[doc. web n. 9780717]

Provvedimento del 10 marzo 2022

Registro dei provvedimenti
n. 88 del 10 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida sulla notifica”);

VISTE le “Guidelines 01/2021 on Examples regarding Data Breach Notification” adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021 (di seguito “Linee guida sui casi di violazione dei dati personali”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

L’Autorità è venuta a conoscenza, attraverso notizie sui social media, che il sistema utilizzato dal Ministero della salute (di seguito Ministero) ai fini dell’autenticazione e autorizzazione degli utenti del Nuovo Sistema Informativo Sanitario (di seguito “NSIS”) è stato oggetto di un attacco informatico nel mese di settembre 2021. In particolare, soggetti terzi avrebbero avuto accesso ai dati personali – tra cui credenziali di autenticazione – contenuti in alcuni file di log conservati all’interno dei sistemi informatici del Ministero.

L’Ufficio ha avviato un’istruttoria, mediante richieste di informazioni rivolte al Ministero (note del 22 novembre 2021 e del 21 gennaio 2022), al fine di acquisire elementi circa la portata della violazione dei dati personali, le valutazioni svolte dallo stesso Ministero in ordine ai rischi per i diritti e le libertà per gli interessati derivanti dalla stessa, nonché le misure tecniche e organizzative adottate al fine di impedire il verificarsi di accessi non autorizzati al NSIS a seguito dell’acquisizione illecita di alcune credenziali di autenticazione. A tali richieste il Ministero ha prodotto riscontro con note del 26 novembre 2021 e del 31 gennaio 2022, fornendo le informazioni e gli elementi di seguito rappresentati.

1. Gli elementi forniti dal Ministero della salute in merito all’attacco informatico

Il Ministero ha dichiarato che “nell’arco temporale compreso tra il 02 ed il 08 settembre 2021 […] subiva un attacco informatico finalizzato all'esfiltrazione di credenziali per l'accesso ai sistemi riferiti alla piattaforma del Nuovo Sistema Informativo Sanitario (NSIS)” di cui apprendeva notizia “mediante una comunicazione telematica (e-mail) da parte di un utente […] che segnalava di aver individuato informazioni afferenti l'Amministrazione in un annuncio presente sul darkweb”.

Il Ministero ha rappresentato di aver effettuato le necessarie analisi da cui “è stato possibile comprendere come l’attaccante sia stato in grado di acquisire credenziali degli utenti che effettuavano l’accesso alla piattaforma NSIS, raggiungibile al seguente indirizzo https://nsis.sanita.it, nel periodo compreso tra il 07 ed il 08 settembre 2021” e “circoscrivere l’esfiltrazione delle credenziali nelle fasce orarie del giorno 7 settembre c.a. dalle 9:00 alle 11:00 e del giorno 8 settembre c.a. dalle 10:00 alle 11:00”, individuando un totale di 1.578 credenziali di autenticazione compromesse.

Per quanto concerne le misure tecniche e organizzative adottate al fine di impedire il verificarsi, anche in futuro, di accessi non autorizzati alla piattaforma NSIS a seguito dell’acquisizione illecita delle citate credenziali di autenticazione degli utenti che, nei giorni 7 e 8 settembre 2021, avevano effettuato almeno un accesso alla predetta piattaforma, il Ministero ha rappresentato di aver “proceduto all’individuazione di tutti gli utenti che hanno eseguito l’accesso [… nel] periodo” previa “verifica che gli indirizzi email degli utenti coinvolti fossero riferibili agli utenti stessi” e di aver forzato il “reset delle password, preannunciando agli stessi utenti tale intervento per ragioni di sicurezza”. Tale procedura, effettuata per fasi, con priorità “alle utenze collegate a nsis.sanita.it durante le fasce orarie di potenziale esfiltrazione dati” ha, quindi, portato alla creazione di “una nuova password randomica […] con obbligo di cambio al primo accesso”. Al riguardo, il Ministero ha trasmesso una relazione sulle attività di reset delle password delle predette utenze effettuate a seguito dell’incidente di sicurezza, comprensiva delle modalità e i criteri adottati.

Il Ministero ha, inoltre, dichiarato di aver “provveduto a bloccare il servizio di registrazione in uso (self provisioning) che permetteva, ad un soggetto interessato all’utilizzo di funzionalità NSIS, la creazione di proprie credenziali in autonomia, anche se con limitato accesso alle sole funzionalità di gestione delle proprie informazioni personali e alla richiesta di profili applicativi soggetti a successiva puntuale approvazione da parte degli Amministratori delle applicazioni” e di aver “predisposto un “Mitigation, Eradication and Improvement Plan” […] al fine di contenere l’incidente ed evitare impatti in futuro con la stessa tipologia di minaccia”.

