Sono ormai quattro anni che, insieme a Ponemon Institute, analizziamo lo stato della cyber security nel settore sanitario statunitense. E mai come oggi, una realtà emerge con chiarezza: le minacce informatiche non sono più solo una questione operativa. Sono diventate un rischio clinico.

Il report 2025: cyber security e sicurezza del paziente

L’edizione 2025 del nostro report, “Cyber Insecurity in Healthcare”, basata sulle
testimonianze di quasi 700 professionisti IT e della sicurezza, conferma una verità tanto preoccupante quanto essenziale. Quando le organizzazioni sanitarie finiscono nel mirino degli hacker, l’incolumità del paziente è la prima a essere compromessa.

Non si tratta di un’ipotesi remota, ma di una realtà documentata da eventi drammatici, come il blocco delle prescrizioni a livello nazionale causato dall’attacco a Change Healthcare nel 2024 o, in casi ancora più tragici, il decesso di un paziente legato a un attacco informatico nel Regno Unito.

I dati di quest’anno, tuttavia, mostrano quanto profondamente il rischio cyber si sia radicato nel modello di erogazione delle cure.

Non parliamo più di semplici interruzioni di servizio, ma di un impatto diretto e misurabile sulla salute delle persone.

Dalla violazione dei dati al paziente: l’impatto reale degli attacchi

Lo studio di Proofpoint rivela che il 72% delle organizzazioni sanitarie statunitensi colpite da attacchi comuni – come ransomware (i virus delo riscatto), compromissione del cloud, attacchi alla supply chain e truffe via email (BEC) – ha subito un’interruzione nell’erogazione delle cure ai pazienti.

Un dato in crescita rispetto al 69% ’del 2024, che si traduce in conseguenze drammatiche:

• Il 54% ha registrato un aumento delle complicazioni durante le procedure
• mediche.
• Il 53% ha riportato un allungamento dei tempi di degenza dei pazienti.
• Il 29% ha subito un incremento dei tassi di mortalità.

Questi numeri raccontano una storia inequivocabile: un attacco oggi può ritardare una diagnosi, posticipare un intervento chirurgico salvavita o alterare il funzionamento di un dispositivo medico.

E, sebbene il costo medio del singolo attacco più significativo sia leggermente diminuito, attestandosi a 3,9 milioni di dollari, l’onere finanziario complessivo per il settore rimane insostenibile.

I quattro volti della minaccia: un’analisi più approfondita

Per comprendere appieno il rischio, è fondamentale analizzare le diverse tipologie di attacco e il loro impatto specifico:

• Ransomware: sebbene la percentuale di organizzazioni che paga il riscatto sia in calo (33%), l’importo medio versato è salito a 1,2 milioni di dollari, il 60% in più rispetto al 2022. Questo tipo di attacco è quello che più di ogni altro provoca un allungamento dei tempi di degenza (67%), mettendo a dura prova la capacità di assistenza delle strutture.
• Attacchi alla supply chain (con effetti a catena sulla rete interconnessa di fornitori, venditori, appaltatori e partner): anche se meno frequenti rispetto al passato (subìti dal 44% delle organizzazioni), sono i più propensi a causare un’interruzione delle cure. Quando si verificano, ben l’87% di essi ha un impatto diretto sui pazienti, un dato in aumento rispetto all’82% del 2024.
• Business Email Compromise (BEC): queste truffe mirate via email sono la causa più probabile di ritardi in procedure e test (65%), con conseguenti esiti clinici negativi.
• Compromissione del cloud: essendo il vettore d’attacco più diffuso (subìto dal 72% delle organizzazioni), la compromissione di account cloud ha conseguenze gravissime, tra cui un aumento delle complicazioni procedurali (61%) e, dato allarmante, un incremento della mortalità (36%).

Il ruolo dell’intelligenza artificiale

In questo scenario, non possiamo dimenticare l’impatto dirompente dell’intelligenza artificiale. Il report di quest’anno analizza come le organizzazioni sanitarie stiano adottando l’’AI sia per la sicurezza che per l’’assistenza ai pazienti, e i primi risultati sono ottimistici, ma sfumati.

Più della metà degli intervistati ha integrato l’AI nei sistemi di cyber security o di assistenza clinica, e il 55% ritiene che abbia migliorato le proprie difese IT.

Ma l’AI non è una bacchetta magica e introduce nuove sfide in termini di protezione dei dati, governance e supervisione, soprattutto in ambienti sensibili come questo.

Il 60% degli intervistati ha affermato che proteggere i dati riservati utilizzati nei sistemi di AI è complesso: tra gli ostacoli incontrati, molti citano lo scarso livello di maturità degli strumenti disponibili e la loro limitata interoperabilità.

Se utilizzata correttamente, l’AI può essere un moltiplicatore di forza per i team IT e di sicurezza. Ma se utilizzata senza le dovute cautele, può ampliare la superficie di attacco e aumentare il rischio di errore.

I punti deboli: il fattore umano e la corsa al cloud

Nonostante la crescente sofisticazione delle minacce, l’anello debole della catena rimane, ancora una volta, la persona.

Il nostro report evidenzia come il rischio interno – che sia accidentale o doloso – continui a essere un fattore determinante. Il 96% delle organizzazioni ha subìto in media 18 incidenti di perdita di dati negli ultimi due anni, e nel 55% dei casi ciò ha avuto ripercussioni sulla cura dei pazienti.

Le cause principali sono negligenza dei dipendenti (35%), abuso di accessi privilegiati (25%) e invio di dati sensibili al destinatario sbagliato (25%). Errori umani, tutti potenzialmente prevenibili.

Parallelamente, la migrazione verso il cloud, sebbene fondamentale per l’innovazione, apre nuove porte ai criminali informatici.

Il 75% delle organizzazioni ha già spostato, o pianifica di farlo, le applicazioni cliniche nel cloud. Questo ambiente, però, è diventato il bersaglio principale, con strumenti di collaborazione quotidiana come messaggistica di testo (59%), videoconferenze (54%) ed email (45%) che si trasformano in punti di ingresso per gli attaccanti.

La cyber security è la sicurezza del paziente: gli ostacoli

Di fronte a questo scenario, ecco cosa impedisce alle organizzazioni sanitarie di difendersi efficacemente.

I budget per la sicurezza sono in aumento, ma il problema non è solo economico. Il nostro studio rivela che le barriere principali sono la mancanza di competenze interne (43%) e l’assenza di una leadership chiara (40%).

Il messaggio che emerge dal nostro report 2025 è uno solo e non può essere ignorato: la cyber security è la sicurezza del paziente.

È tempo il momento di considerare la cyber security come una priorità sanitaria, componente essenziale delle cure del paziente.

Oggi, salvaguardare i dati significa, letteralmente, proteggere delle vite. Le organizzazioni sanitarie devono adottare un approccio alla sicurezza che sia prima di tutto focalizzato sull’individuo, investendo non solo in tecnologie, ma anche in cultura, formazione e leadership, per difendere non solo i sistemi, ma la continuità e la qualità delle cure che forniscono.