Repubblica. La vita messa a nudo, lasciando senza pelle migliaia di persone: le loro malattie, le loro dipendenze, i loro traumi fisici e psichici. Per la prima volta in Italia il ricatto dei criminali informatici si è trasformato nella diffusione di una massa di cartelle sanitarie, rubate dagli archivi digitali della Ulss6 Euganea di Padova e pubblicate online in uno spazio di facile accesso. Oltre settemila file: contengono informazioni delicatissime, con nomi e cognomi, indirizzi e cellulari. Diagnosi e terapie, dalle più banali ai tumori; storie di droga e alcolismo, persino violenze sessuali.
C’è la denuncia nata da un Pronto soccorso: un padre aveva picchiato i due figli adolescenti, intervenuti per proteggere la madre dall’uomo. I referti raccontano i calci al torace, le ossa fratturate, la donna presa a testate dal marito ubriaco. In un altro documento viene riportata la diagnosi di una quindicenne malata di anoressia, il suo rifiuto del cibo e la necessità di camminare in continuazione. C’è il referto per sospetto maltrattamento su un bimbo di quattro anni, perché non è la prima volta che finisce in ospedale pieno di lividi. E poi il percorso di un ragazzino affetto da deficit cognitivo, la diagnosi su un neonato che non riesce a respirare, la reazione di una mamma appena maggiorenne che non vuole riconoscere la figlia: per lo psichiatra soffre di una grave depressione e le assistenti sociali prospettano un percorso in casa famiglia. E, ancora, le ecografie di una signora che è al secondo aborto, il decorso funesto di una malata di cancro al colon che non risponde alle terapie. O i dettagli della tossicodipendenza di un quarantenne entrato in ospedale per un problema al piede. I dati più sensibili su una larga fetta della popolazione della provincia di Padova, inclusi quelli di tre ospedali, sbattuti in piazza.
I server della sanità euganea sono stati saccheggiati con un lungo assalto scattato nella notte tra il 2 e il 3 dicembre scorso. Per molti giorni tutta l’attività informatica è stata bloccata, con disagi per i servizi in ospedali e ambulatori, compresa la vaccinazione anti Covid: soltanto il 20 dicembre si è tornati completamente alla normalità. «Siamo usciti con le ossa rotte dall’attacco hacker di Padova — ha commentato all’epoca il governatore veneto Luca Zaia — ma non ci vengano a chiedere riscatti: non diamo nulla a nessuno, con noi perdono solo tempo». In quelle settimane si è parlato di una richiesta di 800 mila euro, ovviamente in Bitcoin, mentre altre fonti hanno riportato una cifra di ben 2 milioni e mezzo di dollari.
Il 2 gennaio è comparsa online la rivendicazione firmata dal gruppo LockBit. L’ultimatum veniva indicato per il 15 gennaio: se il riscatto non fosse stato versato, le informazioni sarebbero state divulgate. Così è stato. Oltre un mese di indagini condotte dai tecnici della polizia postale con il coordinamento della procura euganea non sono riuscite a fermarli. Ieri è stato sequestrato un sito uzbeco che conteneva i dati, ma i documenti sono ancora consultabili sul dark web. D’altronde, i criminali informatici di LockBit accumulano colpi dal settembre 2019, offrendo anche a terzi un loro sistema ransomware che paralizza i server e contemporaneamente ne trafuga il contenuto. Non gli importa dove sarà utilizzato, quel che conta è che una percentuale del riscatto finisca nelle loro tasche. In Italia si ritiene che nella scorsa estate abbiano portato a termine le operazioni contro Erg, Engineering ed Accenture. E sono sospettati anche per l’irruzione contro la sanità della Regione Lazio. Gli esperti di cybersicurezza consultati da Repubblica spiegano che dietro la sigla agisce un collettivo di pirati, attivi in diversi Paesi dell’Europa orientale e con un probabile nucleo in Russia. C’è chi si occupa di individuare i bersagli vulnerabili, chi fa breccia, chi gestisce le trattative per il riscatto. Una complessità da multinazionale del crimine digitale. E le vittime sono moltissime: nello stesso portale in cui hanno pubblicato i materiali della asl euganea compare un lungo elenco di aziende, alcune italiane, saccheggiate. Per alcune sono già stati resi pubblici dati finanziari e amministrativi; per altre il conto alla rovescia prosegue: o pagano o tutto sarà reso pubblico.
Non era mai accaduto prima, però, che l’attacco informatico si trasformasse in un danno diretto alla privacy di migliaia di cittadini: un evento che mostra la debolezza delle difese cibernetiche nel nostro Paese e l’urgenza di costruire una rete di protezione all’altezza della sfida. Quello che è avvenuto a Padova è destinato a ripetersi, in tutta la Penisola: la Asl Napoli 3 Sud è stata attaccata il 7 gennaio. L’altro giorno ha comunicato di essere «impegnata senza sosta per il ripristino di alcuni servizi» e ammesso che c’è stata «la sottrazione di dati personali di cui al momento non si ha esatta conoscenza».
