Attacco hacker Asl1, si continua a chiedere chiarezza

Un attacco informatico di proporzioni senza precedenti recenti aveva scosso l’opinione pubblica abruzzese e l’intero sistema sanitario nazionale. Era il 3 maggio 2023 quando la Asl di L’Aquila si è trovata nel mirino della gang ransomware Monti, subendo uno dei più gravi data breach degli ultimi anni. Il bilancio è drammatico: milioni di dati personali e particolari sottratti dai database aziendali e successivamente divulgati online.

La mole di informazioni compromesse è enorme, stimata in circa 500 GB. Tra i dati esfiltrati figurano cartelle cliniche, referti di malati oncologici, valutazioni psicologiche di minori e, a destare scalpore, persino i dati sanitari del boss mafioso Matteo Messina Denaro, all’epoca dei fatti ricoverato presso l’Ospedale San Salvatore di L’Aquila. La divulgazione di tali dati non solo ha messo in serio pericolo la riservatezza degli interessati, ma ha anche creato immediate difficoltà nella gestione delle terapie, a causa dell’inaccessibilità dei dati sanitari.

A fronte di una violazione della privacy di così grave entità, numerosi pazienti coinvolti, esposti ora a un rischio potenziale di ricatto “sine die” da parte di chiunque abbia accesso ai dati trafugati, si sono rivolti all’Avvocato Carlotta Ludovici del Foro dell’Aquila, e all’Associazione dei Consumatori ADICU – aps, di cui l’Avvocato è responsabile provinciale.

L’obiettivo è chiaro: valutare una richiesta di risarcimento danni nei confronti della Asl 1, accusata di non aver adottato misure di protezione informatica adeguate all’elevato standard di sensibilità dei dati trattati.
Gli atti di costituzione in mora sono stati inviati alla Asl 1 a partire da novembre 2023, e inoltrati per conoscenza anche all’Agenzia per la Cybersicurezza Nazionale e all’Autorità Garante della privacy per i provvedimenti del caso. Il riscontro, arrivato a maggio 2024 da parte di uno Studio legale romano, ha di fatto sospeso ogni possibilità di risarcimento in attesa dell’accertamento delle responsabilità in sede penale, civile e amministrativa.

La svolta arriva a maggio 2025 con la notifica all’Avvocato Ludovici della pronuncia dell’Autorità Garante della Privacy. A seguito di un’attività ispettiva, avviata dopo la notifica tardiva dell’attacco da parte dell’ASL, che, in base all’Art. 33 del GDPR, andrebbe comunicata entro 72 ore, il Garante ha riconosciuto il titolare del trattamento dei dati, all’epoca in capo all’Azienda sanitaria, responsabile della violazione.
E qui casca l’attenzione: l’Autorità ha irrogato la sanzione amministrativa dell’ammonimento, disponendo la pubblicazione del provvedimento.

Inoltre, il Garante ha rilevato che la comunicazione agli utenti interessati, prevista dall’Articolo 34 del Regolamento europeo sulla privacy, non è stata ritenuta idonea e adeguata alla gravità della situazione. L’ammonimento, anziché la più severa sanzione pecuniaria, ha lasciato perplessi gli operatori legali, specialmente trattandosi del data breach più grave degli ultimi tempi.

Le ragioni di questa scelta sanzionatoria sono state sollevate in modo clamoroso durante la puntata di Report andata in onda il 9 novembre su Rai Tre, che ha visto ospite proprio l’avvocato Ludovici Carlotta dell’Aquila.

Nel corso della trasmissione, è emerso un elemento che getta un’ombra inquietante sull’indipendenza del collegio del Garante. Uno dei quattro componenti dell’Autorità è l’Avvocato Guido Scorza. Quest’ultimo risulta essere socio fondatore dello Studio Legale romano E-Lex, società di avvocati costituita anche dalla moglie del giurista.

E-Lex è stata incaricata dalla ASL 1 dell’Aquila con una delibera pubblica del 25 agosto 2023, a firma dell’ex Direttore Generale Ferdinando Romano, per fornire un supporto specialistico di tipo tecnico-giuridico per la gestione dei data breach in seguito ad attacco hacker. Il tutto a fronte di un compenso di circa 80.000 euro.

L’avvocato Ludovici ha dichiarato che sarebbe stato «quantomeno opportuno» che l’avvocato Scorza si fosse astenuto dal partecipare alla decisione sanzionatoria, dato il suo ruolo di socio fondatore di E-Lex, lo studio che di fatto tutela la stessa Asl 1, l’ente che l’Autorità Garante, di cui Scorza è membro, stava controllando e sanzionando.

Non è difficile intravedere un potenziale conflitto di interessi per le posizioni rivestite dal giurista, che solleva interrogativi sulla reale imparzialità del provvedimento di ammonimento.
L’attacco ransomware alla Asl 1 di L’Aquila è una ferita aperta che va oltre il danno informatico ed economico. È una lesione gravissima alla fiducia dei cittadini nelle istituzioni sanitarie e nella capacità dello Stato di proteggere i loro dati più intimi. La divulgazione di cartelle cliniche e dati sensibili è un’aggressione alla dignità della persona, con conseguenze psicologiche e pratiche a lungo termine, quali il rischio di estorsioni.

In questo contesto, la reazione dell’Autorità Garante della Privacy dovrebbe essere un faro di rigore e indipendenza. L’ammonimento, sanzione più leggera rispetto alla pecuniaria, appare sproporzionato rispetto al data breach più grave degli ultimi tempi.
La rivelazione, se confermata nei suoi risvolti etici e di opportunità, di un potenziale conflitto di interessi da parte di un componente del collegio del Garante getta un’ombra scura proprio sull’indipendenza di un organo che, per sua natura, deve essere al di sopra di ogni sospetto. Quando un’azienda controllata è assistita da uno studio legale co-fondato da un membro dell’ente controllore, il dubbio sulla terzietà della decisione è legittimo e, anzi, doveroso.

L’Autorità Garante della Privacy non è un ufficio burocratico, è la sentinella dei diritti fondamentali nell’era digitale. Se i cittadini non possono fidarsi della sua incondizionata imparzialità, il sistema di protezione dei dati personali crolla. La trasparenza e, soprattutto, l’astensione in casi di potenziale coinvolgimento, non sono optional, ma il fondamento etico per preservare la credibilità dell’istituzione. È indispensabile che venga fatta piena luce sulla vicenda, per sgombrare il campo da ogni incertezza sul perché un attacco così devastante sia stato liquidato con un semplice ammonimento. La tutela della privacy degli aquilani, di chiunque, non può permettersi eccezioni.