[doc. web n. 10196105]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 616 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali

In data XX l’Istituto Prosperius S.r.l., di seguito “Istituto”, ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali, successivamente integrata con note del XX e XX, a causa di un attacco malware che “tra il XX e il XX [ha] compromesso l’infrastruttura, distribuito un Ransomware, crittografato diversi server e interrotto l’operatività” dell’Istituto e che ha comportato l’esfiltrazione dei dati ivi contenuti.

Tale circostanza ha reso necessario, considerato sia il numero di interessati potenzialmente coinvolti sia la natura dei dati personali oggetto di violazione, acquisire ulteriori elementi sulla violazione (portata, tempi di rispristino della disponibilità dei dati personali, misure di sicurezza adottate al momento in cui si è verificata la violazione dei dati personali, valutazioni del titolare  relative ai rischi per i diritti e le libertà degli interessati, azioni intraprese per attenuare gli effetti negativi sugli interessati e per verificare l’esposizione di dati personali su clear e dark web, nonché per prevenire simili violazioni future. Cfr. note di richiesta di informazioni dell’Ufficio del XX e XX, alle quali l’Istituto ha fornito riscontro, rispettivamente, con note del XX e XX).

2. La notifica della violazione al Garante

Con la notifica del XX, l’Istituto ha dichiarato che “da una prima verifica risulterebbero violati e bloccati i server aziendali da parte di soggetti esterni con il fine di chiedere un riscatto economico per il loro ripristino” e, con l’integrazione del XX, ha inteso rimandare al documento “INCIDENT RESPONSE REPORT - Report tecnico” nome file “XX” della società XX incaricata dall’Istituto per supportarlo nell’analisi e risposta all’incidente di sicurezza (di seguito “report incidente”) da cui si evince che “tra il XX e il XX, attori malevoli (TA) hanno compromesso l'infrastruttura, distribuito un Ransomware, crittografato diversi server e interrotto l’operatività dell[’Istituto]”, che “attori malevoli sconosciuti hanno avuto accesso, senza autorizzazione, all'infrastruttura informatica dell’Istituto Prosperius, tramite portale XX. XX ha datato il primo potenziale accesso il XX. In quella data i TA hanno avuto accesso all’infrastruttura attraverso una connessione XX sfruttando le credenziali di un collaboratore esterno dell’Istituto (XX)” (v. notifiche del XXsez. XX, punto XX e del XX, sez. XX, punto XX e report incidente pag. XX). Dal documento della società XX, incaricata della consulenza e dell’assistenza al sistema IT dell’Istituto e designata responsabile del trattamento ai sensi dell’art. 28 del Regolamento (di seguito “relazione preliminare”),  allegato alla notifica del XX, si evince che a seguito della “segnalazione per l’impossibilità di uso dei sistemi [e] a seguito di una immediata verifica [si è] constatato l’effettiva compromissione da parte di un attacco di tipo Ransomware” (v. notifica XX e relazione preliminare allegata alla sez. XX, pag. XX).

Per quanto riguarda le modalità di conduzione dell’attacco, l’Istituto ha rappresentato che “i TA hanno effettuato numerosi movimenti laterali su altre macchine virtuali dell’infrastruttura, riuscendo ad ottenere credenziali con privilegi amministrativi [con cui] sono stati eseguiti, oltre a connessioni RDP verso altre macchine virtuali, anche comandi PowerShell nonché scansioni di rete, su più protocolli, tramite il tool Advanced IP Scanner […]. Dal XX, i TA sono riusciti a prendere possesso anche dell’account [con privilegi amministrativi] utilizzandolo insieme agli altri account violati per eseguire diverse azioni: pulizia dei log del sistema operativo (System Log File Cleared), accesso a numerose cartelle contenenti dati prima della potenziale esfiltrazione. In data XX i TA hanno effettuato il factory reset dei due NAS XX su cui risiedevano alcuni backup nonché documentazione clinica dei pazienti. […] Infine, in data XX, i TA hanno proceduto alla distribuzione del ransomware (Rhysida), sfruttando una connessione SSH tramite PuTTY, crittografando direttamente gli hard disk virtuali (file .vmdk) sui datastore dell’infrastruttura XX; che “dall’analisi dei sistemi coinvolti e dai log presenti su firewall XX, è stato possibile correlare eventi riconducibili all’esfiltrazione di dati. XX ha rilevato la potenziale esfiltrazione di circa 73GB di dati dai server XX e XX”; che “il XX i TA hanno effettuato l’upload verso 2 indirizzi IP appartenenti a XX per esfiltrare i dati. [OMISSIS]” (v. report incidente pagg. XX, XX, XX e XX).

