Perché gli hacker puntano sulle cartelle cliniche: rischi, impatti clinici e costi della cybersecurity in sanità
La sicurezza informatica in sanità incide direttamente sulla continuità delle cure, sulla riservatezza delle informazioni cliniche e sulla capacità operativa di ospedali e servizi sanitari. L’aumento di ransomware, furti di dati e modelli di attacco "a servizio", insieme alla crescita di e-health, cloud e telemedicina, sta ampliando la superficie esposta e rendendo ogni incidente più complesso e oneroso da gestire.
La sanità è tra i settori colpiti con maggiore successo dagli attacchi informatici: episodi recenti hanno già determinato cancellazioni di interventi, blocchi dei sistemi e pubblicazione di dati sensibili. In Europa sono stati segnalati casi con sospensione di attività chirurgiche e visite, fino alla diffusione online di grandi volumi di dati sottratti a strutture ospedaliere. Anche nel Regno Unito un attacco ha imposto una riprogrammazione massiva di interventi e attività ambulatoriali. In questo scenario, l’Agenzia europea per la cybersicurezza (ENISA) colloca l’intero comparto sanitario – dall’industria farmaceutica agli ospedali – tra quelli più vulnerabili.
Le rilevazioni di Microsoft mostrano come la pressione sia aumentata rapidamente: in un arco di mesi, tra fine 2022 e inizio 2023, gli attacchi giornalieri verso organizzazioni sanitarie sono cresciuti in modo marcato, coinvolgendo ospedali, assicurazioni e servizi di assistenza, oltre alle scienze della vita. La spinta non è solo quantitativa: cambia anche la natura delle minacce.
Sul piano delle motivazioni prevale il fine economico, con una quota ampia di incidenti legati al ricatto; accanto a questo, persistono iniziative con matrice ideologica o con supporto statale e una componente di eventi dovuti a errori non intenzionali. Un aspetto critico riguarda la filiera: spesso i dati clinici non vengono sottratti direttamente alle strutture, ma attraverso terze parti, sfruttando catene di accesso e vulnerabilità nei fornitori di servizi. Le tecniche più ricorrenti includono ingegneria sociale, uso di credenziali rubate e sfruttamento di vulnerabilità note non corrette.
Il ransomware si è industrializzato. Nel dark web è ampiamente disponibile il modello "ransomware-as-a-service", che abbassa la barriera d’ingresso e consente anche ad attori meno esperti di colpire infrastrutture sanitarie. In questo contesto alcuni gruppi risultano particolarmente attivi nel settore: tra quelli indicati per il 2024 compaiono LockBit, ALPHV/BlackCat e BianLian. Negli Stati Uniti, l’attacco del febbraio 2024 a Change Healthcare – società che gestisce un volume enorme di transazioni sanitarie – è descritto come il più grande episodio nella storia del comparto, con accesso a una quota rilevante di cartelle cliniche. Anche quando le forze dell’ordine intervengono, la resilienza operativa di questi gruppi rimane elevata: la capacità di riorganizzarsi e tornare ad agire rende difficile neutralizzarli in modo duraturo.
Altri episodi evidenziano l’impatto operativo e clinico: l’attacco ad Ascension Health ha comportato il blocco prolungato dei sistemi informativi, inclusa la cartella clinica elettronica, e una violazione dati su milioni di persone; nel Regno Unito, un attacco a un fornitore di diagnostica e patologia del sangue ha determinato interruzioni rilevanti, con ricadute su interventi chirurgici e procedure di trapianto. L’evoluzione dei gruppi include anche modelli di "doppia estorsione", in cui alla cifratura si affianca la minaccia di pubblicazione dei dati in caso di mancato pagamento.
