In un’epoca segnata dall’acuirsi delle fragilità sociali e dalla pervasività del digitale, le Comunità terapeutiche per minori (CTM) si trovano ad affrontare non solo la cronica carenza di risorse, ma anche un pericolo invisibile: la minaccia cyber. Queste realtà, che accolgono soggetti in situazioni di allontanamento temporaneo dalla famiglia, sono oggi definite dagli esperti come l’incarnazione perfetta di “soft target” – obiettivi considerati un facile bersaglio dai cybercriminali – nel settore sociosanitario italiano, a causa delle risorse limitate e della scarsa percezione della minaccia informatica.

L’intersezione tra la vulnerabilità dei minorenni accolti e la fragilità dei sistemi digitali sanitari solleva preoccupazioni acute: i dati psichiatrici e clinici dei minori – che includono storia clinica, traumi e vulnerabilità psicologiche – hanno infatti un valore economico altissimo nel mercato criminale, aumentando la vulnerabilità dei ragazzi e delle ragazze a sfruttamento e abuso, ricattabilità e compromissione della privacy.

Dati sensibili e ricatto  digitale: il dilemma della cybersicurezza nei CTM

Secondo quanto riporta il 12° rapporto del Gruppo di lavoro per la Convenzione sui diritti dell’Infanzia e dell’Adolescenza, in Italia ci sono circa 70 CTM distribuiti sul territorio nazionale (con l’eccezione di Friuli-Venezia Giulia, Molise, Basilicata e Calabria). Queste strutture, che faticano a soddisfare una domanda in continuo aumento, sono chiamate a gestire minorenni sempre più segnati da molteplici problematicità e da disagio psichico, un deterioramento serio della condizione giovanile che fatica a diventare una priorità nell’agenda politica.

I CTM, oltre a dover affrontare difficili e cruciali sfide cliniche – e a fare i conti . con una preoccupante carenza di personale sanitario specializzato, come neuropsichiatri, psicologi ed educatori – si trovano così di fronte alla cruciale e inattesa sfida della sicurezza digitale. Walter Pisci, direttore clinico della comunità Inus, ha fornito una fotografia dettagliata delle difficoltà che queste piccole e medie imprese incontrano nel proteggere i dati sensibili dei minori.

Pisci ha sottolineato come la figura di un esperto di cybersicurezza sarebbe “utile e necessaria” all’interno di una comunità terapeutica. Ma c’è un problema, che Pisci riassume così: “Chi paga l’esperto?”. La gestione del bilancio, già focalizzata sulle figure professionali cliniche e terapeutiche richieste dai requisiti regionali (medici, psicologi, infermieri, educatori), non è in grado di assorbire facilmente questi costi aggiuntivi.

I costi per adeguarsi alla normativa europea GDPR, che regolamenta la gestione dei dati sensibili, non sono computati nel calcolo della retta giornaliera, ma sono extra. “La comunità paga da 4 a 5mila euro ogni anno solo per l’adeguamento alla normativa GDPR con formazione specifica e consulenze tecnico-informatiche legate alla protezione dei dati, escluse le spese di manutenzione ordinaria”.

Nel frattempo, l’ombra delle minacce informatiche è sempre dietro l’angolo: “Cinque anni fa abbiamo subito un grave attacco informatico”, spiega Pisci. “Un software malevolo aveva permesso un accesso esterno e la cifratura di tutti i dati contenuti nelle cartelle condivise”. Tra questi dati erano presenti informazioni sensibili dei pazienti. “È stato chiesto un riscatto di 50mila euro in Bitcoin”, ricorda Pisci. I cybercriminali non erano riusciti ad acquisire i dati, ma solo a criptarli nel sistema. Grazie alla denuncia al DPO (Data Protection Officer) e all’uso dei backup, i dati sono stati poi recuperati.

A seguito di questo evento, la procedura di sicurezza è cambiata. La comunità ha abbandonato il NAS, giudicato più esposto, Tuttavia, ha anche deciso di  portare tutti i dati su piattaforme cloud esterne private, affidandoli ai sistemi di grandi multinazionali. Questa soluzione, che richiede comunque attenzione nella gestione e protezione dei dati, viene utilizzata con successo da cinque anni.

L’allarme rosso delle comunità “soft target”

Secondo gli ultimi dati dell’Agenzia per la Cybersicurezza Nazionale, tra gennaio e settembre di quest’anno il settore sanitario ha registrato un +40% di attacchi cyber rispetto al 2024. “E le comunità terapeutiche per minori sono tra quelle maggiormente a rischio, perché incarnano perfettamente il profilo di soft target nel settore sociosanitario italiano”, spiega l’esperto di sicurezza Pierluigi Paganini. “Sono piccole strutture con risorse limitate, spesso prive di presidi cyber basilari e soprattutto con scarsa percezione della minaccia informatica”. 

In queste strutture, le vulnerabilità tipiche includono l’assenza di reti segmentate (che aumentano la sicurezza della rete suddividendola in reti minori), software obsoleti, assenza di soluzioni di sicurezza, mancanza di un sistema di registrazione centralizzato e soprattutto nessuna formazione per il personale socioeducativo.

Tra le misure minime e urgenti che possono proteggere le comunità ci sono la cifratura dei dati archiviati (at-rest, ovvero database, file e dispositivi portatili come hard disk o chiavette USB) e dei dati in transito (tramite protocolli sicuri come HTTPS, SFTP o reti VPN), l’adozione di backup cifrati e separati dalla rete principale (regolarmente testati per il ripristino), la gestione degli accessi tramite l’autenticazione multi-fattore e il principio di least privilege.

È poi necessario utilizzare software di sicurezza, mantenere aggiornati software ed applicazioni ed eseguire revisioni periodiche con verifica delle procedure, oltre a implementare politiche per la gestione dei sistemi di sicurezza delle informazioni e lavorando sulla formazione del personale, organizzando simulazioni di crisi in un ambiente controllato, senza impatto reale sui sistemi.

L’importanza del fattore umano

Secondo Emanuela Urban, Head of ICT Project & Function della società di consulenza informatica Ipsoft, la vulnerabilità più significativa in queste strutture è rappresentata proprio dal fattore umano. Gran parte del rischio deriva da un utilizzo talvolta inconsapevole degli strumenti di servizio. La poca consapevolezza degli operatori è la causa scatenante di molte frodi informatiche, come il banale errore di cliccare su un link malevolo ricevuto via email, che può portare alla diffusione di dati sensibili.

“È fondamentale che le aziende e i gruppi di lavoro sottolineino la necessità di una maggiore consapevolezza per il trattamento dei dati”, spiega Urban, che aggiunge un secondo fattore: l’anzianità degli strumenti utilizzati. “Il ritardo nell’evoluzione tecnologica, che impedisce la messa in sicurezza necessaria, è spesso attribuibile alla difficoltà di sostenere economicamente le operazioni di ammodernamento”.

Secondo Urban, sono due le tipologie di attacchi informatici che mettono maggiormente a rischio i dati sensibili: il furto di credenziali, che costituisce la base da cui gli aggressori possono avviare l’escalation per accedere ai dati, e la sicurezza dei sistemi perimetrali: “Se questi sistemi non sono ben mantenuti, non sono presidiati in modo efficace o non dispongono di policy chiare e aggiornate diventano importanti vie di accesso per intromissioni esterne”.

Per aumentare il livello di sicurezza, Urban evidenzia la necessità di un approccio su più fronti. Il primo è la formazione operativa e la consapevolezza: l’operatore deve essere cosciente del rischio potenziale anche quando i sistemi automatici non hanno ancora tracciato una minaccia, come un link non verificato. Intervenire con l’informazione può prevenire azioni rischiose, come cliccare su mittenti o contenuti sospetti.

Il secondo approccio riguarda l’adozione di strumenti che aiutino ad arginare gli attacchi alla base, in particolare contro il furto di credenziali. Terzo fattore, il supporto legislativo e l’audit: le istituzioni dovrebbero supportare le strutture sanitarie medio-piccole per contrastare gli attacchi informatici. In questo contesto, l’ACN svolge un ruolo informativo tramite newsletter e comunicazioni sul potenziale rischio o sulle violazioni in corso relative a specifici strumenti. Infine, Urban sottolinea l’importanza di investire in strumenti di sicurezza ma, soprattutto, nell’aumento della consapevolezza degli operatori: “Questo non rappresenta per l’azienda un costo, ma un vantaggio competitivo”.