Per quanto attiene al numero di interessati i cui dati sono stati coinvolti dall’attacco, l’Istituto ha dichiarato preliminarmente che erano stati oggetto di violazione i dati di 30.000 interessati (v. notifica del XX), precisando, successivamente, che tale numero “non era determinabile”. È stato, altresì, rappresentato che il medesimo Istituto “opera in ambito sanitario erogando prestazioni di cura e riabilitazione in soggetti traumatizzati o infortunati. Pertanto è in possesso di dati sanitari dei soggetti a cui tali prestazioni sono rivolte” (v. notifiche del XX e XX sez. XX, punti XX e XX) e che “la tipologia di dati trafugati non li rende utilizzabili a scopo di frode, di estorsione o di furto finanziario-economico né di identità personale. Tra i dati non vi sono credenziali personali per accesso al portale referti dell'istituto, non vi sono dati relativi agli strumenti di pagamento (numeri di carte di credito, dati dei conti correnti bancari, ecc...), non vi sono documenti di identità” (v. notifica del XX, sez. XX, punto XX). Sul punto, l’Istituto, in riscontro alla richiesta di informazioni dell’Ufficio del XX, ha riportato l’elenco delle cartelle esfiltrate indicandone la tipologia e il contenuto (fra altre: scansioni di files destinati ad essere archiviati, quali richieste mediche, fatture, archiviazione temporanee immagini e video di endoscopie e artroscopie, cartelle cliniche, referti trasmessi via mail, documenti amministrativi).

Il titolare, in conclusione, ha dichiarato che “il numero indicativo degli interessati i cui dati possono essere stati esfiltrati sia di circa 4200 interessati (v. nota del XX in riscontro alla richiesta di informazioni dell’Ufficio del XX, pagg. XX e XX).

3. Le misure in essere al momento della violazione

Con riguardo alle misure in essere al momento della violazione l’Istituto ha inteso fare riferimento al documento “Relazione Sistemi Informativi - Clinica Prosperius s.r.l.” della società XX (di seguito “relazione tecnica”) da cui si evince che "[OMISSIS]" (v. notifica XX, relazione tecnica allegata alla sez. XX, pagg. XX e XX).

Circa le modalità di accesso alla rete e ai sistemi gestiti dall’Istituto, al momento in cui si è verificata la violazione dei dati personali, l’Istituto ha dichiarato che “le modalità di accesso alla rete e ai sistemi gestiti dalla società avvengono attraverso il servizio [OMISSIS] continuamente aggiornato e manutenuto tramite continui aggiornamenti per la tutela del funzionamento e sicurezza forniti dalla stessa azienda produttrice XX. L’accesso dall’esterno viene garantito da un sistema XX. Questo sistema è stato installato secondo ogni Best Practices dell’azienda produttrice XX rispettando ogni misura di sicurezza e qualità di installazione. Il sistema di accesso al sistema XX è gestito tramite servizio di XX limitando l’accesso dall’esterno ai soli utenti autorizzati tramite GPO e Gruppi di Sicurezza. Al momento dell’attacco il sistema non prevedeva procedure di autentificazione a doppio fattore MFA […] il sistema di XX installato presso la clinica distingue in modo chiaro i diritti utenti normali e gli utenti con diritti amministrativi. Inoltre, il sistema di XX e del sistema di Accesso Remoto XX viene costantemente manutenuto con installazione di ogni patch fornita dal produttore XX sia per manutenzioni ricorsive sia per installazione di aggiornamenti e patch dichiarati dal produttore necessarie a bloccare e risolvere problematiche di sicurezza. Eventuali Patch fornite dal produttore per risoluzione di bug software che possono determinare un accesso improprio ai sistemi sono installate immediatamente dal momento della conoscenza e comunque in tempo utile per non esporre la clinica a problematiche di sicurezza” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

