Multa per l’Ordine degli psicologi della Lombardia: nessuna misura per garantire la sicurezza dei dati raccolti
Ad allertare il ‘Garante’ sono stati alcuni reclami e, soprattutto, la notizia di una violazione a livello informatico subito dall’’Ordine degli psicologi’ lombardo, che, in sostanza, ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali
Multa di 30mila euro per l’’Ordine degli psicologi’ della Lombardia, colpevole, secondo quanto appurato dal ‘Garante per la protezione dei dati personali’, di non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati raccolti relativi ad iscritti e pazienti, inclusi alcuni minori. Ad allertare il ‘Garante’ sono stati alcuni reclami e, soprattutto, la notizia di una violazione a livello informatico subito dall’’Ordine degli psicologi’ lombardo, che, in sostanza, ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. Quella violazione ha comportato l’accesso abusivo alla rete informatica della struttura, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’albo professionale sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte. L’attacco informatico ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, i soggetti coinvolti sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul ‘dark web’ i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup. Dall’istruttoria del ‘Garante’ è emerso che l’’Ordine degli psicologi’ lombardo non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento.