Le cifre che seguono non sono proiezioni, non sono stime, non sono scenari ipotetici. Sono sanzioni reali, irrogate dal Garante per la Protezione dei Dati Personali a strutture sanitarie italiane ed europee tra il 2021 e il 2025. Ogni provvedimento è pubblico e consultabile sul sito del Garante.
La ragione per cui questi casi meritano attenzione è che i problemi sanzionati, accessi non controllati, assenza di log, software obsoleti, credenziali inadeguate, sono gli stessi problemi documentati nei gestionali farmaceutici più diffusi in Italia dalla nostra indagine indipendente.
Caso 1: €75.000 per accessi al dossier sanitario senza controlli
Chi: Azienda Sanitaria dell'Alto Adige Quando: Provvedimento del 22 febbraio 2024 Fonte: Garante Privacy, Registro dei provvedimenti n. 97/2024
Il Garante ha accertato che il personale sanitario poteva accedere al dossier sanitario elettronico di qualsiasi paziente, anche di quelli non in cura diretta. Il sistema prevedeva una semplice autocertificazione manuale della motivazione dell'accesso, senza alcun controllo tecnico effettivo.
Non esisteva un sistema di alert per individuare comportamenti anomali: accessi multipli, accessi fuori orario, accessi a dossier di pazienti non in carico. Il Garante ha ordinato l'adozione immediata di misure tecniche e organizzative adeguate.
Il parallelo con i gestionali farmaceutici
L'analisi dei due gestionali più diffusi nelle farmacie italiane ha rilevato la stessa identica carenza: nessun registro degli accessi, nessun sistema di alert, nessuna tracciabilità di chi consulta i dati dei pazienti. Con una differenza: nelle farmacie, il database è accessibile con credenziali condivise o con la password predefinita di fabbrica. La situazione è strutturalmente più grave di quella sanzionata con 75.000 euro.
Caso 2: €80.000 per dossier sanitario accessibile a tutto il personale
Chi: Azienda Ospedaliero-Universitaria Careggi, Firenze Quando: Provvedimento n. 474 del 4 agosto 2025 Fonte: Garante Privacy, doc. web n. 10166336
L'ospedale utilizzava due applicazioni per i percorsi ambulatoriali e ospedalieri attraverso le quali tutto il personale sanitario poteva effettuare ricerche sulla storia clinica di qualsiasi paziente, anche quando non coinvolto nel percorso di cura. Non esistevano profili di accesso differenziati, né sistemi di alert, né registrazione adeguata delle operazioni in file di log.
Il Garante ha contestato la violazione degli articoli 5, 9 e 32 del GDPR e ha irrogato una sanzione di 80.000 euro.
Nello stesso provvedimento, una clinica privata è stata sanzionata per 12.000 euro per violazioni analoghe.
Il parallelo: nei gestionali farmaceutici analizzati, non esiste alcuna profilazione degli accessi. L'account di amministratore, in uno dei due software, non ha nemmeno una password.
Caso 3: €120.000 per un bug del software che ha ignorato la richiesta di oscuramento
Chi: Azienda USL della Romagna Quando: Provvedimento del 27 luglio 2021 Fonte: Garante Privacy, doc. web n. 9682619
Una paziente, al momento del ricovero per interruzione farmacologica di gravidanza, aveva compilato il modulo per richiedere l'oscuramento del proprio referto nel fascicolo sanitario. Un bug nel software gestionale ha ignorato la richiesta: il referto è stato trasmesso al medico di famiglia.
Il problema ha coinvolto 48 persone in 16 mesi. Il Garante ha sanzionato la USL con 120.000 euro. La Provincia Autonoma di Trento, per violazioni analoghe, è stata sanzionata con 150.000 euro.
Il parallelo: la responsabilità per il bug era del software, non della struttura sanitaria. Ma il Garante ha sanzionato la struttura, in quanto titolare del trattamento. Lo stesso principio si applica alle farmacie: anche se il problema è nel gestionale, la responsabilità primaria ricade sul titolare, cioè sulla farmacia.
