Nel corso di un incontro informativo avvenuto, martedì pomeriggio, il Direttore generale dell’Azienda ospedaliera Aoui di Verona Callisto Bravi, il responsabile della privacy Felice Schena e un consulente legale hanno informato le Rsu aziendali e le Organizzazioni sindacali territoriali che, i lavoratori e le lavoratrici i cui dati personali sensibili stati sono stati sottratti durante l’attacco hacker dello scorso 22 ottobre e pubblicati sul web nel corso del successivo mese di novembre – a seguito di una richiesta di riscatto non soddisfatta da parte dell’azienda – riceveranno a breve la notifica della violazione avvenuta con l’indicazione della natura della violazione, le conseguenze della divulgazione non autorizzata di dati e i possibili rimedi per limitarne i danni.
“Non è stato comunicato il numero di notifiche che stanno per essere spedite, ma per la prima volta abbiamo la conferma ufficiale che la vicenda dell’hackeraggio dei sistemi informatici Aoui riguarda anche i lavoratori” sottolinea Simone Mazza, responsabile Sanità della Funzione Pubblica Fp Cgil di Verona. “E’ stato inoltre precisato che i dati ‘più sensibili’ trafugati sono relativi, ad esempio, a documenti d’identità, pignoramenti, cessione del quinto dello stipendio e prescrizioni del medico aziendale”.
La direzione aziendale ritiene che il fatto che la pubblicazione sia avvenuta sul dark web, ovvero la parte di internet non indicizzata, alla quale si accede con strumenti e competenze specifiche, normalmente non alla portata del grande pubblico, possa in qualche modo limitare il danno. Conferma inoltre che il virus del 22 ottobre fosse un ransomware della medesima tipologia (e probabilmente della stessa provenienza, forse indiana) che ha colpito ieri anche la Regione Basilicata paralizzando i sistemi dell’Azienda sanitaria di Matera. Nel caso veronese il traffico anomalo è stato immediatamente rilevato e si è provveduto subito a staccare i server principali dalla rete, cosicché i pirati sono riusciti a mettere le mani “soltanto” sui dati che in quel momento erano “condivisi” mediante una operazione di copiatura, dunque senza sottrarli fisicamente. I lavoratori vengono invitati a sporgere anche loro denuncia (come già fatto dall’Azienda) presso la Procura di Venezia, competente per questi reati.
“Come Fp Cgil non abbiamo nascosto le nostre perplessità su molti punti della spiegazione fornita dall’azienda, riservandoci di approfondire la questione anche con i legali del Sindacato” continua Mazza. “In primo luogo la tempistica: la notifica della violazione avviene ad ormai tre mesi di distanza dai fatti, quando il regolamento europeo sulla Privacy mette l’accento proprio su una comunicazione tempestiva, priva di ‘ingiustificati ritardi’. E in secondo luogo, sulla gravità della violazione: il fatto che i dati sensibili esposti sul dark web siano probabilmente al riparo dallo sguardo indiscreto del mio vicino di casa ma a portata di mano di qualsiasi altro hacker o truffatore professionista, non è precisamente il tipo di rassicurazione di cui i lavoratori hanno bisogno, Per questa ragione abbiamo chiesto la massima tutela dei dipendenti coinvolti in questa vicenda”.
Pur escludendo qualsiasi tipo di interferenza tra Sio e sistemi di sicurezza informatica, il Direttore generale di Aoui ha informato che Azienda Zero ha dato incarico ad una realtà esterna di effettuare il collaudo del sistema.