il sistema sanitario italiano bersagliato dai criminali della rete

Continuano i cyber attacchi al SSN. I dati che emergono dalla relazione annuale del governo sulla politica dell’informazione per la sicurezza disegnano un quadro allarmante e sul quale necessitano urgenti risposte da parte delle istituzioni. La relazione del 2016 del governo indica il settore sanitario fra quelli più bersagliati dai criminali della rete. Tale fenomeno si lega alla possibilità concessa ai Cyber criminali di poter accedere ad informazioni dal notevole valore personale e quindi potenzialmente finanziario.

I dati relativi alle cartelle dei pazienti e il valore intrinseco delle stesse, sono oggetto di interesse anche per finalità come quelle attinenti al furto di identità. Sono notevoli i casi in cui all’interno del perimetro della frode perpetrata ai danni del paziente, le norme circa la privacy dello stesso vengano violate in toto.

In tale ottica si segnala la recente introduzione dell’obbligo, per le amministrazioni pubbliche, di comunicare all’Autorità Garante, entro 48 ore dalla conoscenza dell’avvenuto attacco al sistema la possibile violazione della sfera privata del cittadino. Il richiamo che deve essere fatto è ai c.d. data breach (violazioni o incidenti informatici che possono ledere la privacy degli utenti).

Questa la somma degli enunciati derivanti dalla legislazione nazionale ed europea in tema di data breach: ” è la violazione dei dati personali che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.

Anche le linee guida elaborate dal Garante della Privacy segnano la linea di demarcazione tra ciò che è meglio fare per le PA:

Le PA devono pubblicare solo dati esatti, aggiornati e contestualizzati.

L’inserimento on line sui propri siti di informazioni, atti e documenti amministrativi contenenti dati personali, deve essere preceduto dalla verifica che esista una norma di legge o di regolamento che ne preveda l’obbligo.

Le PA devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessari.

I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le PA intendano pubblicare dati personali che non siano quelli usualmente previsti dalle disposizioni di riferimento, le stesse devono procedere prima a renderle anonime , evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.