Al di là dei rilievi sugli aspetti di gestione dell’incidente per l’attacco informatico subito dalla Regione Lazio, i più ovvi legati alle comunicazioni pubblicamente rese, la domanda sorge spontanea: concretamente, di quali conseguenze dovremmo preoccuparci?
Ad esempio, il presidente Zingaretti informa che “Non sappiamo chi siano i responsabili e le loro finalità”, che le prenotazioni sono sospese in quanto “il sistema è spento per consentire una verifica interna e per evitare il propagarsi del virus introdotto con l’attacco” e che “LazioCrea ci comunica che i dati della sanità sono in sicurezza, così come quelli finanziari e del bilancio”, e che l’attacco è “di stampo terroristico”.
Tutto sembra da un lato un rilancio verso la catastrofe, come a riferire di un evento esterno, assolutamente imprevedibili o inevitabile, e dall’altro lato un voler rassicurare in quanto alcuni dati sono “in sicurezza”.
Ma un attacco di tipo ransomware cryptolocker non rientra nel novero di minacce di remota occorrenza, per cui esistono delle misure preventive e non soltanto di ripristino, nonché suscita alcune preoccupazioni dal momento che solitamente non si limita a bloccare i sistemi ma esfiltra anche alcuni dati.
Insomma: dal momento che LazioCrea comunica che dati di sanità, finanziari e di bilancio “sono in sicurezza”, cosa si intende in concreto? Che sono disponibili i backup? Che è escluso un accesso abusivo ai dati e non c’è stata esfiltrazione? Che i dati che non appartengono alle categorie indicate (sanità, finanziari e di bilancio), di conseguenza, non sono in sicurezza?
Su questo punto è rassicurante che l’Autorità Garante per la protezione dei dati personali sia intervenuta e abbia emesso un comunicato stampa in cui informa di aver immediatamente preso contatti con la Regione Lazio “per tutto quanto attiene agli aspetti di protezione dei dati personali degli interessati coinvolti nel data breach”, avendo ricevuto una “prima notifica preliminare di violazione dei dati”.
Certamente, il video ANSA in cui alcuni intervistati “non manifestano timori per possibili furti dei dati personali, preferendo la vaccinazione”, è piuttosto emblematico per comprendere quanto sia ancora distante una cultura della sicurezza dei dati personali e di cyberawareness. E al di là di quanto un negazionista della privacy possa tronfiamente dichiarare, la diffusa messa in pericolo o svilimento di una libertà e diritto fondamentale – come è quello alla protezione dei dati personali – non dovrebbe mai essere un evento da considerare con leggerezza.
