L’AQUILA. Nero su bianco. C’è una voce di spesa specifica da 35mila euro per la “gestione delle comunicazioni agli interessati e le interlocuzioni con l’autorità Garante per la privacy”. Così è scritto nel documento adottato il 25 agosto 2023 dall’Asl 1 Sulmona-Avezzano-L’Aquila, firmato dall’allora direttore Ferdinando Romano, che certifica l’affidamento dell’azienda sanitaria locale allo studio legale E-Lex per affrontare lo spinoso caso dell’attacco hacker del 3 maggio di quell’anno che aveva trafugato i dati personali di 10.631 persone tra pazienti, dipendenti e consulenti. Una scelta azzeccata per la Asl, che alla fine ha ricevuto dal Garante un semplice ammonimento, ma destinata a scatenare un’ondata di polemiche dopo l’ultima inchiesta di Report che mette a fuoco proprio il rapporto tra lo studio E-Lex e l’autorità Garante per la privacy. Quale legame? Ha un nome e cognome: Guido Scorza, membro del collegio del Garante e fondatore dello studio legale dove attualmente lavora sua moglie, oltre a un avvocato vicino al presidente del collegio Pasquale Stanzione. Un’intricata serie di rapporti personali e lavorativi, dunque, che, stando a quanto raccontanto dal programma di Sigfrido Ranucci, potrebbe configurare una violazione della norma sul conflitto d’interessi. Scorza, dal canto suo, si è immediatamente difeso: «Ogniqualvolta ho avuto conoscenza del coinvolgimento del mio vecchio studio in un procedimento davanti al Garante» ha detto, «non ho partecipato alla discussione e al voto del relativo provvedimento». Come lui stesso ha ammesso, però, nulla di tutto ciò risulta dal verbale della seduta del collegio in cui è stata adottata la decisione contro l’Asl 1. Ma per capire fino in fondo tutta la vicenda bisogna fare un passo indietro, riavvolgere il nastro e tornare a quel 3 maggio 2023, quando in Abruzzo è stato compiuto uno dei più importanti attacchi hacker della storia informatica del nostro Paese.

L’ATTACCO HACKER

Quel giorno la Asl aquilana subisce un attacco ransomware (dall’inglese ransom, riscatto) che determina significativi problemi di funzionalità dei sistemi informatici e l’esfiltrazione di dati personali. Come certificato nei giorni seguenti, a compiere l’incursione informatica è un gruppo hacker filorusso denominato “Monti” che utilizza un sofisticato sistema progettato per crittografare i dati e richiedere il pagamento in bitcoin. L’arma del ricatto: i dati sensibili di 10.631 persone, che spaziano dai dati sull’attività sindacale dei dipendenti a quelle più private dei pazienti, come nel caso delle interruzioni di gravidanza, di tumori o dell’Hiv. E il peggio è che 389 gigabyte di questo tipo di informazioni finisce nel dark web subito dopo l’attacco.

LO STUDIO E-LEX

Il guaio per la Asl è grosso. La prima cosa da fare è avvisare immediatamente tutti gli interessati dal furto dei dati. Secondo il Garante, però, l’azienda non si starebbe muovendo in maniera tempestiva e allora l’8 giugno 2023 impone una scadenza di 15 giorni entro i quali informare le vittime della violazione dei dati personali. Nel frattempo inizia la procedura per stabilire le eventuali responsabilità dell’Asl sul furto. Se, cioè, ha fatto tutto il necessario per proteggere quei dati. L’azienda, a quel punto, decide di rivolgersi a un superpool di avvocati. Chiama il legale Alfonso Celotto, capo di gabinetto di importanti ministri come Bonino e Tremonti, e ingaggia l’ex ministro della Giustizia Paola Severino, ma soprattutto decide di affidarsi a E-Lex di Roma, specializzato in diritto dell’informatica e della privacy. La delibera del 25 agosto 2023 che autorizza la fornitura del servizio da parte di E-Lex fa il punto sui costi: 130mila euro, spalmati su tre voci di spesa: 39mila euro per la “gestione del data breach”; 35mila per “la gestione delle comunicazioni agli interessati e le interlocuzioni con l’Autorità garante per la protezione dei dati a seguito del provvedimento dalla stessa”; 56mila per “eventuale supporto on demand da liquidare a consuntivo delle giornate effettivamente rese”.

LE CONTESTAZIONI

Soldi spesi bene, verrebbe da dire, perché nella seduta del 13 febbraio il collegio del Garante si limita ad ammonire la Asl. E questo nonostante la lunga lista di contestazioni presentate dall’authority. In primis, da parte dell’azienda sanitaria c’è stata una «mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali». I criminali hanno «effettuato una serie di operazioni propedeutiche all’attacco», ma la Asl non ha adottato «misure adeguate a garantire la sicurezza delle reti e di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi». Ma l’aspetto più preoccupante è che ad aprire il link malevolo che ha permesso l’hackeraggio è stato attivato da «un’utenza associata a un consulente non più operante nella Asl». Nel provvedimento il Garante sottolinea che l’azienda, in virtù del ruolo rivestito, ha il dovere di soddisfare le «legittime aspettative di trasparenza e sicurezza del trattamento dei pazienti». Insomma, un comportamento omissivo che però l’ente ha deciso di punire con un semplice ammonimento. La ragione? La cooperazione della Asl «ben oltre gli obblighi di legge».

LA DIFESA DEL GARANTE

Meno di un mese prima che andasse in onda l’inchiesta sui rapporti tra il membro del collegio del Garante Guido Scorza con lo studio E-Lex, proprio Report aveva ricevuto dall’ente una sanzione da 150mila euro per aver pubblicato un audio relativo al caso Boccia-Sangiuliano. Chiaro che quindi, dopo la puntata di domenica scorsa, si sia scatenato un putiferio. Le opposizioni sono insorte chiedendo le dimissioni del collegio (organo blindatissimo, che non può essere deposto per via parlamentare). Il presidente dell’autorità Pasquale Stanzione si è difeso in un’intervista sul Tg1. «Non ci dimetteremo, agiamo in autonomia», ha detto. Guido Scorza, invece, ha parlato direttamente dal suo sito (in cui pubblica podcast, interviste e ha anche una rubrica chiamata “Diario di un chatbot sentimentale”). Scorza scrive che il procedimento contro la Asl era arrivato davanti al collegio, una prima volta, il 30 gennaio 2025 e che, per quanto «dagli atti non emergesse il coinvolgimento» di E-Lex ne aveva avuto il sospetto e quindi aveva deciso di «non partecipare» e «uscire dall’aula». «Il Collegio, tuttavia, ha rinviato l’esame al 13 febbraio 2025», spiega ancora Scorza, che giura di essersi comportato nello stesso modo, anche se dal verbale «non viene riportato». Il giurista parla di «svista» di cui è «pienamente responsabile» perché, in sede di approvazione del verbale, avrebbe dovuto rilevare quell’errore che, purtroppo, «è sfuggito». Ma secondo Scorza, ciò che conta davvero è il fatto che «il provvedimento è stato adottato all’unanimità» e che quindi, anche qualora avesse partecipato al voto, «sarebbe stato ininfluente». Insomma, un grande malinteso nato da una distrazione che, come quella della Asl, è solo da ammonizione.

©RIPRODUZIONE RISERVATA