Nel corso di un incontro informativo avvenuto nel pomeriggio di ieri, martedì 30 gennaio, il Direttore generale dell’Azienda ospedaliera Aoui di Verona Callisto Bravi, il responsabile della privacy Felice Schena e un consulente legale hanno informato le Rsu aziendali e le Organizzazioni sindacali territoriali che, ai sensi dell’articolo 34 del Regolamento europeo sulla privacy (“violazione di dati sensibili suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”) i lavoratori e le lavoratrici i cui dati personali sensibili stati sono stati sottratti durante l’attacco hacker dello scorso 22 ottobre e pubblicati sul web nel corso del successivo mese di novembre – a seguito di una richiesta di riscatto non soddisfatta da parte dell’azienda – riceveranno a breve la notifica della violazione avvenuta con l’indicazione della natura della violazione, le conseguenze della divulgazione non autorizzata di dati e i possibili rimedi per limitarne i danni.
“Non è stato comunicato il numero di notifiche che stanno per essere spedite, ma per la prima volta abbiamo la conferma ufficiale che la vicenda dell’hackeraggio dei sistemi informatici Aoui riguarda anche i lavoratori” sottolinea Simone Mazza, responsabile Sanità della Funzione Pubblica Fp Cgil di Verona. “E’ stato inoltre precisato che i dati ‘più sensibili’ trafugati sono relativi, ad esempio, a documenti d’identità, pignoramenti, cessione del quinto dello stipendio e prescrizioni del medico aziendale”.
La direzione aziendale ritiene che il fatto che la pubblicazione sia avvenuta sul dark web, ovvero la parte di internet non indicizzata, alla quale si accede con strumenti e competenze specifiche, normalmente non alla portata del grande pubblico, possa in qualche modo limitare il danno. Conferma inoltre che il virus del 22 ottobre fosse un ransomware della medesima tipologia (e probabilmente della stessa provenienza, forse indiana) che ha colpito ieri anche la Regione Basilicata paralizzando i sistemi dell’Azienda sanitaria di Matera. Nel caso veronese il traffico anomalo è stato immediatamente rilevato e si è provveduto subito a staccare i server principali dalla rete, cosicché i pirati sono riusciti a mettere le mani “soltanto” sui dati che in quel momento erano “condivisi” mediante una operazione di copiatura, dunque senza sottrarli fisicamente. I lavoratori vengono invitati a sporgere anche loro denuncia (come già fatto dall’Azienda) presso la Procura di Venezia, competente per questi reati.
“Come Fp Cgil non abbiamo nascosto le nostre perplessità su molti punti della spiegazione fornita dall’azienda, riservandoci di approfondire la questione anche con i legali del Sindacato” continua Mazza. “In primo luogo la tempistica: la notifica della violazione avviene ad ormai tre mesi di distanza dai fatti, quando il regolamento europeo sulla Privacy mette l’accento proprio su una comunicazione tempestiva, priva di ‘ingiustificati ritardi’. E in secondo luogo, sulla gravità della violazione: il fatto che i dati sensibili esposti sul dark web siano probabilmente al riparo dallo sguardo indiscreto del mio vicino di casa ma a portata di mano di qualsiasi altro hacker o truffatore professionista, non è precisamente il tipo di rassicurazione di cui i lavoratori hanno bisogno, Per questa ragione abbiamo chiesto la massima tutela dei dipendenti coinvolti in questa vicenda”.
“Siamo poi tornati a chiedere – aggiunge Mazza – se ci possa essere una relazione tra l’attacco hacker e il nuovo applicativo Sio Trackcare che, lo ricordiamo, è utilizzato dal 24 giugno 2023 in Aoui Verona ma non è ancora stato collaudato malgrado si tratti di un dispositivo medico a tutti gli effetti, e continua ad essere fonte di problemi. Nel corso della mattinata di ieri, martedì 30 gennaio, ad esempio, l’applicativo risultava bloccato nelle medicine specialistiche di Borgo Roma. Sono stati registrati blocchi anche al Pronto Soccorso dell’Ospedale della Donna e del Bambino di Borgo Trento e problemi al Servizio psichiatrico di Borgo Roma dove erano impediti i collegamenti con i server esterni” conclude il sindacalista.
Pur escludendo qualsiasi tipo di interferenza tra Sio e sistemi di sicurezza informatica, il Direttore generale di Aoui ha informato che Azienda Zero ha dato incarico ad una realtà esterna di effettuare il collaudo del sistema. Una conferma che ad oggi l’applicativo utilizzato è privo di collaudo. Inoltre, a livello di utilizzo dell’applicativo, è stato introdotto un sistema di autenticazione a due fattori basato sullo smartphone personale, il che apre tutta un’altra serie di questioni sull’utilizzo sul posto di lavoro del proprio dispositivo personale, tenuto conto che esiste anche chi lo smartphone non ce l’ha, ce l’ha ma non è aggiornato oppure semplicemente non lo vuole usare.