Riguardo alle misure di sicurezza al momento in cui si è verificata la violazione dei dati personali per limitare, mediante opportuna segregazione delle reti, le comunicazioni tra le reti a cui sono attestati i sistemi server e quelle a cui sono attestate le postazioni di lavoro degli operatori, l’Istituto ha dichiarato che “la rete della clinica è correttamente segmentata con suddivisione della rete dove sono attestati i server, la rete di management, le postazioni di lavoro tradizioni, le postazioni di lavoro virtuali, la rete medicale (che non è stata violata in nessun modo), la rete di accesso remoto e la rete delle stampanti oltre alla rete WiFi utilizzata dalla clinica e la rete WiFi in uso ai pazienti”(v. nota del XX in riscontro alla richiesta di informazioni dell’Ufficio del XX, pag. XX).

Riguardo alle misure organizzative adottate al momento della violazione per assicurare la consapevolezza, sensibilizzazione e formazione in tema di sicurezza degli incaricati, l’Istituto ha dichiarato che a seguito dell’indagine di XX, successiva all’attacco, “il [collaboratore esterno] ha dichiarato che il proprio software antimalware gli aveva segnalato che alcune credenziali in suo possesso risultavano presenti in databreach pubblici nei giorni antecedenti l’accesso malevolo all’infrastruttura informatica dell’Istituto Prosperius, ma di non aver dato alcun peso a tale segnalazione” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

4. Le misure adottate a seguito della violazione

Con riguardo alle misure tecniche e organizzative adottate a seguito della violazione, l’Istituto ha inteso fare riferimento alla relazione tecnica della società XX. da cui si evince che sono state avviate “tutte le azioni di isolamento e messa in sicurezza dei Backup immutabili consistenti e quindi possibili da usare per il ripristino, isolamento della clinica da ogni accesso internet e blocco di ogni accesso VPN esterno […]”. Si è provveduto a “installare un nostro cluster XX e XX dove abbiamo ripristinato le XX dal backup immutabile. Abbiamo lasciato a XX il compito di eseguire intera bonifica XX e una volta avuta sicurezza del buon funzionamento e sicurezza XX abbiamo provveduto a ridare immediatamente i servizi base alla clinica; […] verificato il funzionamento di ogni VLan, Firewal e dispositivi di sicurezza mantenendo questa infrastruttura isolata al mondo esterno e senza nessun accesso alla rete Internet; […] ripristinato tutte le XX e nuovamente restorato dal backup immutabile [OMISSIS]; […] provveduto alla reinstallazione del sistema di XX in ambiente di produzione” (v. notifica del XX, allegato alla sez. XX, pag. XX). Dal report incidente, si evince, inoltre che XX ha “formulato diverse raccomandazioni basate sulle osservazioni […] e le successive indagini […] riportate nell'Appendice B” (v. notifica del XX, allegato alla sez. XX, pag. XX).

Con riguardo ai presidi tecnici e organizzativi adottati al fine di prevenire futuri attacchi informatici e ulteriormente rafforzare la protezione dei dati personali, l’Istituto ha inteso fare riferimento alla relazione tecnica della società XX da cui si evince che sono state effettuate diverse attività quali, a esempio, l’aggiornamento del sistema di XX, la modifica delle password degli utenti, la modifica delle password dei dispositivi di rete, switch, access point e delle VPN XX, l’abilitazione del doppio fattore di autentificazione XX (v. notifica del XX, allegato alla sez. XX, pag. XX). Sul punto, l’Istituto, in riscontro alla richiesta di informazioni dell’Ufficio, ha rappresentato che “per quanto riguarda le misure tecniche sono state implementate le seguenti attività: ulteriore restrizione degli utenti autorizzati all’acceso da remoto; abilitazione del doppio fattore di autentificazione alla rete di accesso remoto; abilitazione del doppio fattore di autentificazione XX; ulteriore verifica di installazione di ogni patch di aggiornamento e di sicurezza” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX e nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX) e che “sono state svolte le seguenti attività: riunioni informative con tutti i soggetti aziendali – sia interni che esterni – che accedono o potrebbero accedere a dati personali con lo scopo: di aumentare l’attenzione nell’utilizzo dei dispositivi elettronici aziendali e dei software installati; di aumentare l’attenzione sui messaggi di posta elettronica con contenuti malevoli (phishing); di inibire l’inserimento di dispositivi di memoria elettronica all’interno dei pc e dei server aziendali” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

