Secondo il report annuale di Proofpoint, giunto alla quarta edizione, sfiorano i tre quarti le organizzazioni sanitarie che, sotto attacco, devono effettuare interruzioni dell’assistenza ai pazienti.

“Il report di Proofpoint e Ponemon Institute non racconta una novità, ma una sconfitta annunciata: nella sanità la cyber security continua a essere trattata come un orpello IT, mentre ormai è un problema clinico”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.

Secondo Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “quando un ospedale è costretto a sospendere un intervento o a ritardare una diagnosi per colpa di un ransomware, il problema non è più l’IT, ma la vita delle persone”.
Ecco come in sanità è possibile mitigare il rischio cyber.

Sanità a rischio cyber

Il report annuale di Proofpoint, condotto con il Ponemon Institute, intitolato “Cyber​​Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2025”, sottolinea che le minacce informatiche persistenti costituiscono rischi clinici. Infatti gli attacchi minacciano di compromettere la sicurezza dei pazienti e provocare milioni di perdite.

“Nel mondo sanitario, un attacco cyber non è solo una questione tecnologica, ma può diventare un vero e proprio rischio clinico”, conferma Dario Fadda.

Ransomware, compromissione di cloud e posta elettronica aziendale, attacchi alla supply chain comportano infatti severi rischi se non veri pericoli per la vita dei pazienti e potenziali effetti sui risultati clinici.

“Quando il 72% delle strutture deve interrompere l’assistenza ai pazienti a causa di un attacco informatico, vuol dire che il ransomware ha più impatto di una carenza di personale o di un black-out elettrico“, mette in guardia Sandro Sana.

Il dato è in crescita rispetto al 69% dello scorso anno. “Questo dato non è solo una statistica, è la rappresentazione di un sistema sanitario che spesso non dispone degli strumenti, delle competenze e della governance necessarie per fronteggiare minacce sempre più complesse e interconnesse”, avverte Dario Fadda.

Si tratta di attacchi che non si limitano a produrre semplici disagi operativi. Infatti il 54% delle aziende sanitarie colpite denuncia un incremento delle complicazioni delle procedure mediche, il 53% allunga i tempi delle degenze ai pazienti e il 29% fa aumentare i tassi di mortalità. Una conseguenza diretta fatale, insomma.

I dettagli

Il 93% delle aziende sanitarie ha subìto almeno un attacco negli ultimi dodici mesi, con una media di 43 attacchi per azienda (erano 40 nel 2024). Pur essendo passati dai 4,7 milioni di dollari del 2024 a 3,9 milioni di dollari, gli attacchi rappresentano un onere finanziario significativo: tempi di inattività, perdita di produttività del personale e remediation.

“La sicurezza dei pazienti è inseparabile da quella cyber,” ha dichiarato Ryan Witt, vice president of industry solutions di Proofpoint:  Se l’assistenza viene ritardata, interrotta o compromessa a causa di un attacco, allo stesso modo ne risentono le cure per i pazienti, le cui le vite sono potenzialmente messe a rischio. Questa analisi sottolinea l’urgente necessità per le organizzazioni sanitarie di adottare un approccio alla cybersicurezza incentrato sull’individuo, che non solo protegga sistemi e dati, ma preservi anche la continuità e la qualità dell’assistenza”.

Negli attacchi ransomware, il 33% delle vittime ha finito per pagare il riscatto, con il pagamento medio passato da 1,1 milioni di dollari del 2024 a 1,2 milioni di dollari (+60% rispetto al 2022).

Il ransomware è stato la tipologia di attacco che ha allungato le degenze (67%) e dirottato o trasferito i pazienti ad altre strutture (50%).

“Guardando al perimetro ransomware con l’osservatorio Ransomfeed.it il settore sanitario nel 2025 è il quarto per numero di attacchi rivendicati a livello globale (con 253 rivendicazioni ad oggi), mentre in Italia non si rispecchia questa tendenza, il dato è pressoché trascurabile con altri settori molto più impattati”, sottolinea Fadda.

Il 72% delle organizzazioni ha fronteggiato compromissioni di cloud/account, con il 61% che segnalava un incremento delle complicanze nelle procedure e il 36% una mortalità più alta.

“Un altro punto cruciale riguarda infatti la migrazione al cloud e l’uso crescente di strumenti di collaborazione e di intelligenza artificiale. Sono evoluzioni inevitabili e utili, ma ampliano enormemente la superficie d’attacco”, avverte Dario Fadda.

“L’AI, per esempio, può essere un potente alleato per la difesa, ma se gestita senza adeguate misure di sicurezza rischia di trasformarsi in un ulteriore vettore di vulnerabilità”, ricorda Fadda.

Come mitigare il rischio cyber (e clinico)

Pagare il riscatto è altamente sconsigliato, inoltre non assicura di ottenere la chiave privata per ripristinare i dati. Invece mantenere i software, sistemi operativi, app aggiornati, effettuare backup (crittografati), formare gli utenti, mettere in quarantena le email sospette, non aprire link sospetti e filtrare i contenuti sono buone pratiche per proteggersi dai ransomware (i “malware del riscatto”).

“Il dato è drammatico, ma non sorprende: troppa burocrazia, scarsa governance e formazione quasi assente. Si investe in macchinari da milioni, ma non in consapevolezza digitale. È il paradosso perfetto di un sistema che cura corpi, ma ignora la salute dei dati”, evidenzia Sandro Sana.

La formazione sulla consapevolezza della sicurezza informatica permette di riconoscere le minacce, come altre best practice consistono nello scollegare subito il dispositivo infetto e segnalare l’incidente alle autorità competenti, come l’Acn.

“La componente umana emerge ancora una volta come l’anello debole. Errori, negligenza, consapevolezza insufficiente. È il segnale che, accanto a firewall e sistemi di detection avanzati, serve un investimento costante nella formazione e nella cultura della sicurezza”, suggerisce Fadda.

“Finché la cyber security resterà confinata al CED e non entrerà nei consigli di direzione sanitaria, continueremo a contare complicazioni post-operatorie causate non da infezioni, ma da malware. E allora sì, potremo dire che l’anomalia del tracciato non era nel cuore del paziente… ma nel server dell’ospedale“, conclude Sandro Sana.

In prospettiva, “sarà essenziale colmare il divario di competenze e leadership interne”, conferma Fadda: “Non basta aumentare i budget: serve una visione strategica che faccia della cybersecurity una componente strutturale della gestione sanitaria, non un tema tecnico relegato al reparto IT”.