Il Ministero ha “valutato che non si siano concretizzati rischi per i diritti e le libertà per gli interessati derivanti dall’incidente occorso” e non ha, pertanto, notificato la violazione e comunicato agli interessati coinvolti la violazione.

OSSERVA

2. Le valutazioni dell’Autorità

Nelle more della definizione dell’istruttoria ancora in corso necessaria all’approfondimento di quanto sopra illustrato e alla definizione delle responsabilità in merito all’accaduto, si rileva che l’accesso ai dati personali contenuti nei file di log conservati all’interno della piattaforma NSIS configura una violazione dei dati personali (cfr. art. 4, punto 12, del Regolamento).

Risulta, pertanto, necessario valutare la conformità delle iniziative fin qui intraprese dal Ministero a tutela degli interessati, con particolare riferimento all’assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento.

A riguardo, il Regolamento suggerisce che nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76).

In particolare, le Linee guida sulla notifica individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione (cfr. cons. n. 86 del Regolamento).

Le Linee guida sui casi di violazione dei dati personali evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un’esfiltrazione di credenziali di autenticazione e, quindi, consigliano di comunicare le violazioni dei dati personali che coinvolgono le credenziali in ogni caso, anche se le password sono protette con algoritmi crittografici (cfr. parr. 59 e 62). In caso di esfiltrazione di password in chiaro, poi, sottolineano che la notifica all’autorità di controllo e la comunicazione agli interessati non possono essere considerate come facoltative (cfr. par. 68).

La valutazione dei rischi per i diritti e le libertà degli interessati, derivanti dalla violazione dei dati personali in esame, deve tener conto dei seguenti fattori:

il ruolo centrale rivestito dal Ministero della salute nel contesto dei trattamenti svolti nell’ambito del NSIS, che richiede un elevato grado di accountability al fine di garantire la fiducia nei confronti del Ministero da parte degli interessati, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla compromissione delle credenziali di autenticazione considerata l’abitudine degli utenti di utilizzare password sempre simili tra loro cambiando solo alcuni caratteri (es. un numero o una lettera) e, comunque, di riutilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri servizi online;

la possibilità che le credenziali di autenticazione in questione siano sfruttate per accedere alla piattaforma NSIS e consultare, o acquisire, dati personali riferiti sia agli utenti a cui sono attribuite (es. dati anagrafici del profilo personale) che ad altre categorie di interessati (es. in caso di applicazioni NSIS che comportano un trattamento di dati personali di assistiti del servizio sanitario nazionale), nonché per ulteriori eventuali attività illecite.

Pertanto, diversamente da quanto ritenuto dal Ministero, la violazione dei dati personali in esame è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento. Ciò, anche in considerazione del fatto che non risulta soddisfatta alcuna delle condizioni di cui all’art. 34, par. 3, del Regolamento, per le quali non è richiesta la comunicazione agli interessati.

L’avviso “via e-mail di problematiche di sicurezza in corso che richiedevano il reset della password” da parte del Ministero – sebbene, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato, offrendo anche un recapito dedicato al quale rivolgersi – non costituisce, allo stato, uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di rendere gli interessati efficacemente consapevoli dei rischi derivanti dalla violazione anche al fine di permettere loro di prendere le precauzioni necessarie quali, a esempio, non utilizzare più la password compromessa, o comunque una simile, per l’accesso alla piattaforma NSIS o ad altri servizi online.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso, si ravvisano la necessità di ingiungere al Ministero, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare la violazione dei dati personali agli interessati coinvolti, descrivendo la natura della violazione e le possibili conseguenze della stessa, fornendo loro i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative della violazione quali quelle di non utilizzare più la password compromessa, o comunque una simile, per l’accesso alla piattaforma NSIS o ad altri servizi online.

Si ritiene, pertanto, necessario disporre -  ex art. 166, comma 5, del Codice, , tenuto conto che la mancata comunicazione agli interessati ai sensi dell’art. 34 del Regolamento arreca e continua ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati dal trattamento in quanto le credenziali di autenticazione oggetto della violazione dei dati personali potrebbero essere sfruttate da soggetti non autorizzati per accedere alla piattaforma NSIS e consultare, o acquisire, dati personali degli utenti a cui sono attribuite o di altre categorie di interessati, nonché per ulteriori eventuali attività illecite – che la predetta comunicazione sia effettuata immediatamente a seguito della ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, ingiunge al Ministero di comunicare, immediatamente a seguito  della ricezione del presente provvedimento, la violazione dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;

2) ai sensi dell’art. 157 del Codice, ingiunge altresì al Ministero di fornire all’Autorità, entro dieci giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto al punto 1). Si ricorda che il mancato riscontro alla presente richiesta può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

3) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 10 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei