La scorsa estate, il ministero della Salute è giunto a diramare un’allerta su e-mail fasulle sul Fascicolo sanitario elettronico (FSE), il secondo dell’anno.

Nel frattempo, si sono moltiplicati anche gli attacchi hacker, con segnalazioni che hanno coinvolto Liguria, Sardegna, Toscana, Veneto, oltre a Lazio, Umbria, Marche e Regioni del Mezzogiorno.

Fra il 2022 e il 2023 abbiamo assistito a gravissimi attacchi ransomware a tre Asl di Modena, all’Asl 1 Abruzzo (con pubblicazione di tutti i dati sanitari), in precedenza contro l’Asl di Torino e lo scorso gennaio il cyber attacco contro un fornitore dell’Asl3 ligure che ha messo a rischio i referti medici, finiti nelle mani degli hacker criminali.

“La sicurezza non è un prodotto, ma un processo”, commenta Paolo Campigli, direttore IT Azienda Ospedaliero-Universitaria Careggi Firenze.

“Ransomware, violazioni di dati e interruzioni operative stanno diventando sempre più comuni, mettendo a rischio la sicurezza dei pazienti, le informazioni sensibili e la fiducia dell’opinione pubblica”, conferma Alessio Stellati, Regional Vice President, Italy, Spain & Portugal di Rubrik.

Secondo il quarto report annuale di Proofpoint con il Ponemon Institute, “quasi tre quarti delle organizzazioni sanitarie (che hanno subìto cyber attacchi ransomware, compromissione di cloud e posta elettronica aziendale, attacchi alla supply chain) sono costrette dagli attacchi a interrompere l’assistenza ai pazienti”.

Ecco quali sono in sanità i rischi cyber e come mitigarli.

Gli allarmi in sanità sui rischi cyber

Il primo alert risale ad aprile: a suscitare preoccupazione sono state alcune mail che presentavano l’intestazione del Ministero della Salute, e che riguardavano un “rimborso per importo in eccesso”. Il secondo allarme, di luglio, si riferiva a mail fasulle per immettere dati per non far scadere l’accesso al Fascicolo sanitario elettronico.

Entrambi questi alert testimoniano quanto il settore della sanità sia sotto assedio. In particolare è il numero del Cup, il centralino unico di prenotazione, nel mirino dei truffatori, ma anche di hacker, che intendono sfruttare la fragilità dei pazienti o rubare dati sensibili sanitari, chiedendo comunicazioni urgenti o pagamenti o dati o finti accessi al FSE.

I dati del Clusit

Nel Rapporto del primo semestre 2024 del Clusit, emergeva che gli attacchi alla sanità crescevano dell’83%. A cavallo fra il 2022 e il 2023 gli incidenti sono più che raddoppiati. Sono infatti passati da 304 a 624. Nel 2024 si sono registrati 810 incidenti, con un aumento di circa il 30% rispetto all’anno precedente.

Nei primi mesi del 2025 si è invece assistito a un declino, da interpretare come un rallentamento della crescita e non come un calo degli incidenti. A fare la parte del leone l’anno scorso sono gli attacchi Distributed Denial of Service (DDoS) in forte aumento.

Il fattore umano in sanità fra i principali rischi cyber

Secondo il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2025”, le cause di perdita di dati in sanità sono da imputare al:

• mancato rispetto delle policy da parte dei dipendenti (35%);
• abuso di accessi privilegiati (25%);
• invio non volontario da parte dei dipendenti di informazioni personali sensibili al destinatario errato tramite email (25%).

“Giusto per citare un altro luogo comune – che poi tanto luogo comune non è – si usa spesso dire che nell’ICT il problema sta fra la sedia e la tastiera, con ovvio riferimento all’elemento umano, inteso sia come esperto di cyber security ma anche e soprattutto come utente finale (o “utonto”, come lo chiamiamo spesso noi cattivoni). Questo perché il sistema è utilizzato giornalmente da decine, centinaia, migliaia di colleghi che possono con i loro comportamenti mettere a repentaglio la sicurezza dei dati e la disponibilità degli applicativi (disponibilità, integrità, riservatezza sono le tre stelle polari della sicurezza informatica)”, sottolinea Paolo Campigli.

La fragilità dei sistemi sanitari

“Con la loro sempre maggiore frequenza, questi attacchi hanno evidenziato la fragilità dei sistemi sanitari – italiani, e non solo – di fronte alle minacce informatiche. Tra le conseguenze più evidenti, la conferma che un approccio reattivo alla sicurezza informatica non è più sufficiente. Costruire un futuro resiliente per la sanità digitale richiede un cambiamento radicale nella strategia, il passaggio dalla reazione alla proattività”, avverte Alessio Stellati.

