Violazione privacy sui dati sanitari, e se gli hacker ricattassero i pazienti anzichè la ASL?

A seguito del massiccio attacco informatico scagliato contro la ASL 1 Abruzzo in cui sono stati sottratti 522 gigabyte di informazioni sensibili dei pazienti delle province di Avezzano, Sulmona, e L’Aquila, il gruppo hacker Monti ha reso disponibile nel Dark Web una mole di 386 gigabyte di dati trafugati, comprendenti ogni genere di dettaglio sulle patologie dei pazienti, tra cui anche referti oncologici e sulla sieropositività all’HIV, oltre a dati su neonati, documenti legali, dati personali dei dipendenti, e anche i backup del sistema.

Da subito la dirigenza del servizio sanitario abruzzese aveva voluto mettere in chiaro che non sarebbe stata disposta a pagare alcuna somma ai cyber criminali, ma questi ultimi hanno sottolineato che “non è stata avanzata alcuna richiesta di riscatto” e che “i media si sono inventati l’importo” che era inizialmente circolato, pari a 2 milioni di euro in Bitcoin, il quale poi è stato appunto smentito dagli stessi hacker.

Anche se all’apparenza l’assenza di una richiesta di riscatto dovrebbe essere un fatto rassicurante, c’è però da domandarsi quale fosse allora il reale scopo di una così imponente sottrazione di dati sanitari.

Tra le ipotesi, ci sono sicuramente quelle del commercio illecito dei dati sul Dark Web, oppure il loro utilizzo per attività di phishing nei confronti dei malcapitati, o l’utilizzo per furti d’identità.

Ma se invece che essere una nota positiva, la mancanza di una richiesta di riscatto rivolta alla ASL prefigurasse invece uno scenario ben peggiore? E se, piuttosto che cercare faticosamente di estorcere una improbabile cifra a una pubblica amministrazione, i criminali preferissero ricattare i diretti interessati, ovvero gli sventurati pazienti?

Al momento non è completamente noto quante migliaia di persone siano coinvolte nell’enorme violazione della privacy compiuta contro il servizio sanitario abruzzese, e neanche tutte i particolari dei dati trafugati, ma se vi fossero informazioni particolarmente delicate ed intime per cui i pazienti sarebbero disposti a tutto pur di mantenerle riservate?

la positività all’HIV potrebbe sicuramente essere una di queste tipologie di dati, ma lo sarebbero ad esempio anche quelli sugli aborti o quelli sulle vaccinazioni contro il vaiolo delle scimmie (monkeypox virus), che vengono offerte gratuitamente dal servizio sanitario nazionale specificamente a persone gay, transgender, bisessuali e altri uomini che hanno rapporti sessuali con uomini (MSM), nonché altri che hanno partecipato di recente a eventi di sesso di gruppo o incontri sessuali in locali e club privèe, e a chi ha l’abitudine della pratica di associare gli atti sessuali al consumo di droghe chimiche (Chemsex).

Che dire inoltre dei pazienti che hanno impiantato nel loro corpo pacemaker o altri dispositivi medicali che sono connessi in rete o a wifi, e che quindi sono hackerabili dai professionisti del crimine informatico?

Come ha spiegato di recente Gaetano Marrocco, professore ordinario di Campi Elettromagnetici dell’Università Tor Vergata di Roma, per un paziente portatore di pacemaker il rischio di essere bersagliati da un attacco hacker è tutt’altro che fantascienza, e la minaccia ai dispositivi medici è diventata un filone da osservare con molta attenzione: “Negli ultimi 5 anni sono stati registrati tra 150-200 attacchi hacker a dispositivi medici, fatti per estorcere soldi alle aziende che li producono, dimostrandone fragilità della sicurezza, o per minare la salute di personaggi politici. I dispositivi medici sono oggetti vulnerabili perché sempre più connessi e che ad oggi non hanno nessun tipo di normativa che ne garantisce la sicurezza da questo punto di vista. Ci sono stati casi di personalità diplomatiche in visita in alcuni paesi a rischio che hanno avuto fastidi fisici causati dal bombardamento magnetico generato a distanza”.

Per quanto alcuni possano aver tirato un sospiro di sollievo apprendendo che i cyber criminali non hanno richiesto alcun riscatto, in realtà quei dati nelle loro mani sono una bomba ad orologeria, e i singoli cittadini che venissero contattati in privato con richieste estorsive per non rendere note le loro informazioni che finora erano custodite negli archivi del servizio sanitario potrebbero essere disposti a pagare cifre notevoli pur di mantenere i loro segreti, e difficilmente andrebbero a sporgere denuncia del ricatto subìto per il timore di un’ulteriore vergogna da affrontare.

Da incubo è anche il potenziale scenario in cui il paziente portatore di pacemaker si trovasse ad essere minacciato di essere colpito da bombardamenti magnetici generati a distanza se non acconsentisse alle richieste dei criminali. E se per questi ultimi questo tipo di business potrebbe risultare molto più redditizio rispetto ad una magra negoziazione con una pubblica amministrazione italiana, d’altra parte ciò impone a chi ne ha le responsabilità di fare una seria riflessione sugli standard di sicurezza che devono essere garantiti sulla protezione dei dati personali e sulla privacy delle persone quando si tratta della loro salute.

di Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi