DATA BREACH – SANZIONE DEL GARANTE PRIVACY PER INADEGUATEZZE NELLA SICUREZZA DEI DATI

L’Ordine degli Psicologi della Regione Lombardia è stato sanzionato dal Garante per la protezione dei dati personali con una multa di 30.000 euro.

La decisione è arrivata in seguito a una complessa vicenda di data breach, che ha evidenziato la mancanza di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati dall’Ordine.

L’Attacco Ransomware e le Conseguenze della Violazione

L’intervento del Garante è scaturito da alcuni reclami e dalla stessa notifica di data breach effettuata dall’Ordine. Quest’ultimo aveva dichiarato di essere stato vittima di un sofisticato attacco ransomware condotto da un gruppo di cybercriminali. La violazione ha permesso un accesso abusivo alla rete informatica dell’Ordine, comportando la cifratura e l’esfiltrazione di numerosi documenti.

Tra i dati compromessi, di particolare rilevanza e delicatezza, vi erano:

  • Dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari.
  • Dati di numerosi pazienti, inclusi minori, e di altre persone a vario titolo coinvolte.
  • Dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati.

La divulgazione di tali informazioni ha esposto gli interessati a gravi rischi, tra cui discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del rifiuto dell’Ordine di pagare il riscatto, i cybercriminali hanno provveduto a pubblicare i dati esfiltrati sul dark web. Fortunatamente, la disponibilità e l’integrità dei dati personali non sono state compromesse grazie all’efficace recupero tramite le procedure e i sistemi di backup.

Le Inadeguatezze Rilevate e la Motivazione della Sanzione

Dall’istruttoria condotta dal Garante è emerso chiaramente che l’Ordine degli Psicologi della Regione Lombardia non aveva adottato misure adeguate per rilevare tempestivamente le violazioni dei dati personali e per garantire la sicurezza dei propri sistemi di trattamento. La sanzione di 30.000 euro è stata comminata tenendo conto della gravità della violazione e, in particolare, della natura estremamente delicata dei dati personali coinvolti.

Nonostante la gravità della situazione, il Garante ha riconosciuto la collaborazione dell’Ordine. Quest’ultimo ha infatti comunicato di aver già adottato ulteriori misure di sicurezza per prevenire futuri attacchi e per migliorare complessivamente la protezione dei dati personali trattati.

Questo episodio sottolinea ancora una volta l’importanza per enti e organizzazioni di investire in sistemi di sicurezza informatica robusti e in procedure di gestione dei dati che siano in linea con le normative sulla protezione dei dati personali, in particolare quando si trattano categorie di dati sensibili.

Luglio 2025

lunedìmartedìmercoledìgiovedìvenerdìsabatodomenica

Categoria: General
Tutto il giorno: Approvazione/Variazione delle tariffe e dei regolamenti della TARI e della tariffa corrispettiva per l'anno 2025


30 Giugno 2025

Categoria: General
Tutto il giorno: Autorizzazioni per la circolazione di prova dei veicoli

Tutto il giorno
30 Giugno 2025

Categoria: General
Tutto il giorno: Autorizzazioni per la circolazione di prova dei veicoli


30 Giugno 2025

Categoria: General
Tutto il giorno: Comunicazione semestrale delle somme impignorabili


30 Giugno 2025

Categoria: General
Tutto il giorno: Conto annuale del personale


30 Giugno 2025

Categoria: General
Tutto il giorno: Digitalizzazione Esecuzione Appalti


30 Giugno 2025

Categoria: General
Tutto il giorno: DIRITTI CARTA DI IDENTITA’ ELETTRONICA


30 Giugno 2025

Categoria: General
Tutto il giorno: DMA2 - Denuncia Mensile Analitica - UNIEMENS


30 Giugno 2025

Categoria: General
Tutto il giorno: IMPi


30 Giugno 2025

Categoria: General
Tutto il giorno: IMPi


30 Giugno 2025

Categoria: General
Tutto il giorno: IMPOSTA DI SOGGIORNO


30 Giugno 2025

Categoria: General
Tutto il giorno: IMU


30 Giugno 2025

Categoria: General
Tutto il giorno: Individuazione dei comitati, commissioni, consigli ed altri organi collegiali con funzioni amministrative indispensabili per la realizzazione dei fini istituzionali dell'ente


30 Giugno 2025

Categoria: General
Tutto il giorno: Invio del Conto degli agenti contabili alla Corte dei Conti - Anno 2024