Caso 4: €30.000 per dati di 842.000 persone esposti a un ransomware
Chi: ASL Napoli 3 Sud Quando: Provvedimento n. 426 del 28 settembre 2023 Fonte: Garante Privacy, doc. web n. 9941232
Nel gennaio 2022, un attacco ransomware ha colpito i sistemi informativi della ASL, compromettendo i dati personali e sanitari di 842.000 tra assistiti e dipendenti. Il Garante ha accertato che l'accesso alla rete tramite VPN avveniva con semplice username e password, senza autenticazione a più fattori, e che la mancata segmentazione delle reti ha permesso la propagazione del virus all'intera infrastruttura.
Il parallelo: nei gestionali farmaceutici analizzati, l'accesso ai dati avviene con credenziali ancora più deboli, la password predefinita di fabbrica o credenziali condivise tra migliaia di installazioni, e i file del database sono accessibili a qualsiasi utente del sistema operativo, senza alcuna segmentazione.
Caso 5: €25.000 per software obsoleti dopo un attacco hacker
Chi: Azienda Ospedaliero-Universitaria (non identificata) Quando: Provvedimento del 17 ottobre 2024 Fonte: Garante Privacy, doc. web n. 10063782
Un attacco ransomware nel dicembre 2022, introdotto attraverso un PC con VPN aperta, ha compromesso la riservatezza, l'integrità e la disponibilità dei dati di dipendenti, consulenti e pazienti. Il Garante ha accertato l'utilizzo di software obsoleti per i quali non erano più previsti aggiornamenti di sicurezza, alert non attivi 24 ore su 24, e l'assenza di autenticazione a più fattori per l'accesso remoto.
Il parallelo: uno dei gestionali farmaceutici analizzati utilizza librerie software risalenti al 2006 con vulnerabilità note e classificate (CVSS 9.8 su 10). L'altro utilizza un sistema di cifratura delle password basato su algoritmi degli anni Novanta. Entrambi i software sono in produzione su migliaia di farmacie.
Caso 6: €271.000 per l'attacco alla Regione Lazio
Chi: LAZIOcrea S.p.A. (società che gestisce i sistemi informativi della Regione Lazio) Quando: Provvedimento del 21 marzo 2024 Fonte: Garante Privacy, doc. web n. 10002324 e n. 10002533
Nella notte tra il 31 luglio e il 1 agosto 2021, un attacco ransomware ha reso inaccessibili circa 180 server virtuali, bloccando prenotazioni, pagamenti, ritiro referti e registrazione vaccinazioni per milioni di cittadini del Lazio. La Regione Lazio è stata sanzionata con 120.000 euro, LAZIOcrea con 271.000 euro e la ASL Roma 3 con 10.000 euro.
Il Garante ha accertato che LAZIOcrea non disponeva di misure adeguate a prevenire l'attacco né a gestirne le conseguenze.
Il parallelo: la società informatica è stata sanzionata più pesantemente della Regione perché, in quanto responsabile del trattamento dei dati, avrebbe dovuto garantire misure di sicurezza adeguate. Lo stesso principio si applica ai produttori di gestionali farmaceutici: il GDPR prevede la responsabilità diretta del responsabile del trattamento (Art. 28).
Caso 7: €10.000 alla società informatica delle farmacie FVG
Chi: Promofarma Sviluppo S.r.l. Quando: Provvedimento del 20 ottobre 2022 Fonte: Garante Privacy, doc. web n. 9832507
La società informatica che gestiva un portale di prenotazione tamponi per le farmacie del Friuli Venezia Giulia aveva reso accessibili i dati delle prenotazioni (codice fiscale, nome, cognome, telefono) senza alcun meccanismo di autenticazione. Le 151 farmacie che utilizzavano il portale sono state esentate dalla responsabilità, in quanto il Garante ha riconosciuto che la violazione era imputabile al fornitore tecnologico.
Un precedente importante per le farmacie
Questo caso stabilisce un principio rilevante: quando la violazione è causata da un difetto del software o del servizio informatico, la responsabilità può ricadere sul fornitore tecnologico anziché sulla farmacia. I farmacisti che documentano di aver scelto il fornitore in buona fede e di aver agito non appena informati del problema si trovano in una posizione giuridicamente più tutelata.
