La notizia è dello scorso 10 Settembre: una donna in Germania è deceduta a causa di un attacco ransomware che ha bloccato il sistema di un ospedale che, non potendo assistere la paziente, l’ha reindirizzata presso un’altra struttura. Il ritardo nel ricovero si è rivelato fatale e, adesso, i criminali informatici, oltre alle imputazioni per il cyberattacco e i reati connessi ne rischiano una anche per omicidio.

Ma quali possono essere, in simili ipotesi, eventuali responsabilità della struttura vittima? Dalle notizie in rete sembra che l’attacco sia stato portato tramite il ransomware denominato Ryuk, diffuso sfruttando una vulnerabilità dei sistemi di controllo della rete Citrix (la CVE-2019-19781 di Citrix ADC, già conosciuta e risolta nel Gennaio 2020). Questa vulnerabilità aveva già ricevuto indicazioni specifiche di mitigazione, ma semplicemente i sistemi non erano stati aggiornati e gli attaccanti ne hanno approfittato. 

Quello di mantenere il proprio sistema, i terminali e anche gli operatori aggiornati, è un dovere che il GDPR pone a carico di ogni titolare: la privacy non è una disciplina che trova applicazione soltanto quando i dati vengono raccolti, ma anche per tutto il periodo in cui sono conservati e trattati, fino alla loro cancellazione e il suo aggiornamento sulla base delle comuni esperienze e degli sviluppi tecnologici è assolutamente dovuto. Non basta un semplice antivirus scelto al momento dell’adozione di una policy quando, ben sappiamo, gli attaccanti sono alla costante ricerca di nuove soluzioni che puntualmente arrivano. Un’attività quindi di previsione non può essere esclusa dalle privacy policy.

Forse l’esempio dell’ospedale tedesco è un caso estremo, ma si è verificato e non può passare in secondo piano. Ospedali, cliniche, laboratori, oltre a trattare categorie di dati tra i più sensibili e particolari, hanno in mano prima di tutto la vita e la salute dei loro pazienti ed è quindi richiesto un dovere di maggiore diligenza: se in una sala operatoria è previsto un sistema di emergenza in caso di mancanza di corrente, questa vicenda ci insegna che anche per la privacy deve essere prevista una forma di intervento quando un attacco informatico possa mettere in crisi il sistema. La Legge Gelli (24/2017), prevede all’art. 1 che la sicurezza delle cure è parte costitutiva del diritto alla salute; prosegue poi precisando che la sicurezza delle cure deve essere realizzata anche mediante tutte le attività di prevenzione alla gestione dei servizi erogati. Infine la norma richiama il dovere di collaborare da parte di tutto il personale.

Ad una stretta lettura del dato normativo non vi sono dubbi che rientrino tra i doveri degli operatori anche quelli di garantire la sicurezza informatica dei sistemi che, purtroppo, non si sostanzia solo nella fase di acquisizione dati, ma anche della loro immediata disponibilità da parte di ogni operatore che ne possa avere bisogno in qualsiasi momento, stante l'estrema probabilità che possano verificarsi situazioni di emergenza: cartelle cliniche, risultati di analisi, referti e eventuali dati per la compatibilità di organi per un trapianto o plasma per trasfusioni. Immaginiamo l’ipotesi, forse catastrofica ma non impossibile, di un cyberattacco in un centro trapianti che ne impedisca il funzionamento. I criminali informatici non sono tipi soggetti a molti scrupoli e ben potrebbero chiedere ingenti riscatti per rilasciare le informazioni necessarie ad un intervento magari atteso da anni.

Si aprono quindi pesanti ipotesi di responsabilità delle strutture che, oltre al data breach, potrebbero essere chiamati a rispondere anche di eventi mortali in caso di mancata disponibilità dei dati o di un blocco del sistema. Ovviamente la responsabilità penale resta personale e dovrà essere dimostrata, ma in sede civile il rischio è quello, oltre alle sanzioni da parte del Garante, di pesanti cause per risarcimento danni che, oltretutto, potrebbero non essere coperti dalle assicurazioni.