Il Gruppo UnitedHealth è già stato colpito da almeno sei azioni legali collettive che lo accusano di non aver protetto i dati personali di milioni di persone in seguito alla violazione di Change Healthcare, la sua unità di elaborazione dei pagamenti, avvenuta il mese scorso.

In una mozione presentata martedì tardi a Washington, D.C., gli avvocati dei querelanti hanno chiesto a una commissione giudiziaria federale di consolidare le sei cause presso il tribunale federale di Nashville, Tennessee, dove ha sede Change, e hanno detto che si aspettano altre cause.

Non si sa quanto potrebbe diventare grande il contenzioso, perché non è chiaro quante o quali informazioni siano state compromesse nell'attacco, che è stato portato avanti dal gruppo di hacker ransomware BlackCat.

UnitedHealth, che ha reso noto l'attacco il 21 febbraio senza specificare quante persone sono state colpite, ha dichiarato in un comunicato mercoledì che si sta concentrando sul ripristino delle operazioni di Change.

UnitedHealth non ha detto se BlackCat abbia chiesto un riscatto, ma un post su un forum online utilizzato dagli hacker ha affermato che l'azienda ha pagato 22 milioni di dollari agli hacker per riottenere l'accesso ai suoi sistemi bloccati.

Ai sensi dell'Health Insurance Portability and Accountability Act (HIPAA), una legge sulla privacy sanitaria degli Stati Uniti, le aziende hanno 60 giorni di tempo dopo aver scoperto una violazione dei dati per notificare alle persone interessate che le loro informazioni personali sono state compromesse.

Per le violazioni che riguardano più di 500 persone, l'azienda deve informare le autorità di regolamentazione federali e i media più importanti. Finora UnitedHealth non ha fornito tale avviso.

Change elabora circa il 50% delle richieste mediche negli Stati Uniti per circa 900.000 medici, 33.000 farmacie, 5.500 ospedali e 600 laboratori.

L'attacco ha bloccato le operazioni di Change, impedendo ai fornitori, tra cui i principali sistemi ospedalieri, i piccoli studi medici e le farmacie, di riscuotere i pagamenti. Secondo il sito web di UnitedHealth, si prevede che Change riprenderà ad elaborare i pagamenti entro il 15 marzo.

Tutte le cause legali sostengono che Change non ha salvaguardato le informazioni personali dei pazienti, mettendoli a rischio di furto d'identità e di violazione della privacy. Alcuni sostengono anche che i pazienti non hanno potuto compilare le ricette mediche perché le loro richieste assicurative non potevano essere elaborate, mettendo a rischio la loro salute.

I querelanti affermano che le informazioni archiviate da Change, e ora potenzialmente a rischio, includono cartelle cliniche, informazioni sui pagamenti, nomi e numeri di previdenza sociale. Una delle cause afferma che "le informazioni della violazione dei dati si trovano sul dark web e sono già in vendita", anche se non fornisce alcun dettaglio a sostegno di questa affermazione.

Le cause accusano l'azienda di negligenza e di violazione dei requisiti di privacy dell'HIPAA e di varie leggi statali.

Quattro delle cause sono state intentate contro Change a Nashville, mentre due sono state intentate contro UnitedHealth nello Stato di origine della società madre, il Minnesota.

La mozione di martedì è stata presentata dagli avvocati delle cause di Nashville. Gli avvocati dei casi del Minnesota potrebbero presentare una mozione concorrente per far trasferire i casi nel loro tribunale, nel qual caso il Panel Giudiziario degli Stati Uniti sulle controversie multidistrettuali deciderebbe dove inviarli. (Servizio di Brendan Pierson a New York, modifica di Alexia Garamfalvi e Aurora Ellis)