Come mitigare i rischi

La prima regola è che le Asl non chiedono soldi via Sms o mail. Però, la consapevolezza non basta. Infatti, è la NIS2 l’opportunità per il cambio di passo.

La Asl di Napoli 1 Centro, realtà sanitaria di grandi dimensioni e complessa del Sud Italia (conta 100 strutture, circa 18.000 dispositivi biomedici, oltre 2.000 dei quali connessi e impegnati nella gestione di dati clinici critici), ha iniziato una cooperazione con un’azienda specializzata in cyber exposure management, per potenziare l’infrastruttura digitale, assicurando la continuità dei servizi sanitari in un contesto di minacce informatiche in forte crescita.

La priorità è eseguire una mappatura precisa e in real-time di tutti i device connessi alla rete, identificandoli, ma soprattutto segnalando se un dispositivo è attivo o meno, se presenta falle o va aggiornato, se è costantemente connesso o se si connette in maniera intermittente, e se sta generando traffico anomalo.

Il ruolo della Nis2 in sanità per contrastare i rischi cyber

Ma è soprattutto l’introduzione della NIS2 ad andare nella direzione giusta, anche in sanità, per mitigare i rischi cyber. Infatti incentiva ad introdurre la figurta del CISO.

Inoltre, punta a rendere resiliente la catena di approvvigionamento, coinvolgendo anche i fornitori, finora lenti ad adeguarsi agli standard di cyber security.

Infine, la NIS2 abbatte i muri fra l’Ict delle strutture sanitarie e l’ingegneria clinica, finora rimasti come due mondi separati ed ora visti come un’unica organizzazione da mettere in sicurezza.

“La sicurezza non è un prodotto ma un processo. Un processo continuo, quindi, che non si esaurisce con la ‘messa in sicurezza’ di una rete o con la raggiunta compliance con una normativa (NIS2 o altro). Basterebbe poco, in assenza di attenzione, a rendere di nuovo vulnerabile il sistema che fino a ieri sembrava super blindato”, mette in guardia Paolo Campigli che ricorda l’importanza della formazione per mettere in sicurezza i sistemi sanitari.

La formazione

“La ‘redenzione degli utonti’ dipende da una serie di fattori anche culturali: in Italia, purtroppo, le conoscenze e le competenze tecnico informatiche sono considerate di serie B rispetto al sapere umanistico-amministrativo-legale. Basti pensare che gli Istituti tecnici sono regolarmente ultimi nelle scelte delle scuole superiori rispetto ai Licei, sia classici che scientifici. Allora bisogna compensare con la formazione, dando spazio, oltre agli onnipresenti corsi su privacy, sicurezza sul lavoro e anticorruzione, anche ad interventi di consapevolezza informatica, prima che di cyber security. Infatti è impensabile riuscire a condurre con sicurezza un mezzo che non si conosce. E quando si utilizza un PC più o meno come un frullatore, qualche dubbio su tale consapevolezza ci assale”, conclude Paolo Campigli.

Il panorama delle minacce ha subìto notevoli cambiamenti, in particolare nel modo in cui i cyber criminali sfruttano ora l’intelligenza artificiale.

“Attacchi di phishing meglio strutturati, con test blue-green più sofisticati, hanno creato rischi ancora maggiori di compromissione delle identità umane. Nel settore sanitario, molte variabili rimangono costanti: un’ampia varietà di identità cliniche prese di mira, bilanciate da forti requisiti operativi e un’attenzione costante al paziente. La combinazione di questi due fattori ha un effetto aggravante sul rischio. Questa è la cattiva notizia.

Quella buona è che le normative in evoluzione stanno contribuendo a creare maggiori opportunità per investire nella formazione necessaria in tutta la forza lavoro del settore sanitario, al fine di mantenere la vigilanza contro questi tentativi di phishing potenziati”, sottolinea Brandon Traffanstedt, Field CTO, CyberArk

Come l’AI può mettere in sicurezza la sanità

“Allo stesso modo, le soluzioni di sicurezza stanno incorporando intelligenza artificiale operativa per alleggerire il carico – mantenendo gli esseri umani al centro del processo per prendere decisioni non strutturate su dati che sono stati ordinati, organizzati e analizzati.

La notizia ancora migliore è che queste normative e la maturità delle soluzioni di sicurezza potenziate dall’AI continueranno a evolversi positivamente – creando linee guida prescrittive e abbassando la barriera dei costi per l’implementazione delle tecnologie più recenti e avanzate”, conclude Brandon Traffanstedt.