“Modificare radicalmente l’approccio utilizzato fino a oggi che ha messo a rischio i dati sanitari, i diritti dei cittadini e la gestione informatica dei servizi sanitari regionali, valutare la revoca dei contratti con la società in house Lepida e individuare un nuovo soggetto più affidabile a cui affidare i servizi ICT”.
Ad avanzare le richieste in un atto question time discusso in Assemblea legislativa è il Gruppo Misto, che auspica l’assunzione di responsabilità da parte della giunta regionale per l’ingente violazione informatica subita lo scorso novembre dalle aziende sanitarie modenesi “anche alla luce del rifiuto di fornire le informazioni richieste sullo svolgimento delle procedure in specifiche procedure di accesso agli atti”.
Il gruppo consiliare, ricordando come “sia Lepida S.c.p.A. la società in house degli enti del servizio sanitario regionale e della Regione impegnata nella progettazione, ricerca, sviluppo, sperimentazione e gestione di servizi e prodotti ICT”, ricorda il data breach patito dalle aziende sanitarie modenesi “che ha dimostrato incontrovertibilmente l’inaffidabilità totale dell’azienda, che non è stata in grado di fornire la minima dimostrazione che siano state effettivamente e preventivamente effettuate le più elementari verifiche sulla sicurezza informatica”.
Da qui la richiesta all’esecutivo regionale di “modificare radicalmente l’approccio utilizzato fino a oggi che ha messo a rischio i dati sanitari, i diritti dei cittadini e la gestione informatica dei servizi sanitari regionali, nonché la revoca dei contratti con Lepida e l’individuazione di un nuovo soggetto più affidabile”.
L’Assessore alla scuola, università, ricerca, agenda digitale ha risposto alle domande poste chiarendo che “Lepida non è assolutamente coinvolta in quanto accaduto a Modena lo scorso novembre, in quanto fornitrice dell’infrastruttura tecnologica che non è stata oggetto di attacco che invece ha riguardato i sistemi della sola Ausl di Modena”. Nel rinnovare la fiducia della Giunta verso la società in house e nei confronti della struttura regionale che si occupa di cybersecurity, l’assessore ha motivato il diniego a fornire le informazioni richieste “proprio a tutela della sicurezza dei cittadini”.
Nel dichiararsi completamente insoddisfatta delle risposte ottenute, la consigliera del Gruppo Misto ha ribadito come il rifiuto alla divulgazione dei dati sui test effettuati “risieda nel fatto che Lepida non ha compiuto le rilevazioni e ora la giunta scarica tutte le responsabilità sulla Ausl di Modena, peraltro dipendente dalla Regione, dunque su sé stessa. Oltre a ciò, Lepida fornisce evidentemente una infrastruttura come la rete che ha criticità enon è adeguatamente compartimentata. Stante il vostro rifiuto di fornire i dati necessari, provvederò a richiederli in altra sede”.
(Luca Boccaletti)
La comunicazione istituzionale del Servizio informazione dell’Assemblea legislativa della Regione Emilia-Romagna dal 12 aprile 2024 è soggetta alle disposizioni in materia di “par condicio” (legge 28/2000)