5. Valutazioni dell’Ufficio sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In ordine alla fattispecie descritta, l’Ufficio, sulla base di quanto dichiarato dal titolare del trattamento negli atti prodotti all’Autorità, nonché delle successive valutazioni, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981). In particolare, con atto n. XX del XX, l’Autorità ha ritenuto che l’Istituto fosse incorso nella violazione dei principi di “integrità e riservatezza”, di “protezione dei dati fin dalla progettazione” (art. 5, par. 1, lett. f), e 25 del Regolamento), nonché degli obblighi in materia di sicurezza del trattamento, di cui all’art. 32 del Regolamento.

L’Istituto ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice. In particolare, con nota del XX, ha dichiarato che:

- “rispetto” (…) alla mancanza di previsione di procedure di autenticazione a doppio fattore MFA “si ravvisa la necessità di portare in luce la complessità dell’attacco malware subito dalla Prosperius. L’attacco malevolo, infatti, come si evince dal documento “INCIDENT RESPONSE REPORT – Report tecnico” nome file “XX” (…) è iniziato attraverso un tentativo di phishing riuscito tramite la casella di posta elettronica del collaboratore esterno XX ed è poi proseguito attraverso “numerosi movimenti laterali su altre macchine virtuali dell’infrastruttura, riuscendo ad ottenere credenziali con privilegi amministrativi (XX)””;

- “data la sua complessità, quest’attacco risulta quindi ben organizzato e mirato e date le tecniche di social engineering o ingegneria sociale utilizzate dagli attori malevoli nell’hacking offensivo, non è certo che, qualora fosse stata prevista l’autenticazione a due fattori MFA, questo o questi attori malevoli non sarebbero riusciti a bypassare la suddetta misura attraverso le solite tecniche di phishing adoperate per iniziare l’attacco malware”;

- “sempre dal Report, si evince che XX ha rilevato che “dal XX, i TA sono riusciti a prendere possesso anche dell’account XX, utilizzandolo insieme agli altri account violati per eseguire diverse azioni: - Pulizia dei log del sistema operativo (System Log File Cleared) con l’utente XX - Accesso a numerose cartelle contenenti dati prima della potenziale esfiltrazione - In data XX i TA hanno effettuato il factory reset dei due NAS XX su cui risiedevano alcuni backup nonché documentazione clinica dei pazienti””;

- “sembrerebbe, quindi, che l’accesso all’account con privilegi amministrativi, attraverso il quale è stato possibile accedere all’infrastruttura server in cui erano archiviati i dati, sia dovuto ad un exploit, ovvero una tipologia di script, virus, worm, porzione di dati o binario che sfrutta un bug o una vulnerabilità, ed è quindi plausibile credere che l’attore o gli attori malevoli abbiano sfruttato una vulnerabilità o bug software non conosciuto al momento dell’attacco”;

- “solo a seguito dell’accesso alle credenziali con privilegi amministrativi l’attore o gli attori malevoli sono stati, infatti, in grado di distribuire il Ransomware. Le sole credenziali del collaboratore esterno XX non sarebbero quindi bastate a completare l’attacco”;

- “in merito, poi, alla contestazione della mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali si ravvisa la necessità anche in questo caso di mettere in luce alcuni aspetti atti a dimostrare il tempestivo intervento del Titolare. Dal report “INCIDENT RESPONSE REPORT – Report tecnico” nome file “XX” della XX si evince che, seppur l’inizio delle attività malevoli sia datato al XX alle ore XX, l’esfiltrazione dei dati è, invece, avvenuta tra il XX e il XX, “XX ha evidenziato che tra il XX e il XX i TA hanno molto probabilmente effettuato l’esfiltrazione di dati, per un volume totale di circa 73 GB”. Il Titolare, alla data del XX, quindi presumibilmente entro un massimo di 48 ore dall’esfiltrazione dei dati, preso atto della violazione da attacco malware e dell’esfiltrazione dei dati si è subito adoperato per richiedere un’indagine forense e contestualmente procedere, come previsto dall’art.33 del Regolamento, a trasmettere all’Autorità la prima notifica della violazione, avvenuta il XX stesso alle ore XX”;

