In Rete è subito rimbalzata la notizia che la LAN dell’ASL n. 8 di Cagliari può essere violata in 8 minuti. Vediamo come stanno le cose.
E’ stato riportato, infatti, che "con l’aiuto di esperto d’informatica, i Riformatori [Sardi] sono penetrati, tramite un punto d’accesso wireless a Cagliari, nella rete dell’Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici".
In base alle notizie che si sono diffuse, si può presumere che nel caso di specie non sono state adottate quelle misure di sicurezza che dovrebbero ridurre al minimo la possibilità di accessi abusivi al sistema dell’Azienda Sanitaria Locale. L’atto di hacking, infatti, sarebbe stato compiuto in pochi minuti.
Se è vero quanto supposto, allora potrebbe ipotizzarsi una violazione dell’Allegato B al Codice della privacy, ai sensi del quale "I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici".
I dati sensibili, come sono per l’appunto quelli sanitari, devono infatti essere custoditi con una particolare cautela poiché il loro illecito trattamento può cagionare danni anche gravi e irreparabili. Chiaramente, la condotta di chi viola una rete protetta da password è idonea a concretizzare la fattispecie prevista e punita dall’art. 615-ter cod. pen. ("accesso abusivo ad un sistema informatico o telematico") che così dispone:
"chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesamente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’uffici".
Speriamo che tale caso sia un monito per i gestori delle reti delle strutture che trattano dati personali e che essi predispongano tutte quelle misure di sicurezza realmente idonee ad evitare eventuali violazioni della privacy.
