“Non è mai successo nulla”.

“Chi vuoi che venga ad attaccare me”.

“Tanto ho i backup” (ma anche il sempreverde: “tanto ho il cartaceo”).

Chi lavora nell’ambito della protezione dei dati (personali e non), ha sentito queste frasi una quantità inimmaginabile di volte, quando prova a sensibilizzare un soggetto sui ai rischi che corre rispetto agli incidenti informatici (che non sono solo gli “attacchi hacker”, ma anche guasti, distrazioni, persino sabotaggi). Di fatto, è il non aver avuto la possibilità di apprezzare le conseguenze degli incidenti che impedisce di rendersi conto di quali danni può causare un incidente. Per questo, proviamo ad analizzare casi reali di incidenti.

Gli incidenti

Che gli incidenti abbiano una tendenza all’aumento, non ci sono dubbi. Ce lo dice il Rapporto Clusit 2024 sulla sicurezza ICT in Italia:

Analizzando i dati dell’ultimo quinquennio, dal punto di vista quantitativo, la situazione è nettamente peggiorata, mostrando una tendenza pressoché costante, tanto che la media mensile di incidenti gravi a livello globale è passata dai 139 del 2019 ai 232 del 2023, fino ai 273 del primo semestre 2024: in pratica, in 5 anni a livello globale siamo passati dal rilevare 4,5 eventi al giorno a classificarne mediamente 9.
Nel 2023 gli incidenti sono aumentati del 11% a livello globale rispetto al 2022 (ma quelli verso l’Italia sono aumentati ben del 65%). La tendenza globale del primo semestre 2024 mostra una ulteriore crescita, molto significativa, pari al 23% rispetto al semestre precedente.

ce lo dice il rapporto mensile (relativo ad ottobre 2024) dell’Agenzia per la cybersicurezza Nazionale (ACN):

ma ce lo dice anche la cronaca dei giorni scorsi, tra blocchi dei pagamenti elettronici a macchia di leopardo, continui blocchi dei servizi di una primaria banca, furti di dati (tra cui due “attori” della serie A di calcio), accessi abusivi alle bache dati sia pubbliche che private, aziende bloccate che mandano i lavoratori in cassa integrazione; e l’elenco potrebbe continuare.

Le conseguenze: perdite e sanzioni

Un incidente informatico non è un evento trascurabile. Sono rari i casi in cui le conseguenze non sono significative, in tutti gli altri ci sono impatti gravi, a cominciare dal blocco delle attività: l’ultimo esempio è di un’azienda emiliana nel campo della logistica per l’abbigliamento ha dovuto ricorrere ad una settimana di cassa integrazione per circa 450 lavoratori dopo che i sistemi informativi sono rimasti completamente fermi per 3 giorni. In passato, un produttore di rubinetterie ha subito un blocco completo dei sistemi di automazione con conseguente produzione interrotta per 5 giorni, con un danno stimato di 2 milioni di euro. Ai danni materiali si aggiunge il danno reputazionale, dovuto alla perdita di fiducia da parte dell’utenza o della clientela, che non è facilmente quantificabile ed è ancora meno riparabile. Recentemente una grossa azienda pubblico-privata è stata sanzionata per 900.000 euro per una violazione di dati personali dovuta al mancato intervento per rimediare a delle vulnerabilità sui propri sistemi di cui era stata portata a conoscenza.

Se finora i casi di incidenti che non coinvolgono dati personali avevano conseguenze riguardanti solo l’operatività ed eventualmente la reputazione, da ora in poi non sarà più così: la normativa europea (nota come direttiva NIS2, con il corrispettivo decreto di recepimento italiano) prevedono infatti, per i soggetti individuati come aventi impatti significativi di carattere sociale generale, anche sanzioni.

Il caso Synlab

Avere informazioni precise sugli incidenti in Italia non è facile. La maggior parte dei casi è nota solo perché gli autori rivendicano il malfatto (tipicamente, il ricatto) o perché le conseguenze sono sotto gli occhi di tutti, e per i casi ritenuti meritevoli di attenzione finiscono sui media. Inoltre, le vittime sono molto restie a fornire dettagli, anzi al contrario quando costrette a fornire notizia dell’accaduto normalmente minimizzano l’accaduto e si autogiustificano dando la colpa ad altri (in qualche caso, “altri” è un’altra azienda dello stesso gruppo imprenditoriale…), dimenticando che in ultima analisi la responsabilità ricade sempre sul soggetto che ha il controllo dei dati o dell’infrastruttura (come prevede la normativa europea).

Un caso particolarmente esemplare è quello della Synlab Italia, branca italiana di un network di analisi e diagnostica medica, per cui l’attacco tramite ransomware (virus che blocca i sistemi cifrando i dati, con conseguente richiesta di riscatto per sbloccarli e non rivenderli) ha bloccato completamente l’attività in Italia presso i punti prelievo, i medical center e i laboratori in Italia, ma anche impedendo il download ed il ritiro dei referti (tutto ciò non solo rispetto alla propria utenza, ma anche rispetto a tutti quegli enti sanitari che usufrivano dei suoi servizi); a ciò si aggiunge la successiva pubblicazione dei dati trafugati, quantificati in circa 1500 GBytes. L’azienda non ha pagato riscatti, ed ha reso pubblico l’incidente (in realtà palese a tutti coloro si avvalevano dei servizi in questione) tramite un comunicato successivo alla pubblicazione dei dati in cui sottolineava che scaricarli costituisce reato… il che è indubbiamente vero, ma si tratta di un chiato tentativo di sviare l’attenzione dal fatto inconfutabile che non era stata in grado di proteggere i dati sanitari (cioè i più sensibili e preziosi) della propra utenza. Siamo in attesa del provvedimento del Garante per la protezione dei dati personali, che presumibilmente una pesante sanzione, forse milionaria.

Leggi anche: La salute informatica è un obbligo per tutti

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.