Cosa rischia, ora, Synlab Italia?
Secondo la normativa vigente, è sicura una sanzione pecuniaria
14/05/2024 di Redazione Giornalettismo
Quando un’azienda subisce un attacco informatico, è ad alto rischio di sanzioni da parte delle autorità preposte. Accade per tutti i data breach e occorre sottolineare come la situazione diventi ancor più grave quando si parla di esfiltrazione di dati sanitari, quelli più preziosi e che richiedono gli standard più elevati di sicurezza informatica. Per questo motivo, oltre a un possibile impatto reputazionale, Synlab Italia potrebbe dover pagare una multa di diverse centinaia di migliaia di euro per quel che è accaduto ai suoi sistemi informatici lo scorso 18 aprile.
LEGGI ANCHE > È finito malissimo l’attacco ransomware contro Synlab
L’attacco ransomware da parte della cybergang BlackBasta si è concluso, di fatto, nella giornata di ieri con la pubblicazione di 1,5 terabyte di dati esfiltrati nel corso dell’offensiva del mese scorso. Una mole impressionante di dati sanitari – quelli che rientrano nelle “categorie particolari di dati personali”, secondo il GDPR – che potranno essere utilizzati da chi li ha prelevati nel deepweb per condurre operazioni di phishing mirato (nella “migliore” delle ipotesi) o per altre tipologie di truffe. Ma cosa rischia, ora, Synlab Italia?
Synlab Italia, cosa rischia dopo il data breach
Stando a quanto riportato dal Garante Privacy, si parla di una sanzione economica piuttosto elevata. Solo per il fatto di non aver protetto adeguatamente (ricordiamo che un attacco informatico è possibile solo se ci sono delle vulnerabilità nei sistemi) la propria infrastruttura informatica:
«Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale».
Dunque, si parla di una sanzione che può arrivare fino a 10 milioni di euro o pari al 2% del fatturato. Ovviamente, l’eventuale calcolo – in caso di (prevedibile) multa – dovrà tenere conto di molti fattori. Non solo la verifica sull’adeguatezza delle misure di sicurezza, ma anche l’aver rispettato la procedura da seguire in caso di attacco informatico con data breach.
Si parte dall’obbligo di notifica all’Autorità preposta (il Garante per la Protezione dei Dati Personali) entro le 72 ore dall’attacco subìto. Inoltre occorre anche avvisare tutti gli utenti/clienti vittime di questa esfiltrazione dei dati. Due fattori che devono essere tenuti in conto nel calcolo della sanzione da comminare in queste occasioni. A tutto ciò si aggiunge il danno reputazionale. Sta di fatto che multe di questo tipo non risarciscono in alcun modo gli utenti i cui dati, ora, sono alla mercé dei criminali informatici. Utenti che potrebbero chiedere un risarcimento all’azienda. In questo caso, a Synlab Italia.
Cosa può fare un utente
Christian Bernieri, esperto DPO, ha messo a disposizione di tutti gli utenti una bozza di richiesta da inviare a Synlab Italia.
Me lo chiedono a palate… facciamo una cosa, metto qui una bozza, poi se uno deve chiedere, scarica, compila e invia.
Good Luckhttps://t.co/utOhE1emPE pic.twitter.com/1DiBbxOlfP— Christian Bernieri – DPO (@prevenzione) May 14, 2024
È preferibile inviarlo via pec (agli indirizzi synlabitalia@pec.it o synlabDPO@cms-aacs.com). Per chi non l’avesse, può inviare il tutto a privacy@synlab.it).