Dati trafugati al San Raffaele di Milano: che si fa?

Il gruppo LulzSecITA ha trafugato dati dai server del San Raffaele di Milano, ma l'ospedale non ne ha data debita comunicazione: ora che succede?
Il gruppo LulzSecITA ha trafugato dati dai server del San Raffaele di Milano, ma l'ospedale non ne ha data debita comunicazione: ora che succede?

Un triste (possiamo dirlo?) braccio di ferro si sta combattendo in queste ore su Twitter attorno ai dati personali di centinaia di persone. Da una parte del tavolo c’è LulzSecITA, account ufficiale di un gruppo “hacktivisti”che più di una volta si è fatto notare per le offensive portate online contro gestioni “leggere” della sicurezza online; dall’altra parte c’è l’Ospedale San Raffaele di Milano, in questa situazione parte lesa. Ma la questione è più complessa di così.

LulzSecITA vs Ospedale San Raffaele

Il primo tweet di LulzSecITA apre il problema: si denuncia il fatto che i server dell’ospedale non avrebbero posto in essere le necessarie tutele nei confronti dei dati personali degli utenti passati all’accettazione dell’ospedale stesso, lasciando quindi che fosse semplice potervi entrare in possesso.

Dal tweet trapela un dato importante: il databreach risale a due mesi prima, quando i dati sarebbero stati trafugati e l’ospedale sarebbe stato informato della cosa. Quel che lecitamente ci si chiede è se l’Ospedale abbia debitamente informato il Garante Privacy, come da protocollo, o se abbia tentato di insabbiare la cosa. Un tweet a poche ore di distanza rilancia il tema:

Le immagini scoprono le carte poco alla volta, dimostrando che la fuga di dati è avvenuta realmente. Quel che si chiede all’ospedale è un’ammissione di colpa, cosa che però non avviene. Il che, ovviamente non fa altro che esacerbare i toni della questione. Se da una parte l’Ospedale nega che ci siano dati personali sensibili tra le informazioni in mano al gruppo LulzSecITA, dall’altra si rivendica la gravità dell’accaduto e il silenzio (nonché le negazioni) da parte dell’ospedale:

A questo punto i toni si alzano ulteriormente a seguito della pubblicazione di quella che sarebbe la password di Roberto Burioni (che in tempi recenti aveva attaccato l’eccesso di risorse e di impegno in difesa della privacy, compromettendo altri strumenti utili a combattere i contagi). E per oggi la guerra potrebbe continuare con nuove puntate.

Quel che c’è di triste in tutto ciò è il fatto che l’attacco sia avvenuto ad una struttura ospedaliera lombarda nel momento di massima pressione sulla sanità nella regione. Si poteva evitare? Probabilmente si, se non altro in virtù di una situazione generale di grande eccezionalità. Ciò non toglie che se i dati sono stati trafugati e se ci sono informazioni sensibili a rischio, la tutela della privacy debba essere del tutto equiparata (anzi, rinforzata) dalla necessaria tutela alla salute. Mai come in questo periodo stiamo imparando che le due cose debbano andare a braccetto.

Tuttavia un databreach a pochi giorni dal rilascio di Immuni è qualcosa di cui il paese avrebbe volentieri fatto a meno. Nascondere le ceneri sotto il tappeto sarebbe però peggio ancora, dunque ora si affronti la questione di petto: dall’Ospedale ci si attende una presa di coscienza sulla vicenda ed un chiarimento nel merito; da LulzSecITA si auspica un gioco al ribasso che non vada a colpire gli utenti, vittime innocenti di questo tira e molla. In tempo di pandemia, l’Italia non ha bisogno di giochi, né sulla salute, né sui dati personali.

Link copiato negli appunti

Ti potrebbe interessare

22 05 2020
Link copiato negli appunti