Iscriviti alla newsletter
Associati/Rinnova

Associazione Professione Psicolog*

Quando l’attacco arriva da fuori… e poi da dentro

, ,
“Mettete dei fiori nei vostri cannoni”
Alberto Carisch

Care colleghe, cari colleghi,

la vicenda che stiamo per raccontare riguarda la sicurezza dei dati, il funzionamento dell’istituzione ordinistica e la tutela dell’informazione trasparente.

Tutto è iniziato con un attacco informatico che oggi ci invita a una riflessione più ampia.

Un attacco informatico, non un errore

Il 3 ottobre 2023 i sistemi dell’Ordine degli Psicologi della Lombardia sono stati violati da NoEscape, un gruppo criminale specializzato in ransomware.

L’operazione – su commissione di un mandante ignoto – ha:

  • cifrato i server;
  • cancellato i backup (N.D.R. poi prontamente recuperati);
  • esfiltrato oltre 6 GB di dati poi pubblicati sul dark web.

Il vettore d’ingresso è stato un attacco bruteforce al servizio RDP di un server: i criminali hanno martellato l’autenticazione con credenziali sottratte finché non hanno aperto una breccia. Hanno operato di notte e nei fine‑settimana, generando un traffico inferiore alla soglia media; in quelle stesse fasce orarie l’Ordine registra comunque accessi legittimi; perciò, i log non hanno mostrato picchi sospetti e l’intrusione non è stata rilevata nell’immediato.

Sono state compromesse circa 15000 registrazioni relative a 3000 persone. Di queste, 159 contenevano dati particolarmente sensibili (procedimenti disciplinari), per i quali l’impatto è stato valutato come particolarmente elevato.

Si è trattato di un attacco esterno sofisticato, paragonabile a una violazione di domicilio digitale: un’irruzione notturna nella nostra casa virtuale.

La risposta dell’Ordine: pronta, tracciata, trasparente

L’Ordine, nel pieno interesse delle iscritte e degli iscritti, e consapevole della rilevanza di tutelare i dati riservati e le difese informatiche, anche per evitare che si verifichino nuovamente eventi del genere, ha prontamente:

  • denunciato l’incidente alla Polizia Postale.
  • informato il Garante per la Protezione dei Dati Personali, offrendo piena collaborazione e rafforzando contestualmente i sistemi informatici per garantire una tutela ancora maggiore dei dati e prevenire future violazioni.
  • comunicato tempestivamente agli iscritti, con modalità ritenute adeguate dallo stesso Garante, che nella propria istruttoria ha affermato: «Si ritiene che il tempo che l’Ordine ha impiegato per la comunicazione sia stato pienamente necessario per esaminare in dettaglio i numerosi documenti oggetto di esfiltrazione e valutarne il rischio… Anche sul tema della genericità della comunicazione inviata, il Garante la reputa adeguata».
  • condiviso con il Consiglio tutti i passaggi, documentando in piena trasparenza le spese sostenute (👉 leggi in fondo all’articolo per il dettaglio di tutti i passaggi).

La sanzione del Garante: un invito a rafforzare

La decisione sull’architettura e sui processi informatici spetta ai Responsabili IT, al DPO e ai consulenti incaricati.

(N.D.R.: le scelte operative e di spesa relative alla sicurezza informatica sono guidate da valutazioni tecniche, non politiche: il Consiglio può solo recepire e finanziare quanto indicato dai soggetti responsabili. Non è quindi l’organo politico a stabilire il livello di investimento o le singole soluzioni, ma chi ha competenza tecnico-professionale in materia.)

Prima della decisione del Garante, l’Ordine ha dimostrato di destinare fra il 5 e il 7 % del bilancio alla sicurezza informatica — quota conforme alle linee guida dell’AgID, livello «standard» (Circolare 2/2017) — e di aver attivato tutti i processi previsti dalla stessa normativa.

Il Garante ha osservato che, pure nel pieno rispetto di tali linee guida, alla luce del rischio post-pandemico, sarebbe stato opportuno rafforzare ulteriormente le difese, in particolare implementando sistemi di alert in grado di intercettare tempestivamente i tentativi d’intrusione.

Non si contesta dunque la conformità alle norme, ma la mancanza di iniziative proattive oltre gli standard minimi.

Al termine dell’istruttoria (provvedimento n. 271 del 29 aprile 2025), il Garante ha comminato una sanzione di 30000(riducibile del 50 % se pagata tempestivamente).
Si tratta di una valutazione tecnica, non di una censura politica: un’indicazione che l’Ordine ha già recepito con nuovi investimenti.

Nell’interesse degli iscritti, l’attuale maggioranza sta valutando se e come rivalersi dei costi della sanzione affinché l’onere non gravi sulla comunità professionale.

