L’attacco hacker all’ordine degli psicologi della lombardia e la sanzione del garante della privacy
Un cyber attacco del gruppo NoEscape ha compromesso i dati personali di circa 3mila persone all’Ordine degli psicologi della Lombardia, portando a una multa di 30mila euro dal garante della privacy.
Il cyber attacco subito dall’Ordine degli psicologi della Lombardia nel 2023 ha esposto dati sensibili di migliaia di persone, evidenziando gravi lacune nella sicurezza informatica e portando a una multa di 30mila euro da parte del garante della privacy. - Unita.tv
Il cyber attacco ai danni dell’Ordine degli psicologi della Lombardia ha messo in luce le falle nella sicurezza informatica dell’associazione e le conseguenze sulla tutela dei dati personali di migliaia di persone. Tra settembre e ottobre 2023, un gruppo di hacker noto come NoEscape ha violato il sistema, sottraendo un’ingente quantità di informazioni riservate, poi diffuse nel dark web dopo il mancato pagamento del riscatto. Il garante della privacy ha inflitto una multa da 30mila euro, segnalando le carenze nel controllo e nella risposta all’attacco.
Come è avvenuta l’intrusione nella rete dell’ordine
L’attacco è iniziato tra il 30 settembre e il 1° ottobre 2023, quando i sistemi dell’Ordine degli psicologi sono stati presi di mira attraverso numerosi tentativi di accesso via remota. Gli hacker hanno utilizzato il protocollo remote desktop protocol , uno strumento che consente agli utenti autorizzati di collegarsi a distanza a un computer con un’interfaccia grafica. La scelta di questo canale è significativa, perché spesso rappresenta un punto vulnerabile in molte realtà informatiche.
Intensificazione e penetrazione nella rete
Dal 2 ottobre l’attività malevola ha preso intensità nelle ore serali, approfittando di momenti di minor sorveglianza. Il 3 ottobre è stato il giorno in cui gli intrusi sono riusciti a penetrare nella rete interna dell’Ordine. Fino a quel momento, il pubblico conosceva solo la parte conclusiva dell’assalto: la sottrazione di circa 6,89 gigabyte di dati sensibili avvenuta circa un anno e mezzo prima. A quel tempo, NoEscape aveva già preso in ostaggio queste informazioni per un riscatto rimasto non pagato. In seguito, le informazioni sono state diffuse nel dark web, esponendo dati confidenziali a chiunque.
Leggi anche:
Quando e come è stata segnalata la violazione
Il 19 ottobre 2023 è stato l’Ordine stesso a mettere al corrente il garante della privacy sull’incidente, spiegando di aver individuato soltanto l’10 ottobre che le irregolarità riscontrate nei giorni precedenti erano riconducibili a un attacco malevolo. La denuncia ha chiarito che gli hacker avevano inviato una mail che indicava un link su Onion, la rete anonima associata al dark web, con una minaccia esplicita: “pubblicare sette gigabyte di dati sottratti qualora il riscatto non fosse stato pagato.”
Le minacce si sono concretizzate il 18 e il 31 ottobre, quando i dati sono stati effettivamente pubblicati. L’Ordine ha confermato che l’attacco ha coinvolto circa 3mila persone, con un impatto particolarmente grave per i dati relativi a 159 soggetti coinvolti in procedimenti disciplinari, oltre che per chi risultava citato in quegli stessi procedimenti. Questa categoria rappresenta una piccola parte rispetto all’intero volume di dati violati.
Tipologie di dati compromessi
Le azioni degli hacker hanno portato alla sottrazione di quasi 15mila registrazioni di dati personali. Tra questi, figurano informazioni anagrafiche, contatti, dettagli di pagamento, documenti di riconoscimento coperti dal segreto professionale. Sono stati rubati anche dati particolari e sensibili quali origine razziale o etnica, convinzioni religiose o filosofiche, affiliazione sindacale, orientamento sessuale e stato di salute.
Ulteriore rilievo hanno avuto i dati relativi a condanne penali e reati, riconosciuti come informazioni protette da una normativa più severa. La portata dell’attacco ha messo a rischio non solo la privacy degli iscritti all’Ordine, ma anche quella di terze persone collegate ai procedimenti disciplinari.
La risposta dell’ordine e la posizione del garante
L’Ordine ha detto di aver adottato misure di sicurezza, nonostante avesse notevoli limiti economici. Ha descritto l’attacco come “brute force”, cioè una strategia che prova ripetutamente combinazioni di credenziali per trovare accessi validi. Gli hacker si sarebbero mossi in modo sofisticato e discreto, mirati a evitare sistemi di allarme tradizionali. L’esfiltrazione dati è avvenuta lentamente, soprattutto durante la notte e nei giorni festivi, senza superare il normale volume di traffico.
Ragioni della sanzione da parte del garante
Il garante però ha osservato che l’associazione non ha messo in atto controlli adeguati per rilevare con tempestività le anomalie nel sistema e fermare l’attacco. L’argomento delle risorse limitate non è stato ritenuto valido per giustificare la mancanza di strumenti di controllo adeguati al rischio di violazioni dei dati personali. Per questo è scattata la multa da 30mila euro, in linea con le responsabilità previste dalla legge sulla protezione dei dati.
L’attacco ha evidenziato quanto sia delicato maneggiare informazioni sensibili e quanto gli enti professionali debbano mantenere standard elevati di sicurezza. La vicenda resta un esempio concreto delle sfide della sicurezza digitale nel mondo associativo.