Attacchi ransomware alle strutture ospedaliere: il caso tedesco e i profili penalistici in Italia
Lo scorso 10 settembre in Germania, presso l’ospedale universitario di Düsseldorf, si è verificato quello che potrebbe essere il primo caso di decesso direttamente connesso a un ransomware[1].
L’attacco informatico – consistente nell’infettare un sistema, rendendone inaccessibili o criptati i dati fino al pagamento di un riscatto (“ransom”, appunto) richiesto magari in criptovalute[2] – era in realtà indirizzato verso una vicina università, ma ha finito per colpire anche il polo ospedaliero.
Lo shut-down dei sistemi informatici della clinica ha impedito il tempestivo ricovero di diversi pazienti, tra cui una donna giunta per una grave emergenza, che è stata quindi trasferita presso una struttura distante oltre 30 km (a Wuppertal), dove i medici non sono stati in grado di iniziare per tempo le cure.
Il ransomware, difatti, sfruttando una vulnerabilità dei gateway Citrix, denominata CVE-2019-19871, aveva causato il blocco di 30 server interni all’ospedale ed è stato fatale, nonostante la falla del sistema fosse nota già da tempo e solo il giorno prima del cyberattack le autorità tedesche fossero state avvisate del rischio e sollecitate ad aggiornare il gateway.
A seguito della notizia che il malware aveva colpito la clinica di Düsseldorf, gli attaccanti hanno immediatamente interrotto l’operazione, consentendo alla struttura di riprendere a ricevere i pazienti; ma le conseguenze delle loro azioni avevano già comportato rilevantissimi danni.
Non è certo la prima volta che un attacco cyber prende di mira delle strutture ospedaliere, spesso del tutto impreparate sotto il profilo IT.
Il celebre ransomware WannaCry[3], che nel maggio 2017 ha colpito 200.000 sistemi informatici in ben 15 paesi, aveva bloccato il Servizio Sanitario Nazionale del Regno Unito[4].
L’attacco – pur non cagionando direttamente alcun decesso – ha fatto registrare un aumento del tasso di mortalità dovuto al rallentamento delle attività ospedaliere, data la necessità di difendersi dalle attività malevole in corso (ad esempio, ci sono voluti 2,7 minuti in più per effettuare un elettrocardiogramma ai pazienti a rischio infarto).
Sempre più numerosi macchinari ospedalieri sono connessi alla rete e una ricerca della Vanderbilt University di Nashville, Tennessee, ha rilevato un incremento del tasso di mortalità connesso all’attacco WannaCry[5].
Ciò ha comportato 36 morti in più ogni 10mila attacchi cardiaci, probabilmente dovuti alle conseguenze dei malware, che hanno reso più lenti i sistemi di reazione, nonché un’interruzione nell’assistenza dei pazienti, come l’annullamento di quasi 20mila appuntamenti o il trasferimento forzato dei degenti in altre strutture ospedaliere.
Tornando al caso di Düsseldorf, gli investigatori stanno ora analizzando nello specifico le cause della morte della donna tedesca e non è esclusa un’indagine per omicidio a carico dei criminali informatici.
Nonostante le vane promesse degli hacker di non prendere mai di mira gli ospedali, anche in Italia si sono di recente registrati ransomware diretti allo Spallanzani di Roma (proprio lo scorso marzo, nel periodo “caldo” dell’emergenza da Covid-19[6]) e al Fatebenefratelli di Erba, nel dicembre 2019.
Se un ransomware rivolto verso una qualsiasi società, però, può portare dei rilevanti danni economici e di violazione della privacy, gli attacchi agli ospedali possono causare anche rischi alla salute e addirittura decessi tra i pazienti. Per questo è necessario alzare l’asticella del livello di sicurezza informatica in tutte le strutture ospedaliere, per evitare – o quantomeno ridurre al massimo – il rischio che l’azienda possa diventare vittima di attacchi.
D’altro lato, se un ransomware in Italia può configurare fattispecie criminali quali estorsione[7], danneggiamento[8] o accesso abusivo a sistema informatico o telematico[9], un attacco che porti alla morte di un paziente, come accaduto in Germania, potrebbe non solo raffigurare un omicidio colposo[10], ma eventualmente anche integrare tale delitto nella sua ipotesi volontaria[11], con “dolo eventuale”. Un giudice nostrano potrebbe, infatti, astrattamente ritenere che l’autore di un cyberattack nei confronti di una struttura ospedaliera si fosse rappresentato – e avesse accettato – il rischio di porre in pericolo la vita di qualche degente, così rispondendo della più grave forma di omicidio.
Note
[1] Si veda su questa Rivista “Ransomware: cosa sono? Come proteggersi?”, 26 settembre 2016, https://www.ictsecuritymagazine.com/articoli/ransomware-cosa-proteggersi/
[2] Si veda su questa Rivista L.N. Meazza, “I risvolti penalistici delle criptovalute”, 22 gennaio 2020, https://www.ictsecuritymagazine.com/articoli/i-risvolti-penalistici-delle-criptovalute/
[3] Per approfondirne i dati tecnici si veda, su questa rivista, M. Caranti, “PETYA Virus, Vulnerabilità e Pentesting”, 13 luglio 2017, https://www.ictsecuritymagazine.com/articoli/petya-virus-vulnerabilita-pentesting/ e “Guida al Pentesting: ed. 2020”, 29 giugno 2020.
[4] Si veda su questa Rivista “WannaCry – Sempre più pericolosa la militarizzazione del cyber spazio”, 17 maggio 2017, https://www.ictsecuritymagazine.com/notizie/wannacry-sempre-piu-pericolosa-la-militarizzazione-del-cyber-spazio/
[5] Si veda B. Krebs, “Study: Ransomware, Data Breaches at Hospitals tied to Uptick in Fatal Heart Attacks”, 7 novembre 2019, https://krebsonsecurity.com/2019/11/study-ransomware-data-breaches-at-hospitals-tied-to-uptick-in-fatal-heart-attacks/
[6] Si veda su questa Rivista M. Pereira, “L’AI per bloccare l’avanzata dei cybercriminali nell’era della pandemia”, 30 giugno 2020, https://www.ictsecuritymagazine.com/notizie/lai-per-bloccare-lavanzata-dei-cybercriminali-nellera-della-pandemia/
[7] Art. 629 c.p.: “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000 (…)”.
[8] Art. 635bis c.p.: “Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con violenza alla persona o con minaccia ovvero con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni”.
[9] Art. 615ter c.p.: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni (…)”.
[10] Art. 589 c.p.: “Chiunque cagiona per colpa la morte di una persona è punito con la reclusione da sei mesi a cinque anni (…)”.
[11] Art. 575 c.p.: “Chiunque cagiona la morte di un uomo è punito con la reclusione non inferiore ad anni ventuno”.
Articolo a cura di Lorenzo Nicolò Meazza
Avvocato penalista, titolare dell’omonimo Studio legale sito in Milano e Vicepresidente della Camera Penale di Milano, ove ha costituito la Commissione sull'intelligenza artificiale.
Si occupa prevalentemente di diritto penale d'impresa, con un focus particolare su criminalità informatica, compliance, diritto penale delle nuove tecnologie e digital forensics. Membro e presidente di numerosi Organismi di Vigilanza, il suo studio ha acquisito particolare esperienza nella redazione di Modelli Organizzativi e Regolamenti informatici aziendali.
È stato selezionato dall’Ordine forense di Milano e dal Pool Reati Informatici della Procura milanese tra gli avvocati esperti in diritto dell’informatica, con particolare competenza nella trattazione dei reati informatici.