Il Garante per la protezione dei dati personali ha sanzionato con 30.000 euro l’Ordine degli Psicologi della Lombardia per non aver adottato misure tecniche e organizzative adeguate alla protezione dei dati personali, a seguito di un attacco ransomware che ha esfiltrato informazioni altamente sensibili.

L’incidente, denunciato dallo stesso Ordine con una notifica di data breach e confermato da successivi reclami, ha coinvolto dati personali di psicologi iscritti all’Albo (in particolare coloro sottoposti a procedimenti disciplinari), pazienti – anche minori – e altri soggetti coinvolti. Si parla di informazioni appartenenti a categorie particolari ai sensi del GDPR: dati sulla salute, orientamento sessuale, convinzioni religiose, etnia, oltre a dati su condanne penali e reati. Dopo il mancato pagamento del riscatto, i cybercriminali hanno pubblicato parte di questi dati nel dark web.

Pur essendo riuscito a ripristinare i dati tramite backup, l’Ordine non aveva strumenti efficaci per rilevare tempestivamente la violazione né difese adeguate a prevenire l’attacco. Questo ha motivato il provvedimento sanzionatorio del Garante.

Per MSP, system integrator e consulenti IT, il caso rappresenta un chiaro segnale d’allarme: oggi più che mai non bastano backup e buone pratiche generiche. È necessario adottare un approccio proattivo alla cyber resilience, con sistemi avanzati di rilevamento (EDR, XDR, SIEM), segmentazione delle reti, gestione delle vulnerabilità e audit periodici.

Inoltre, per chi lavora a stretto contatto con enti pubblici, ordini professionali o strutture sanitarie, emerge la necessità di affiancare alla tecnologia anche formazione continua e policy aggiornate, in linea con le aspettative normative e con la crescente pressione degli attacchi mirati.

Un invito, quindi, al canale IT italiano: supportare i clienti nell’adozione di framework di sicurezza documentati, accompagnati da audit regolari e da un piano incident response effettivo. La mancata compliance non è più solo un rischio teorico: è una realtà tangibile, anche economica.

🔗 Approfondimento completo del provvedimento sul sito del Garante: link al documento