30 Giugno 2025

Categoria: General
Tutto il giorno: Invio del Conto del tesoriere alla Corte dei Conti - Anno 2024


30 Giugno 2025

Categoria: General
Tutto il giorno: Invio variazioni cittadini stranieri


30 Giugno 2025

Categoria: General
Tutto il giorno: ListaPosPA


30 Giugno 2025

Categoria: General
Tutto il giorno: Piattaforme E-Procurement (Fase Esecuzione)


30 Giugno 2025

Categoria: General
Tutto il giorno: Rendicontazione contributi per centri estivi - ANNO 2024


30 Giugno 2025

Categoria: General
Tutto il giorno: RISCOSSIONE


30 Giugno 2025

Categoria: General
Tutto il giorno: Riversamento al bilancio dello Stato dei corrispettivi delle carte di identità elettroniche (C.I.E.)


30 Giugno 2025

Categoria: General
Tutto il giorno: SCADENZE 30 GIUGNO

Tutto il giorno
30 Giugno 2025

Categoria: General
Tutto il giorno: Statistica mensile


30 Giugno 2025

Categoria: General
Tutto il giorno: TARI


30 Giugno 2025

Categoria: General
Tutto il giorno: Trasmissione Dati Pagamenti PCC (Sperimentazione SIOPE+)


30 Giugno 2025

Categoria: General
Tutto il giorno: Trasmissione decessi


30 Giugno 2025

Categoria: General
Tutto il giorno: Trasparenza Gestione Documentale


30 Giugno 2025

Categoria: General
Tutto il giorno: UNIEMENS individuale


30 Giugno 2025

Categoria: General
Tutto il giorno: Variazioni elettorali


30 Giugno 2025

Categoria: General
Tutto il giorno: Verifica circa l’attuazione semestrale delle misure della sottosezione 2.3 Rischi corruttivi e trasparenza, del PIAO 2025/2027


30 Giugno 2025

Categoria: General
Tutto il giorno: Verifiche di cassa - Secondo trimestre dell'anno 2025


30 Giugno 2025

1 Luglio 2025
2 Luglio 2025
3 Luglio 2025
4 Luglio 2025
5 Luglio 2025
6 Luglio 2025
7 Luglio 2025
8 Luglio 2025
9 Luglio 2025
10 Luglio 2025
11 Luglio 2025
12 Luglio 2025
13 Luglio 2025

Categoria: General
Tutto il giorno: Invio questionari FC90U e FP30U - fabbisogni standard Enti locali - Anno 2023

Tutto il giorno
14 Luglio 2025

Categoria: General
Tutto il giorno: Attestazione del corretto assolvimento degli obblighi di pubblicazione di dati e informazioni nella sezione Amministrazione Trasparente del sito internet istituzionale


15 Luglio 2025

Categoria: General
Tutto il giorno: Attestazioni OIV, o strutture con funzioni analoghe, sull’assolvimento degli obblighi di pubblicazione al 31/05/2025


15 Luglio 2025

Categoria: General
Tutto il giorno: Conto annuale del personale


15 Luglio 2025

Categoria: General
Tutto il giorno: Contributo Fondo Perseo


15 Luglio 2025

Categoria: General
Tutto il giorno: DIRITTI CARTA DI IDENTITA’ ELETTRONICA


15 Luglio 2025

Categoria: General
Tutto il giorno: Gestione separata INPS


15 Luglio 2025

Categoria: General
Tutto il giorno: Riversamento al bilancio dello Stato dei corrispettivi delle carte di identità elettroniche (C.I.E.)


15 Luglio 2025

Categoria: General
Tutto il giorno: Split payment


15 Luglio 2025

Categoria: General
Tutto il giorno: Trasmissione alla Corte dei conti di una relazione intermedia sullo stato di attuazione del piano di riequilibrio finanziario pluriennale per il semestre precedente


15 Luglio 2025

Categoria: General
Tutto il giorno: Versamento ritenute alla fonte


15 Luglio 2025

16 Luglio 2025
17 Luglio 2025
18 Luglio 2025
19 Luglio 2025
20 Luglio 2025
21 Luglio 2025
22 Luglio 2025
23 Luglio 2025
24 Luglio 2025
25 Luglio 2025
26 Luglio 2025
27 Luglio 2025
28 Luglio 2025
29 Luglio 2025
30 Luglio 2025
31 Luglio 2025
1 Agosto 2025
2 Agosto 2025
3 Agosto 2025