- “rispetto alla contestazione della mancata adozione di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi, si rileva la necessità di mettere in luce il fatto che il XX è un collaboratore esterno alla Prosperius e che lui stesso “ha segnalato a XX che il proprio software antimalware gli ha segnalato che alcune credenziali in suo possesso erano presenti in databreach pubblici”. Dal documento “Relazione Sistemi Informativi – Clinica Prosperius s.r.l.” della società XX si evince, infatti, che al momento dell’attacco il Titolare aveva previsto una misura di sicurezza antispam, “La protezione Antispam è affidata a XX”. Pertanto, non avendo il XX dato peso alla segnalazione ha di fatto compromesso la sicurezza dei sistemi per via di una mancanza di perizia che gli attori malevoli, in questo genere di attacchi, scoprono e sfruttano appositamente attraverso tecniche di social engineering o ingegneria sociale”;

- “per quanto riguarda il numero di interessati coinvolti nella violazione, si conferma quanto già comunicato nella notifica del XX, ovvero che il numero degli interessati coinvolti nella violazione è di circa 4200 interessati”;

- “per quanto riguarda le misure tecniche sono state implementate le seguenti attività:

- Ulteriore restrizione degli utenti autorizzati all’acceso da remoto;

- Abilitazione del doppio fattore di autentificazione alla rete di accesso remoto;

- Abilitazione del doppio fattore di autentificazione XX per gli utenti con diritti amministrativi;

- Ulteriore verifica di installazione di ogni patch di aggiornamento e di sicurezza. Operazione che viene comunque giornalmente eseguita dal sistema IT della clinica”;

- “per quanto riguarda invece le misure organizzative, sono state svolte le seguenti attività:

- riunioni informative con tutti i soggetti aziendali – sia interni che esterni – che accedono o potrebbero accedere a dati personali con lo scopo: di aumentare l’attenzione nell’utilizzo dei dispositivi elettronici aziendali e dei software installati; di aumentare l’attenzione sui messaggi di posta elettronica con contenuti malevoli (phishing); di inibire l’inserimento di dispositivi di memoria elettronica all’interno dei pc e dei server Aziendali”;

- “è stata aggiornata la valutazione di impatto sulla protezione dei dati (DPIA)”;

- “a conclusione della presente memoria, corre l’obbligo di evidenziare come, appena poche ore dopo aver subito la dolosa violazione, l’Istituto Prosperius si sia adoperato tempestivamente al fine di:

- aprire tutte le indagini e gli accertamenti necessari a realizzare le cause della violazione;

- svolgere tutte le indagini e gli accertamenti necessari a quantificare l’entità del danno subito e delle possibili conseguenze per gli interessati;

- ripristinare nella massima sicurezza e, contestualmente, nel più breve tempo possibile, la piena operatività dei sistemi informatici aziendali onde ridurre al massimo i disagi per l’utenza;

- limitare, per quanto nelle proprie possibilità, la divulgazione dei dati personali esfiltrati;

- collaborare con il Garante affinché potesse avere tutte le informazioni possibili e necessarie per verificare e valutare le possibili conseguenze della violazione”.

6. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Istituto nel corso del procedimento, si osserva che:

si considerano “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; considerando n. 35).

l’art. 5, par. 1, lett. f), del Regolamento stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”;

l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 (di seguito “Linee guida sulla notifica”) chiariscono, inoltre, che la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali (punto 41);

l’art. 25, par. 1, del Regolamento prevede che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (c.d. principio della “protezione dei dati fin dalla progettazione”);

il considerando 78 del Regolamento suggerisce una responsabilità dei titolari, ossia quella di valutare costantemente se stiano utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, i titolari dovrebbero effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali, nonché della procedura per la gestione delle violazioni dei dati (cfr. le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7 e 84);

con riferimento al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), il titolare deve valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure adottate contrastino effettivamente le vulnerabilità esistenti (cfr. “Linee guida 4/2019 sull’articolo 25”, spec. punti 84 e 85). In particolare, il titolare deve:

• valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati, nonché, ai fini dell’utilizzo nella valutazione dei rischi, sviluppare e gestire una «modellizzazione delle minacce» esaustiva, sistematica e realistica e un’analisi della superficie di attacco riferita al software specifico così da ridurre i vettori di attacco e le opportunità di sfruttare eventuali punti deboli e vulnerabilità;

• tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

• rivedere e verificare periodicamente il software, l’hardware, i sistemi e i servizi, ecc. per scoprire eventuali vulnerabilità dei sistemi di supporto del trattamento;

• effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali;

• tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

• proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la loro conservazione.

7. Valutazioni del Garante e conclusioni.

In primo luogo si rileva che i trattamenti effettuati nel contesto in esame, che hanno a oggetto  dati appartenenti anche a categorie particolari e riguardano un numero rilevante di interessati, richiedono l’adozione di rigorose misure tecniche e organizzative: non solo quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), del Regolamento, ma anche tutte quelle che si rendono necessarie al fine di attenuare i rischi e  non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali.

Alla luce di quanto sopra rappresentato, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il  richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Dall’esame degli elementi acquisiti, attraverso le dichiarazioni e la documentazione fornita dall’Istituto, è emerso che il trattamento è stato effettuato in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, in relazione ai seguenti profili:

7.1. Mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali

Nel corso dell’istruttoria è emerso che i soggetti malintenzionati hanno effettuato una serie di operazioni propedeutiche all’attacco informatico, quali accessi in orari anomali, movimenti laterali, esecuzione di codice malevolo, traffico in uscita e upload verso indirizzi IP appartenenti a un servizio VPN utilizzato per anonimizzare la navigazione internet e per aggirare eventuali regole di geolocalizzazione (v. report incidente). Dalla documentazione in atti non si è rilevato che l’Istituto disponesse di un SIEM, che fossero impostati e presi incarico alert in relazione ai predetti eventi di sicurezza riferiti alle attività dell’attaccante. Tali elementi non hanno consentito al titolare del trattamento di individuare tempestivamente la violazione dei dati personali occorsa.

Al riguardo, si precisa che le argomentazioni formulate dall’Istituto non rilevano in relazione a quanto contestato dall’Autorità con il sopra citato atto del XX; infatti, non sono stati ravvisati, nei confronti dell’Istituto, omissioni o ritardi nella notifica della violazione, ai sensi dell’art. 33 del Regolamento, ma una inadeguatezza delle misure adottate per rilevare tempestivamente la violazione dei dati personali, così come sopra descritto.

La mancata adozione di misure adeguate a rilevare tempestivamente le violazioni dei dati personali non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, tenuto conto di quanto previsto dalle citate Linee guida, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “individuare […] tempestivamente una violazione”.

7.2. Mancata adozione di misure adeguate a garantire la sicurezza dei sistemi di trattamento

Nel corso dell’istruttoria è emerso che l’Istituto non aveva adottato adeguate misure per i sistemi (server) utilizzati per i trattamenti.

In relazione a tale aspetto, l’Istituto, a seguito dell’incidente, ha ritenuto necessario adottare misure quali “ulteriore restrizione degli utenti autorizzati all’acceso da remoto; abilitazione del doppio fattore di autenticazione alla rete di accesso remoto; abilitazione del doppio fattore di autenticazione XX; ulteriore verifica di installazione di ogni patch di aggiornamento e di sicurezza”(v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

Peraltro, al momento in cui si è verificata la violazione dei dati personali “il sistema non prevedeva procedure di autentificazione a doppio fattore MFA” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

L’assenza, al momento della violazione, di misure adeguate a garantire la sicurezza dei sistemi di trattamento, non risulta pienamente conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)).

