Desideriamo informarvi che, a seguito della nota vicenda relativa all’incidente di sicurezza che ha riguardato i sistemi informativi di Synlab Italia srl, è stata rilevata una violazione dei dati personali che potrebbe riguardarvi. L’Ospedale P. Pederzoli – Casa di Cura privata Spa, infatti, è Titolare del trattamento dei dati personali oggetto di violazione poiché si avvale di Synlab Italia srl quale Responsabile del trattamento ai sensi dell’art. 28 GDPR, per il servizio di esecuzione di test di Laboratorio.
Descrizione della violazione:
Come riportato nelle diverse comunicazioni e dai mass media nazionali, Synlab Italia srl, in data 18 aprile 2024, ha riscontrato un accesso non autorizzato ai propri sistemi informativi che ha comportato la compromissione di dati personali. Più precisamente è stata vittima di un attacco cybercriminale di tipo ransomware, che ha comportato la sottrazione illecita (c.d. esfiltrazione) di dati conservati da Synlab, da parte di una organizzazione cybercriminale denominata “Black Basta”.
Nella fattispecie concreta, i dati personali oggetto di violazione di cui l’Ospedale Pederzoli è titolare del trattamento sono relativi ad alcune prestazioni di laboratorio erogate da Synlab tra Gennaio 2015 e Febbraio 2024. Includono, dunque, informazioni come dati identificativi e relativi alla salute.
Si ritiene opportuno precisare che la perdita di riservatezza non ha riguardato la totalità delle informazioni dei soggetti interessati (pazienti) ma solo un sotto-insieme in riferimento all’arco temporale sopra indicato.
Inoltre, in data 13 maggio 2024 i cyber-criminali hanno diffuso sul c.d. dark web i dati sottratti illecitamente.
Rischi per gli interessati:
Non è possibile escludere che la violazione dei dati potrebbe comportare rischi per la vostra privacy e sicurezza, in particolar modo potrebbero verificarsi tentativi di furto d’identità o tentativi di frode.
Misure adottate:
Al momento della violazione, così come previsto dall’accordo ex art. 28 GDPR tra l’Ospedale Pederzoli (Titolare del trattamento) ed il fornitore Synlab Italia srl (Responsabile del trattamento), erano già state adottate misure di sicurezza sia di carattere tecnico che organizzativo. A seguito della notizia dell’incidente, il team interno IT e il team esterno specializzato in cybersecurity di Synlab hanno provveduto a mettere in sicurezza il sistema, analizzando lo stato dell’infrastruttura IT, isolando e neutralizzando il malware. Successivamente Synlab ha rimesso in funzione in modo graduale gli asset non interessati dall’attacco o rispetto ai quali il malware è stato debellato.
Consigli per gli interessati:
in attesa di ulteriori analisi che potrebbero permettere a Synlab Italia srl di risalire all’identità dei soggetti effettivamente interessati ed al fine di salvaguardare i diritti e libertà fondamentali dei soggetti interessati, si indicano di seguito alcuni/e suggerimenti/misure di contenimento per diminuire le probabilità dei rischi derivanti dalla violazione (es. furto d’identità). Il titolare del trattamento raccomanda a tutti i potenziali interessati nel periodo di riferimento precedentemente indicato di porre maggiore attenzione, rispetto all’ordinario, a qualunque interazione sospetta (online ma anche offline).
In tal senso, si invita a prendere visione delle seguenti pagine informative dell’Autorità Garante per la Protezione dei dati personali:
PHISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
VISHING
https://www.garanteprivacy.it/temi/cybersecurity/vishing
SMISHING
https://www.garanteprivacy.it/temi/cybersecurity/phishing
SIM SWAPPING
https://www.garanteprivacy.it/home/docweb/-/docwebdisplay/docweb/9572143
https://www.garanteprivacy.it/home/ricerca/-/search/key/sim%20swapping
Gli eventuali tentativi di frode, in questi casi, possono essere di vario tipo: l’obiettivo è solitamente quello di utilizzare i dati personali per estorcere denaro e/o esfiltrare ulteriori dati personali attraverso l’invio di messaggi o telefonate contenenti false richieste provenienti da parte di amici o familiari oppure tentando di accedere agli account riconducibili alla vittima.
In questa fase, si suggerisce di mettere in atto alcune misure:
– valutare attentamente ogni e-mail, SMS, messaggio o telefonata in cui vi venissero richiesti codici di accesso o ulteriori dati personali, valutando con attenzione l’attendibilità del richiedente; gli Istituti bancari e, più in generale, i fornitori di servizi, non richiedono mai codici di accesso o password tramite SMS, e-mail o telefonate;
– valutare attentamente e-mail, SMS e altre fonti di messaggistica contenenti collegamenti ipertestuali (link) o allegati sospetti-inusuali: potrebbero essere usati per indirizzare l’utente verso siti web dannosi o fargli scaricare software malevoli;
– sostituire le password dei propri account (e-mail, Social Network, forum, ecc.) e, se il sistema lo permette, attivare l’autenticazione a più fattori. I meccanismi di autenticazione multifattoriale (es. i codici OTP che ricevete dalla banca dopo aver inserito username e password per accedere all’home banking) rafforzano la protezione da accessi indesiderati. I principali fornitori di servizi online offrono questo sistema: per attivarlo è sufficiente entrare nelle impostazioni di sicurezza dell’account;
– informare i propri amici e familiari di essere stati vittima di questa violazione, suggerendo loro di porre attenzione al rischio di ricevere false richieste che paiono pervenire da voi.
Contatti:
Per qualsiasi domanda o per ulteriori informazioni riguardo a questa violazione dei dati personali, potete contattare Il Titolare del trattamento, il nostro Ufficio URP ed il Responsabile della Protezione dei Dati (DPO) ai seguenti recapiti:
U.R.P. ( Ufficio Relazioni con il Pubblico )
telefono 045 6444836 (martedì e giovedì dalle ore 10.30 alle ore 11.30)
Mail: urp@ospedalepederzoli.it
DPO: Avv. Francesco Falavigna , corso Cavour n. 35 – 37121 VERONA tel. 045 800 7955
e-mail: dpo@ospedalepederzoli.it