Disinformazione: quando l’attacco arriva da dentro

Credevamo di aver respinto il pericolo peggiore. Poi è arrivato il secondo attacco — dall’interno.
Alcuni Consiglieri di minoranza (Altra Psicologia) sostengono che l’Ordine non avrebbe fornito informazioni né documentato le spese relative al data breach.
I fatti raccontano altro.
Alla luce di questi fatti — tutti documentati, condivisi in Consiglio e trascritti nei verbali (👉 clicca qui per la cronologia dettagliata) — ci chiediamo come sia possibile che l’ennesima comunicazione di Altra Psicologia sostenga ancora che non siano state fornite informazioni o documentate le spese.

Chi oggi solleva accuse era presente nei momenti decisivi, ha ricevuto gli stessi materiali e ha partecipato alle medesime votazioni, qualcuno avendo anche all’epoca il mandato di presidiare sui processi amministrativi.
È lecito domandarsi se, invece di contribuire attivamente al confronto consiliare, alcuni abbiano preferito produrre comunicazioni esterne senza approfondire i documenti effettivamente disponibili.
La disinformazione non è un semplice errore: è un attacco alla fiducia collettiva. Di fronte a chi semina dubbi infondati, la nostra risposta resta la trasparenza dei fatti.

Conclusioni

L’attacco ha evidenziato fragilità: l’Ordine le ha riconosciute, ha rafforzato la sicurezza, ha documentato ogni azione e ha tutelato gli iscritti. La sanzione è stata gestita con rigore e trasparenza; verbali e delibere parlano chiaro.
C’è però chi sceglie di non ascoltare, ignorare i fatti e cercare visibilità screditando l’istituzione che invece dovrebbe rappresentare. Non è solo una questione politica: è responsabilità verso la comunità professionale.

Due attacchi.

Il primo è arrivato da fuori, col volto coperto e gli strumenti del crimine digitale.
Il secondo si è insinuato da dentro, camuffato da legittima opposizione, ma pronto a gettare discredito e confusione.

Difendersi da un ransomware richiede firewall, backup e protocolli.
Difendersi dalla disinformazione richiede qualcosa di più difficile da programmare: coerenza, memoria e senso di responsabilità.

Continueremo a rispondere a entrambi con la stessa arma: la trasparenza.

Il direttivo di Professione Psicolog*


(N.D.R. Potete trovare tutte le delibere e i verbali di Consiglio sul sito OPL e qui di seguito la cronologia puntuale dei fatti)

Cronologia puntuale dei fatti

📌 14 ottobre 2023
Durante il Consiglio dell’Ordine, viene letta e condivisa la relazione tecnica ricevuta il 13 ottobre.
📌 18 ottobre 2023
Il Consigliere Granata chiede la relazione letta che viene inviata.
📌 19 ottobre 2023
L’Ordine segnala al Garante l’attacco subito, come azione di responsabilità dovuta.
📌 9 novembre 2023
Durante il Consiglio con Bilancio di previsione 2024 viene condivisa la decisione di allocare un fondo dedicato per sostenere le spese relative al Data Breach. Alle richieste di maggiori informazioni viene risposto che le stesse essendo in via di pianificazione saranno rendicontate nell’occasione della Variazione di Bilancio prevista in cui saranno specificate.
📌 23 maggio 2024 
Durante il Consiglio sono state presentate le spese relative alla consulenza legale in trasparenza con le diciture del motivo di impegno economico. La delibera n.215/2024 è stata votata all’unanimità dei presenti senza interventi o richieste di spiegazioni ed erano presenti tutti i Consiglieri.
📌 4 novembre 2024 
Si tiene la Commissione di Garanzia in cui si presentano le Variazioni di Bilancio necessarie per sostenere le previste nuove spese in modo da dare il dovuto spazio per la discussione.
📌 7 novembre 2024 
Durante il Consiglio sono presentate le variazioni (documentabili e rintracciabili nei materiali sull’area trasparenza) e si discute delle stesse: purtroppo di tutta la discussione non c’è traccia perché l’allora Segretaria Gabriella Scaduto non si accorge di non registrare la seduta durante il Consiglio e successivamente invia una mail a tutti i Consiglieri per informarli del fatto chiedendo se ci fossero integrazioni; in caso contrario, si sarebbe avvalsa del form di verbale molto asciutto con ODG e votazioni. Nonostante la perdita della registrazione sia un fatto grave per chi ne detiene la responsabilità, si riconosce che l’errore tecnico sia possibile, si vede la differenza e non si utilizza o strumentalizza la situazione: si procede dunque alla votazione del verbale che non riporta le informazioni sulla discussione avvenuta. ATTENZIONE: in questo Consiglio la minoranza decide di votare contrario alle variazioni, ma non essendoci il verbale di discussione non possiamo documentare ciò che è successo.
 📌 13 marzo 2025 
Durante il Consiglio sono state presentate le ultime spese sostenute in ratifica nella delibera numero 39/2025: il verbale è in via di approvazione ma contiene un rendiconto preciso.