Caso 8: €400.000, la prima maxi-sanzione sanitaria in Europa
Chi: Hospital do Barreiro Montijo, Portogallo Quando: 2019 Fonte: CNPD (Autorità portoghese per la protezione dei dati)
Tutto il personale dell'ospedale, medici, infermieri e personale amministrativo, poteva accedere alle cartelle cliniche di qualsiasi paziente senza distinzione di ruolo o reparto. Nessun controllo sugli accessi, nessuna differenziazione dei permessi. L'autorità portoghese ha irrogato una sanzione di 400.000 euro, la prima maxi-sanzione GDPR in ambito sanitario nell'Unione Europea.
Il caso è stato citato dal Garante italiano nei propri procedimenti come precedente di riferimento.
Il parallelo: nei gestionali farmaceutici analizzati, non esiste alcuna differenziazione dei permessi di accesso ai dati dei pazienti. In uno dei due software, l'accesso con privilegi di amministratore è possibile senza inserire alcuna password.
Il denominatore comune
Sette dei otto casi sopra descritti riguardano lo stesso tipo di problema: accessi non controllati ai dati sanitari. Niente log degli accessi, niente profilazione per ruolo, niente alert per comportamenti anomali, niente cifratura, software obsoleti.
Sono gli stessi problemi, identici, documentati dall'analisi indipendente sui gestionali farmaceutici più diffusi in Italia. Con una differenza significativa: le strutture sanitarie sanzionate sono ospedali e ASL con centinaia di dipendenti e sistemi informativi complessi. Le farmacie hanno sistemi più semplici ma, proprio per questo, le vulnerabilità sono ancora più facilmente sfruttabili.
E c'è un'altra differenza: le farmacie non sono ancora state ispezionate per questi specifici problemi. Le vulnerabilità documentate riguardano software utilizzati da oltre 14.000 farmacie. Se il Garante avviasse un'indagine settoriale, i precedenti sanzionatori sopra descritti indicherebbero chiaramente la direzione.
Le sanzioni in sintesi
| Caso | Violazione | Sanzione | Anno |
|---|---|---|---|
| ASL Alto Adige | Accessi al dossier senza controlli | €75.000 | 2024 |
| AOU Careggi, Firenze | Dossier accessibile a tutto il personale | €80.000 | 2025 |
| Clinica privata (Firenze) | Violazioni analoghe a Careggi | €12.000 | 2025 |
| USL Romagna | Bug software ignora oscuramento | €120.000 | 2021 |
| Prov. Autonoma Trento | Violazione diritto oscuramento | €150.000 | 2021 |
| ASL Napoli 3 Sud | Dati 842.000 persone esposti a ransomware | €30.000 | 2023 |
| AOU (anonima) | Software obsoleti dopo attacco hacker | €25.000 | 2024 |
| LAZIOcrea | Attacco Regione Lazio, misure inadeguate | €271.000 | 2024 |
| Regione Lazio | Concorso nell'attacco | €120.000 | 2024 |
| Promofarma (farmacie FVG) | Portale tamponi senza autenticazione | €10.000 | 2022 |
| Ospedale Portogallo | Cartelle accessibili senza controlli | €400.000 | 2019 |
Totale delle sanzioni documentate in questo articolo: oltre 1,3 milioni di euro.
La finestra temporale
Nessuna di queste sanzioni è arrivata a sorpresa. In ogni caso, il Garante ha prima ricevuto una segnalazione o una notifica di data breach, poi ha condotto un'istruttoria, infine ha irrogato la sanzione. Il processo richiede mesi, talvolta anni.
Per le vulnerabilità documentate nei gestionali farmaceutici, le segnalazioni alle autorità competenti sono già state presentate. La finestra temporale per agire è adesso.
Il Garante, in sede sanzionatoria, valuta le misure adottate dal titolare del trattamento prima e dopo la scoperta del problema. Chi ha verificato la propria posizione, documentato le criticità e adottato le misure possibili, si trova in una posizione incomparabilmente migliore di chi non ha fatto nulla.
La differenza tra 10.000 euro e 150.000 euro, nei casi sopra descritti, sta quasi sempre nella stessa variabile: la buona fede dimostrata dal titolare e le azioni correttive intraprese.
Il report completo
L'analisi dettagliata delle vulnerabilità, con il collegamento puntuale ai precedenti sanzionatori del Garante e le azioni raccomandate per le farmacie, è disponibile nel report gratuito.