7.3. Mancata adozione di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi

Nel corso dell’istruttoria è emerso che “i TA hanno avuto accesso all’infrastruttura attraverso una connessione XX sfruttando le credenziali di un collaboratore esterno dell’Istituto”, che “il [collaboratore esterno] ha dichiarato che il proprio software antimalware gli aveva segnalato che alcune credenziali in suo possesso risultavano presenti in databreach pubblici nei giorni antecedenti l’accesso malevolo all’infrastruttura informatica dell’Istituto Prosperius, ma di non aver dato alcun peso a tale segnalazione”. Dopo l’attacco l’Istituto ha rappresentato che “sono state svolte le seguenti attività: riunioni informative con tutti i soggetti aziendali – sia interni che esterni – che accedono o potrebbero accedere a dati personali con lo scopo: di aumentare l’attenzione nell’utilizzo dei dispositivi elettronici aziendali e dei software installati; di aumentare l’attenzione sui messaggi di posta elettronica con contenuti malevoli (phishing); di inibire l’inserimento di dispositivi di memoria elettronica all’interno dei pc e dei server aziendali” (v. nota del XX in riscontro alla richiesta di informazioni del XX, pag. XX).

Quanto rappresentato evidenzia che il trattamento effettuato non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e al citato art. 32, par. 1, lett. b) del Regolamento.

7.4. La protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (art. 25 del Regolamento)

Con riferimento all’osservanza del principio della “protezione dei dati fin dalla progettazione e per impostazione predefinita” di cui all’art. 25 del Regolamento, il titolare del trattamento avrebbe dovuto attuare i principi di protezione dei dati con misure tecniche e organizzative adeguate e valutare costantemente la sussistenza di mezzi appropriati di trattamento, nonché se le misure scelte fossero atte a contrastare effettivamente le vulnerabilità esistenti, effettuando revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali (cfr. le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il XX, spec. punti XX e XX). Sulla base di quanto dichiarato e documentato con riferimento alla vicenda in questione, si ritiene che il titolare, non avendo ottemperato a quanto poc’anzi rappresentato, abbia posto in essere un trattamento in violazione dell’art. 25 del Regolamento.

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).  

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio (del Garante) adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, causata dalle condotte poste in essere dall’Istituto, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, parr. 4 e 5 del Regolamento; l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale cd. “statico” stabilito da Regolamento, pari al limite massimo di euro 20.000.000.  

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva”.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, si ritiene che il livello di gravità della violazione commessa dall’Istituto sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023), nonostante il carattere non intenzionale della violazione (l’episodio risulta essere stato determinato da un comportamento doloso da parte di un soggetto terzo).

Ciò premesso, sono stati, poi, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che:

- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Istituto, ai sensi dell’art. 33 del Regolamento (art. 83, par. 2, lett. h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nell’introduzione di misure volte a ridurre la replicabilità dell’evento occorso e a attenuare i possibili effetti negativi (art. 83, par. 2, lett. c) del Regolamento);

- sono assenti precedenti violazioni pertinenti a carico del titolare (art. 83, par. 2, lett. e) del Regolamento);

- l’Autorità non ha ricevuto reclami o segnalazioni al riguardo (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nell’art. 83 del Regolamento e nelle e Linee guida sopra citate circa l’incidenza del criterio del fatturato annuo dell’esercizio precedente nel calcolo dell’ammontare della sanzione pecuniaria, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 12.000,00 (dodicimila/00) per la violazione degli artt. 5, 25 e 32 del medesimo Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della tipologia di dati personali oggetto di illecito trattamento (dati sulla salute, anche di dettaglio), del numero e della categoria dei soggetti interessati dalla violazione, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l’ordinanza-ingiunzione, sul sito Internet del Garante.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dall’Istituto Prosperius s.r.l., con sede in Firenze, Via San Domenico n. 87, CAP 50133, Partita Iva/Codice Fiscale 01439870484, nei termini di cui in motivazione, per la violazione delle disposizioni di cui agli 5, par. 1, lett. f), 25 e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) al medesimo Istituto Prosperius s.r.l., di pagare la somma di euro 12.000,00 (dodicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi, al predetto titolare, di pagare la somma di euro 12.000,00 (dodicimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/198. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza