L’AQUILA. Una procedura contro la Asl Avezzano Sulmona L’Aquila chiusa con un ammonimento; un’altra, gemella, nei confronti della Asl 3 Napoli, terminata con una sanzione da 30.000 euro. È anche su questa discrepanza, apparentemente tecnica, che la procura di Roma ha deciso di accendere un faro sui vertici del Garante per la privacy. L’inchiesta, che vede indagati il presidente dell’Autorità Pasquale Stanzione e i componenti del collegio Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza, scoperchia uno scenario in cui la gestione del potere di controllo sembra essersi intrecciata pericolosamente con interessi privati, configurando ipotesi di reato rubricate come corruzione e peculato.

Il pubblico ministero Chiara Capoluongo, dunque, sta indagando anche sulla procedura che ha riguardato la Asl abruzzese. Il 3 maggio 2023, l’azienda sanitaria del capoluogo di regione viene colpita da un attacco hacker, tecnicamente un «data breach di non poco rilievo», annota il magistrato. Le conseguenze sono gravi: vengono trafugati i dati personali di 10.631 soggetti, una platea vasta che comprende pazienti, dipendenti e consulenti. Di norma, violazioni di questa portata innescano reazioni rigorose da parte di chi è chiamato a vigilare sulla custodia delle nostre identità digitali.

Eppure, in questo caso, l’iter si conclude in modo di fatto indolore. Nel fascicolo il Garante rileva una serie di errori dall’azienda sanitaria, allora diretta da Ferdinando Romano, tanto nella protezione delle informazioni sensibili che nella gestione successiva al furto. Tutto avrebbe lasciato presagire l’adozione di una sanzione pecuniaria, ma alla fine l’authority si limita al cartellino giallo. Lo stesso pm scrive di un «semplice» provvedimento di ammonimento. Una decisione che, letta isolatamente, potrebbe apparire come una sorprendente, forse, ma comunque legittima valutazione dell’organo di controllo, ma che i magistrati romani mettono a confronto con un precedente specifico. Una procedura definita nel decreto di perquisizione come «sostanzialmente analoga nei presupposti», quella a carico della Asl Napoli 3, che però ha avuto un esito opposto: una sanzione «rilevante» di 30.000 euro.

È in questa frattura, tra la severità riservata alla Campania e la clemenza mostrata verso l’Abruzzo, che si inseriscono i dubbi della procura. Gli inquirenti ipotizzano che la disparità di trattamento non sia casuale, ma trovi spiegazione nei rapporti professionali intercorsi tra l’ente controllato e figure riconducibili all’ente controllore. La Asl 1, infatti, per la propria tutela legale e per attività di assistenza si è affidata allo studio specializzato E-lex. E lo studio in questione è stato fondato da Scorza, attuale componente del collegio del Garante e tra gli indagati in questa inchiesta. A rendere il quadro meritevole di «approfondimenti investigativi», secondo i magistrati, c’è un ulteriore dettaglio cruciale: all’interno dello stesso studio presta servizio, con il ruolo di «salary partner», la moglie di Scorza.

Il decreto della procura si sofferma su questo incrocio, sottolineando come «non può passare inosservata la circostanza per cui allo studio E-lex sia stato conferito dalla Asl Avezzano Sulmona L’Aquila un mandato a titolo difensivo/collaborativo di rilevante importo», retribuito con 46.945,60 euro nel 2023 e un importo identico nel 2024. Secondo la ricostruzione accusatoria, che dovrà trovare riscontro negli accertamenti in corso, dietro la decisione di non sanzionare l’azienda sanitaria potrebbero nascondersi «rapporti dubbi».

L’ipotesi al vaglio è che il mandato legale conferito allo studio del fondatore-indagato possa aver influito sulla valutazione finale del Garante, trasformando una potenziale multa in un richiamo formale, in un meccanismo di do ut des che avrebbe inquinato la funzione pubblica. La procura ha ordinato alla guardia di finanza di sequestrare «tutta la documentazione relativa alle istruttorie che abbiano interessato la Asl». L’obiettivo è ripercorrere passo dopo passo l’iter amministrativo, analizzando verbali e comunicazioni «al fine di verificare l’esistenza di irregolarità che siano tali da integrare fattispecie di reato».

Di certo, il provvedimento con cui lo scorso 13 febbraio l’authority si è limitata ad ammonire l’azienda sanitaria è sorprendente. Soprattutto alla luce delle varie contestazioni rilevate. Si va dalla «mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali», che hanno permesso agli hacker di «effettuare una serie di operazioni propedeutiche all’attacco», alle «misure adeguate a garantire la sicurezza delle reti e di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi». Questo è un passaggio fondamentale dell’ordinanza, perché come il link malevolo che ha permesso l’hackeraggio è stato attivato proprio da un’utenza associata a un ex consulente della Asl.

Una serie di comportamenti omissivi che contraddicono, nelle parole del Garante, quello che è un dovere dell’azienda: «Rispettare le legittime aspettative di trasparenza e sicurezza del trattamento dei pazienti». Alla fine, però, l’Autorità si mostra più che benevola e utilizza la mano morbida senza infliggere alcuna sanzione pecuniaria alla Asl. La giustificazione? Il suo atteggiamento collaborativo, «ben oltre gli obblighi di legge», è scritto provvedimento. E pensare che nei giorni immediatamente successivi al furto di dati il Garante si era mostrato piuttosto intransigente. In base alla normativa generale per la protezione dei dati, l’azienda sanitaria avrebbe dovuto avvisare immediatamente le vittime del furto di quanto accaduto. Ma non lo fa, secondo l’authority, che l’8 giugno fissa un tempo massimo di due settimane per rispettare gli obblighi informativi. Nel frattempo, inizia la procedura per stabilire le eventuali responsabilità della Asl rispetto all’attacco hacker.

Se, cioè, è stato fatto tutto il necessario per proteggere quei dati. A quel punto Romano, l’allora direttore generale dell’azienda, corre ai riparti e mette su un superpool di avvocati. Assume il legale Alfonso Celotto, capo di gabinetto di importanti ministri come Bonino e Tremonti, ingaggia l’ex ministro della Giustizia Paola Severino, soprattutto decide di affidarsi a E-Lex, tra gli studi di diritto informatico più noti del Paese. E infatti non è economico. Lo si legge nella delibera del 25 agosto 2023 che autorizza il contratto con E-Lex: il tetto massimo di costi fissato a 130mila euro – appena al di sotto della soglia che obbliga un ente pubblico a indire un bando per l’assegnazione di un servizio – spalmato su tre voci di spesa: 39mila euro per la “gestione del data breach”; 35mila per “la gestione delle comunicazioni agli interessati e le interlocuzioni con l’Autorità garante per la protezione dei dati a seguito del provvedimento dalla stessa”; 56mila per “eventuale supporto on demand da liquidare a consuntivo delle giornate effettivamente rese”. Soldi spesi bene, sarebbe venuto da dire fino a oggi, visto l’esito del procedimento, così diverso dal caso “gemello” della Asl napoletana. Un risultato lavorativo eccellente, per lo studio; una discrepanza su cui fare chiarezza, per la procura. Dettagli che fanno la differenza.

©RIPRODUZIONE RISERVATA