Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Il prezzo della non conformità: sicurezza inadeguata e dati sul dark web

Nel 2025 il Garante Privacy ha sanzionato l’Ordine degli Psicologi della Lombardia per non aver adottato misure di sicurezza adeguate a prevenire un grave attacco ransomware che ha esposto dati sensibili di circa 3.000 persone, inclusi minori e pazienti. Nonostante il rispetto formale delle linee guida AgID, il Garante ha ritenuto insufficienti le misure tecniche e organizzative, evidenziando l’obbligo di valutare concretamente i rischi. Questo caso dimostra che la conformità “di facciata” non basta: la protezione dei dati richiede responsabilità, aggiornamento continuo e capacità reale di risposta.

Il 29 aprile 2025 il Garante della protezione dei dati personali (“Garante”) ha adottato un provvedimento sanzionatorio nei confronti dell’Ordine degli Psicologi della Regione Lombardia (“Ordine”), a seguito di una grave violazione dei dati personali (“data breach”) notificata dall’ente il 19 ottobre 2023. La violazione era stata causata da un attacco informatico sofisticato di tipo ransomware e brute force RDP attribuito al gruppo criminale NoEscape. L’attacco era iniziato il 30 settembre 2023 e si è protratto fino al 3 ottobre, con accessi anomali registrati in orari notturni e durante i fine settimana. I cybercriminali erano riusciti a esfiltrare circa 6,9 GB di dati, cifrare i server e cancellare i backup presenti sui sistemi NAS. In assenza del pagamento di riscatto richiesto, il gruppo aveva poi pubblicato sul dark web l’intero contenuto sottratto, che conteneva circa 15.000 registrazioni, molte delle quali relative a categorie particolari di dati e dati giudiziari, coinvolgendo circa 3.000 interessati tra cui minori, pazienti e lavoratori.

Fatti emersi dalle notifiche di data breach e dall’istruttoria del Garante

In seguito alla violazione, l’Ordine con notifica del 19 ottobre 2023 ha comunicato al Garante di aver precedentemente adottato diverse misure di sicurezza: aggiornamenti di sistema, antivirus, backup multipli (sia locali sia su cloud e su supporti fisici protetti), nonché VPN monitorata. Dopo l’incidente, con integrazione della notifica il 20 novembre 2023, l’Ordine ha comunicato di aver prontamente attivato misure di contenimento e ripristino, come la disabilitazione di accessi esterni, il blocco delle VPN, il cambio password, la ricostruzione dei server da backup sicuri e l’installazione di software di monitoraggio. È stata anche avviata una verifica tecnica, con ricerche sul dark web per identificare eventuali ulteriori fughe di dati. E poi, ha rafforzato ulteriormente le misure di sicurezza introducendo l’uso di VPN con certificati, accesso limitato ai soli server necessari, nuovo software di backup, implementazione di MFA, cifratura degli archivi e sistemi di monitoraggio avanzati dei log e sistemi di allerta per l’integrità dei backup. Da ultimo, per quanto riguarda la comunicazione verso gli interessati, l’Ordine ha comunicato su base individuale a coloro che presentavano un alto livello di rischio con riferimento al data breach, e tramite comunicazione sul proprio sito internet agli altri interessati.

Durante l’istruttoria, l’Ordine ha comunicato l’avvio di un piano di rafforzamento della sicurezza, comprendente la segmentazione della rete, la separazione fisica tra ambiente produttivo e backup, l’adozione di un sistema multilivello di salvataggio dati e l’installazione di strumenti per la rilevazione delle minacce informatiche. Inoltre, l’analisi di un consulente tecnico esterno ha fatto emergere la pubblicazione sul dark web di un archivio contenente circa 4,16 GB di dati, tra cui documenti identificativi, contratti, informazioni bancarie e report interni.

Alla luce di questi elementi, il Garante ha notificato l’avvio del procedimento sanzionatorio, ritenendo che vi fosse stata una violazione degli obblighi di sicurezza stabiliti dagli artt. 5, par. 1, lett. f) e 32, par. 1, del GDPR, e ha invitato l’Ordine a presentare osservazioni difensive.

L’Ordine nell’articolata memoria difensiva ha rivendicato l’adeguatezza delle misure tecniche e organizzative adottate, anche in considerazione delle limitate risorse economiche a disposizione. Ha sottolineato di aver operato nel rispetto della Circolare AgID n. 2/2017 (“Circolare”), che definisce le misure minime di sicurezza ICT per le pubbliche amministrazioni, dichiarando di aver scelto il livello “standard”, ritenendolo coerente con i rischi concreti legali alla propria attività e struttura. L’adozione di sistemi di monitoraggio continuo o meccanismi di alert avanzati, avrebbe comportato, secondo l’Ordine, oneri insostenibili in termini economici e organizzativi, poiché avrebbe richiesto anche una disponibilità di personale specializzato 24/7. L’Ordine aveva poi argomentato che l’attacco subito era stato particolarmente sofisticato e mirato, avvenendo in orari inusuali, con traffico frazionato e di basso volume, tale da eludere anche i sistemi di rilevamento automatico. Secondo quanto ipotizzato, i cybercriminali avrebbero avuto accesso a file campione dell’Ordine, facilitando l’intrusione.

In merito all’assenza di un sistema di autenticazione a più fattori (MFA), l’Ordine ha spiegato che la Circolare lo prevede solo per utenze privilegiate e che l’alternativa prevista, ovvero l’adozione di password complesse, era stata regolarmente attuata e monitorata. Dopo l’attacco, l’Ordine aveva comunque deciso di introdurre il sistema MFA per tutti gli accessi rilevanti. Inoltre, era stato installato un software specifico per rilevare accessi anomali sui servizi di autenticazione centralizzata (Active Directory).

