L’Aquila. Il 3 maggio 2023 la Asl 1 di L’Aquila è stata colpita per mano di criminali della gang ransomware Monti da uno dei più gravi attacchi informatici degli ultimi anni che hanno compromesso i database dell’Azienda sanitaria abruzzese, divulgando milioni di dati particolari e mettendo in pericolo gli interessati e a serio rischio lo svolgimento delle terapie.
Sono stati pubblicati tutti i dati esfiltrati tra i quali anche quelli del boss Matteo Messina Denaro, all’epoca in cura presso l’Ospecives S. Salvatore di L’Aquila. I criminali informatici si sono impossessati di cartelle cliniche, di valutazioni psicologiche di minori, di referti medici di malati oncologici, ma anche di dati personali dei dipendenti. L’attacco informatico avrebbe dimensioni pari a circa 500 gb e ha interessato migliaia di utenti.
Numerosi dei pazienti che sono stati violati nella propria privacy a seguito della trafugazione dei dati di salute si sono rivolti all’Avv. Prof. Carlotta Ludovici del Foro di L’Aquila e alla Associazione dei Consumatori ADICU – aps della quale la medesima è responsabile per la provincia di L’Aquila, al fine di valutare una possibile richiesta di risarcimento dei danni nei confronti della Asl 1, a cagione della mancata adozione di misure di protezione di sistemi informatici adeguate a standard elevati di dati altamente sensibili dei pazienti.
È indubbio che la pubblicazione on line di tali dati di salute ha comportato un’ evidente e grave violazione della privacy e conseguenti danni di notevole entità ai soggetti coinvolti. Oltre, infatti, ai danni subiti nell’immediato, come le evidenti difficoltà nel reperire i dati sanitari e di conseguenza garantire terapie adeguate agli standard, i pazienti violati sono loro malgrado esposti a ricatti sine die che potrebbero essere posti in essere da chiunque abbia basilari competenze informatiche per entrare in possesso dei loro dati.
Gli atti di costituzione in mora sono stati trasmessi via pec a far data dal novembre 2023 e sino ad oggi alla Asl 1. Tali missive sono state inoltrate, altresì, all’Agenzia per la Cybersicurezza Nazionale e all’Autorità Garante della privacy per i provvedimenti conseguenti.
Tali atti venivano riscontrati a maggio 2024 da parte di uno Studio legale di Roma che sostanzialmente ha sospeso ogni possibilità di risarcimento dei danni, all’esito dei procedimenti penali, civili, amministrativi per l’accertamento delle responsabilità. Ebbene nel maggio 2025 è stato notificato all’Avv. Ludovici Carlotta in rappresentanza dei numerosi suoi Assistiti la pronuncia emanata dall’Autorità Garante della Privacy. Il Garante, dopo una necessaria attività ispettiva a seguito della comunicazione da parte dell’ASL dell’avvenuto attacco hacker, che in base all’art. 33 del regolamento sulla privacy deve essere notificata entro 72 ore dall’evento all’Autorità di controllo, nel febbraio del corrente anno, ha riconosciuto il titolare del trattamento dei dati personali, incaricato all’epoca dall’Azienda sanitaria, responsabile della violazione ed irrogato la sanzione amministrativa dell’ammonimento, oltre alla pubblicazione sul proprio sito del provvedimento e nei registri interni, tanto che può essere consultato da chiunque vi abbia interesse. Inoltre nel provvedimento è possibile leggere che la comunicazione che in base all’art. 34 del regolamento europeo sulla privacy deve essere effettuata agli utenti interessati, soprattutto se in condizioni critiche, non è stata ritenuta idonea e adeguata alla gravità della situazione.
A tal proposito, l’avvocata Carlotta Ludovici è stata ospite del programma di inchiesta REPORT su Raitre nella puntata trasmessa il 9 novembre, proprio in merito all’attacco hacker subito dalla Asl 1 e al conseguente provvedimento adottato dall’Autorità garante della privacy. In particolare è emerso che uno dei quattro componenti dell’Autorità Garante è l’Avv. Guido Scorza, il quale, tuttavia, è socio fondatore dello Studio Legale romano E-Lex, società di avvocati costituita anche dalla moglie del citato giurista, incaricata proprio dalla ASL 1, con deliberazione pubblica del 25.08.2023 a firma dell’ex Direttore Generale Dr. Ferdinando Romano, al fine di ricevere un supporto specialistico di tipo tecnico – giuridico per la gestione dei data breach in seguito ad attacco hacker ai sistemi informatici della ASL (si legge nella delibera).
Il tutto a fronte di una parcella pari a circa 80.000,00 euro. Durante la trasmissione l’Avvocato Ludovici Carlotta intervistata sul punto, ha dichiarato che sarebbe stato quantomeno opportuno che l’Avv. Scorza in quanto componente del Collegio dell’Autorità Garante si fosse astenuto, atteso il suo coinvolgimento come socio fondatore di E-Lex, società appunto che tutela la Asl 1, controllata dall’Autorità Garante di cui il medesimo è componente. Non vi è chi non intravveda un conflitto di interessi per le posizioni rivestite dal giurista, con ogni ovvia conseguenza.
Difatti, l’Autorità garante della privacy ha irrogato un provvedimento di ammonimento, piuttosto che la più grave sanzione, ossia quella pecuniaria, senza che si possano conoscere le ragioni di una simile scelta, tanto più considerato che siamo di fronte al data breach più grave degli ultimi tempi.
A questo punto, sorge il dubbio che la stessa Autorità Garante della privacy, organo indipendente, lo sia per davvero.
