Attacco hacker alla ASL 1 Abruzzo: l’Avv. Carlotta Ludovici solleva dubbi sull’indipendenza del Garante Privacy dopo la sanzione di “ammonimento”
L’Aquila, 17 novembre 2025 – Dopo la notifica del provvedimento del Garante per la Protezione dei Dati Personali in merito al gravissimo attacco hacker subito dalla ASL 1 di L’Aquila nel maggio 2023, l’Avvocato Carlotta Ludovici, legale di numerosi pazienti e responsabile provinciale di ADICU – aps, ha espresso forti perplessità riguardo l’indipendenza dell’Autorità e la congruità della sanzione irrogata.
L’attacco informatico, per mano della gang ransomware Monti, aveva compromesso circa 500 GB di dati altamente sensibili, tra cui cartelle cliniche, referti medici e valutazioni psicologiche di minori, violando la privacy di migliaia di utenti, inclusi dati del boss Matteo Messina Denaro all’epoca in cura. La pubblicazione online di tali dati di salute espone i pazienti a rischi a lungo termine, inclusi potenziali ricatti.
Sanzione di “Ammonimento”: Inadeguata alla Gravità della Violazione
Il Garante della Privacy, a seguito della propria attività ispettiva, ha riconosciuto il titolare del trattamento dei dati della ASL 1 responsabile della violazione. Tuttavia, la sanzione irrogata è stata un mero ammonimento, oltre alla pubblicazione del provvedimento.
L’Avv. Ludovici contesta duramente la decisione:
“A fronte di uno dei più gravi data breach nella sanità italiana, che ha messo in serio pericolo la vita e la dignità degli interessati, un ‘ammonimento’ appare palesemente inadeguato alla gravità della situazione e ai danni di notevole entità subiti dai pazienti. Il provvedimento ha anche accertato l’inidoneità della comunicazione agli utenti prevista dall’art. 34 del GDPR.”
Il Nodo dell’Indipendenza del Garante
La discussione ha portato l’Avv. Ludovici a sollevare un interrogativo fondamentale, ripreso anche durante la sua partecipazione al programma di inchiesta Report (Rai3, 9 novembre): “L’autorità Garante della privacy è un organo indipendente?”
Il legale ha puntato l’attenzione sulla posizione del giurista Guido Scorza, componente del Garante, dichiarando:
“Non vi è chi non intravveda un conflitto di interessi per le posizioni rivestite dal giurista, con ogni ovvia conseguenza.”
Tale dubbio sull’effettiva autonomia dell’Autorità Garante insinua l’ombra che la blanda sanzione adottata possa non essere stata dettata esclusivamente da ragioni tecniche o giuridiche, ma influenzata da dinamiche esterne.
L’Iter Legale dei Pazienti Prosegue
Nonostante la sospensione di ogni possibilità di risarcimento da parte dello studio legale che ha riscontrato le diffide, in attesa dell’esito dei procedimenti penali, civili e amministrativi per l’accertamento delle responsabilità, l’azione legale promossa dall’Avv. Ludovici e da ADICU – aps per conto dei numerosi assistiti prosegue.
Gli atti di costituzione in mora erano stati trasmessi alla ASL 1, all’Agenzia per la Cybersicurezza Nazionale e al Garante della Privacy a partire da novembre 2023, chiedendo l’adozione di misure adeguate e il risarcimento dei danni per la mancata adozione di standard elevati di protezione dei sistemi informatici.