La trasformazione digitale della sanità, pur essenziale, introduce nuove fragilità. Televisite, teleconsulti, prenotazioni, prescrizioni e refertazione si svolgono online; aumentano il monitoraggio a distanza e le misurazioni in cloud; l’assistenza diventa una rete distribuita di sedi e connessioni tra reti domestiche, aziendali, ospedaliere, laboratori e professionisti. In questo contesto crescono interdipendenze non previste, debolezze di sicurezza, dipendenza dalle competenze dei fornitori, vulnerabilità legate ai fattori umani e disallineamenti tra cicli di vita di software e hardware. Inoltre, anche quando le organizzazioni sono preparate, nessun sistema può considerarsi completamente protetto contro attori sofisticati, inclusi quelli addestrati o sostenuti da stati. Il ripristino, quando avviene, può richiedere tempi lunghi: oltre un mese in media per recuperare dati e funzionalità.
Sul fronte economico, l’impatto di un incidente va ben oltre il pagamento del riscatto e i costi tecnici di ripristino. Entrano in gioco dati compromessi, tempi di inattività, perdita di attività, obblighi di notifica, sanzioni legate alla conformità, danno reputazionale, spese legali, tempi di scoperta e gestione interna dell’emergenza. I dati 2025 (gennaio–settembre) indicano un aumento degli attacchi con richiesta di riscatto in sanità rispetto all’anno precedente, con un uso crescente di intelligenza artificiale: il numero complessivo di episodi può restare stabile, ma la loro pericolosità aumenta. La distribuzione geografica vede gli Stati Uniti al primo posto, seguiti dall’Europa, che risulta anche l’area con incremento più marcato.
Le richieste economiche vengono spesso calibrate per risultare "pagabili", con valori che variano in funzione di settore e dimensione dell’organizzazione. Sul piano delle conseguenze legali e regolatorie, esempi extra-sanitari come Equifax mostrano l’ordine di grandezza delle riparazioni economiche in caso di violazioni massive, mentre in ambito sanitario il caso Episource evidenzia quanto sia appetibile colpire fornitori che trattano o aggregano dati per arrivare a informazioni cliniche protette.
Anche le stime di IBM indicano che il costo medio di una violazione è elevato e, nella sanità, tende a essere significativamente più alto rispetto alla media. L’AI interviene in entrambe le direzioni: può accelerare attività come il phishing, riducendo drasticamente i tempi di preparazione, ma viene anche proposta come supporto alla difesa. Tuttavia, l’andamento dei costi in alcune aree, in particolare negli Stati Uniti, invita a prudenza rispetto a una lettura troppo ottimistica dell’AI come soluzione "automatica".
Sul versante delle risposte istituzionali, in Europa è stato avviato un piano d’azione orientato alla creazione di un centro di supporto per ospedali e servizi sanitari, con ENISA come riferimento, puntando su collaborazione, formazione e condivisione strutturata delle esperienze. Permangono però dubbi su autorevolezza e risorse disponibili per sostenere questi compiti. Negli Stati Uniti sono presenti iniziative legislative e strumenti operativi (HICP 2023, guida per mettere in sicurezza telemedicina e teleassistenza in allineamento a framework di standardizzazione, e regole HIPAA). Un audit del Dipartimento della salute ha però evidenziato criticità nei controlli e nelle sanzioni affidati all’ufficio competente, anche per carenza di fondi e personale, con periodi in cui non sono stati condotti audit nonostante l’aumento dei reclami e delle violazioni di grandi dimensioni.
In una logica più preventiva, viene richiamato anche uno strumento dell’Organizzazione Mondiale della Sanità per valutare la maturità e rafforzare i sistemi informativi digitali in sanità. L’obiettivo è offrire alle organizzazioni un percorso di autovalutazione e miglioramento, riducendo il divario tra livello reale di sicurezza e obiettivi raggiungibili, con un approccio pratico e sostenibile.
Gli attacchi informatici in sanità non sono più eventi eccezionali: sono una minaccia sistemica che può interrompere l’assistenza, esporre dati clinici e generare costi estesi e duraturi. La digitalizzazione, pur necessaria, amplia i punti di vulnerabilità e rende indispensabile una strategia che unisca governance, collaborazione con l’industria, formazione, controlli efficaci e strumenti pratici di autovalutazione. In questo quadro, la cybersicurezza diventa una componente essenziale della qualità e della sicurezza delle cure, non un capitolo tecnico separato.
Fonte: Agenda Digitale. Leggi qui l’articolo originale.