Per quanto riguarda, l’inadeguata segmentazione e conservazione delle credenziali, l’Ordine ha sostenuto che il sistema di segregazione in uso rispettava i requisiti di riservatezza e disponibilità previsti dalla normativa e che non vi erano elementi per ritenere che eventuali carenze in tal senso avessero avuto un ruolo determinante nella riuscita dell’attacco. La segmentazione delle password, in particolare, assume rilievo soprattutto in caso di diffusione del malware a più sistemi, circostanza che non si era verificata, grazie alla tempestività degli interventi di contenimento adottati.

Rispetto alla mancata protezione crittografica delle credenziali, l’Ordine aveva chiarito che le credenziali coinvolte nella violazione riguardavano un dominio e-mail esterno (“opl.it”), separato dai server interni, e che quelle usate per l’accesso ai sistemi erano protette da crittografia conforme agli standard. Solo tre credenziali compromesse appartenevano a dipendenti, nessuna con password ad alto rischio. Il richiamo del Garante alle Linee Guida sulle Funzioni Crittografiche (provvedimento n. 594 del 7 dicembre 2023) è stato contestato in quanto non ancora in vigore all’epoca, precisando però di essere già al lavoro per adeguare le proprie misure di sicurezza, valutando l’adozione di sistemi crittografici in linea anche con quanto previsto dalla Direttiva UE 2022/2555 (“NIS2”).

All’esito dell’istruttoria e tenuto conto delle difese presentate, il Garante ha rilevato l’inadeguatezza delle misure tecniche ed organizzative adottate dall’Ordine sotto più profili:

  • l’incapacità di rilevare tempestivamente il data breach, scoperto solo 5 giorni dopo l’inizio dell’attacco, ha evidenziato la scarsa efficacia del software di monitoraggio installato, sintomo di una carenza strutturale nella gestione della sicurezza informatica, anche a causa della mancanza di personale qualificato in grado di presidiare i sistemi in modo continuativo;
  • il mero adeguamento alla Circolare AgID non esonera il titolare del trattamento dall’obbligo di valutare, in concreto, l’adeguatezza delle misure adottate, nel rispetto del principio di responsabilizzazione: il Garante ha chiarito che l’applicazione di linee guida, risalenti al 2015, non è di per sé sufficiente a garantire la conformità agli obblighi in materia di sicurezza;
  • non è ammissibile invocare la limitatezza delle risorse organizzative ed economiche per giustificare il mancato impiego di misure adeguate a proteggere i dati personali trattati;
  • incombe sul titolare l’obbligo di mantenersi aggiornato sullo stato dell’arte in tema di misure di sicurezza, in relazione ai nuovi rischi. Nel caso di specie, l’adozione di sistemi automatizzati di allerta avrebbe costituito una misura adeguata.
  • è mancata una valutazione concreta del rischio in concreto per i diritti e le libertà degli interessati, nonostante si trattasse di dati riferibili a soggetti vulnerabili, per i quali una violazione della riservatezza dei dati può comportare conseguenze particolarmente gravi.

Sulla base di tali rilievi, il Garante ha concluso che la condotta dell’Ordine ha evidenziato un’insufficiente capacità di prevenzione, rilevamento e risposta alle violazioni dei dati personali, risultando in contrato con gli obblighi imposti dal GDPR.

La sanzione del Garante

Il Garante, alla luce degli elementi emersi dal procedimento, ha accertato che l’Ordine degli Psicologi della Lombardia ha violato gli articoli 5, par. 1, lett. f) e 32 del GDPR, per non aver garantito un’adeguata protezione dei dati personali contro accessi non autorizzati. In particolare, l’Ordine non ha rispettato gli obblighi del GDPR, dimostrando carenze nel monitoraggio e nella gestione dei rischi informatici. Sebbene fossero stati predisposti aggiornamenti di sistema, antivirus, backup multipli (sia locali sia su cloud e su supporti fisici protetti), nonché VPN monitorata, queste si sono rivelate inadeguate e non aggiornate rispetto all’evoluzione delle minacce: mancavano strumenti idonei a rilevare tempestivamente l’attacco che ha compromesso la riservatezza di circa 15.000 dati sensibili e giudiziari, relativi anche a soggetti vulnerabili. L’attacco, sebbene sofisticato, ha evidenziato l’assenza di un sistema efficace di rilevazione delle violazioni, che avrebbe potuto evitarsi attraverso sistemi automatizzati di allerta. Le giustificazioni fornite dall’Ordine, fondate sul rispetto delle Linee guida AgID e sull’eccessivo costo delle misure più avanzate, sono state giudicate insufficienti: l’Ordine avrebbe dovuto valutare concretamente i rischi e adottare misure proporzionate alla natura e alla delicatezza dei dati trattati. La gravità della violazione è stata valutata anche alla luce del ruolo pubblico dell’ente. Il Garante ha riconosciuto la collaborazione dell’Ordine e l’adozione successiva di misure correttive, ma ha ritenuto comunque necessaria una sanzione pecuniaria, determinata in 30.000 euro, oltre alla pubblicazione del provvedimento per ragioni di trasparenza.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Privacy Shield: il nuovo meccanismo per il trasferimento dei dati personali verso gli Stati Uniti
Privacy & Data Protection
La Commissione europea adotta la decisione di adeguatezza relativa al Giappone: una grande opportunità per le imprese e...
Privacy & Data Protection
La Camera approva la nuova legge di contrasto al Cyberbullismo

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.