy, nel suo esame amministrativo, aveva inizialmente ipotizzato una sanzione milionaria per l’ente, riconoscendo la gravità della violazione.
I primi tentativi di mediazione risalgono già alla fine del 2023, quando l’ASL, attraverso i suoi legali, chiese alle parti lese di attendere l’esito delle indagini penali e del procedimento davanti al Garante. Una strategia dilatoria che ora sembra essersi esaurita. Gli avvocati Colantoni e D’Amore hanno fatto sapere che, in assenza di un accordo risarcitorio nei termini stabiliti, porteranno la causa davanti al giudice civile, trasformando la questione in un potenziale caso emblematico per il risarcimento di danni da data breach nel settore sanitario italiano.
La palla passa ora a Paolo Costanzi, direttore generale dell’ASL 1 subentrato a settembre, che dovrà gestire non solo le ricadute legali e reputazionali dell’attacco, ma soprattutto l’urgente necessità di un piano di resilienza e hardening dei sistemi. L’episodio dell’Aquila si inserisce in una lunga serie di attacchi a enti sanitari italiani, spesso caratterizzati da infrastrutture legacy, budget IT inadeguati e una sottovalutazione del rischio cyber.
Per gli esperti di sicurezza, il caso è un manuale di cosa non fare: la mancata segmentazione delle reti, l’assenza di monitoraggio continuo delle minacce (threat hunting), sistemi non aggiornati e, probabilmente, una formazione lacunosa del personale sui protocolli di sicurezza. Il fatto che tra i dati trapelati ci fossero anche quelli di magistrati non fa che accentuare il profilo alto dell’attacco e la sua potenziale natura “strategica”.
Mentre l’inchiesta penale segna il passo tra difficoltà investigative e la complessità del tracciare attacchi cross-border, la battaglia civile potrebbe stabilire un precedente importante. Quanto vale la nostra privacy sanitaria digitale? E, soprattutto, fino a che punto un ente pubblico può considerarsi esente da responsabilità per non aver protetto adeguatamente dati così sensibili?
La richiesta di 2,5 milioni di euro non è solo una questione economica, ma un segnale forte: l’epoca in cui un data breach veniva gestito come un semplice “incidente tecnico” è finita. Ora è un evento con un costo legale, reputazionale e finanziario preciso.