Un attacco ransomware ai danni dell’Ordine degli Psicologi della Lombardia si è concluso con una sanzione da 30.000 euro inflitta dal Garante per la protezione dei dati personali, a causa della mancata adozione di misure adeguate di sicurezza.

Il provvedimento n. 10134827, pubblicato a maggio 2025, è particolarmente significativo sotto il profilo della compliance normativa: la violazione ha coinvolto dati appartenenti a categorie particolari (ex art. 9 GDPR), come informazioni sulla salute, l’etnia, l’orientamento sessuale, convinzioni religiose e sindacali, oltre a dati relativi a condanne penali (art. 10 GDPR). L’attacco ha portato all’esfiltrazione e alla successiva pubblicazione nel dark web, causando un rischio elevatissimo per i diritti e le libertà degli interessati, tra cui anche soggetti minori.

Secondo l’istruttoria, l’Ordine non disponeva di misure idonee a:

• rilevare tempestivamente una violazione dei dati personali;
• garantire la protezione dei sistemi di trattamento in conformità al principio di “integrità e riservatezza” (art. 5.1.f GDPR);
• assicurare il principio di “accountability” (art. 24 GDPR).

Nonostante la collaborazione dell’Ordine e il rafforzamento successivo delle misure di sicurezza, il Garante ha ravvisato negligenza nella protezione preventiva di dati delicatissimi, su cui grava un obbligo di tutela rafforzata.

Per DPO, responsabili IT e fornitori di soluzioni per la compliance, il caso sottolinea l’urgenza di rivedere in chiave stringente i sistemi di controllo, auditing e risposta agli incidenti. È essenziale:

• predisporre un efficace data breach response plan;
• formalizzare e aggiornare le valutazioni d’impatto (DPIA) per il trattamento di categorie particolari di dati;
• verificare la presenza di strumenti avanzati di rilevamento e gestione delle minacce.

Un’ulteriore lezione per il canale IT e legale: la sicurezza dei dati non è solo una questione tecnica, ma un obbligo giuridico, con conseguenze concrete e pubbliche. L’assenza di misure adeguate può comportare non solo danni reputazionali, ma anche sanzioni economiche, responsabilità contrattuali e persino penali in caso di dolo o colpa grave.