Un attacco criminale contro un’azienda che produce software per la gestione di studi medici si è trasformato nella violazione dei dati di almeno 11 milioni di cittadini francesi. Una ferita inferta al settore sanitario che ricade sulle spalle delle persone.

Notizia che ha destato scalpore al di là delle Alpi e che ha avuto eco anche in Italia. Ciò spinge a chiedersi cosa ha reso possibile questa violazione e se un simile episodio si può verificare anche alle nostre latitudini.

Quando le violazioni riguardano il vasto mondo della Sanità è opportuno ammettere che in mano agli attaccanti finiscono dati tanto sensibili da coinvolgere – fosse solo in ottica futura – anche chi è in piena salute e fa ricorso saltuario alle strutture sanitarie del Paese.

Non è un caso che la conformità normativa a cui devono sottostare le informazioni sanitarie è particolareggiata e stringente.

Prima di esaminare i rischi che corre la Sanità italiana, al fine di contestualizzare il quadro, è opportuno ritagliare un po’ di spazio da dedicare alla suscettibilità dei dati sanitari.

Il settore sanitario e l’importanza dei dati

I dati sanitari non sono semplici informazioni personali: sono una forma di conoscenza intima sulla vulnerabilità biologica e psicologica di una persona. Una diagnosi, una terapia, una predisposizione genetica o una fragilità mentale non descrivono solo ciò che qualcuno “ha”, ma ciò che qualcuno “è” o potrebbe diventare nel tempo.

Per questo il diritto europeo colloca le informazioni sanitarie tra le categorie più protette di dati personali: possono rivelare aspetti profondamente privati della vita e, se esposti, generare discriminazione, stigma sociale o ricatto economico e assicurativo.

In termini etici, i dati sanitari incarnano il punto in cui la dignità della persona incontra il potere della conoscenza: chi li possiede ha accesso non solo alla storia clinica di un individuo, ma anche alla mappa delle sue fragilità. È per questa ragione che il GDPR li considera “categorie particolari di dati” soggette a tutela rafforzata e che l’intero ecosistema della sanità digitale – cartelle cliniche, app mediche, piattaforme di ricerca – richiede livelli di protezione e governance molto più elevati rispetto ai dati ordinari.

La protezione dei dati sanitari non è quindi solo una questione tecnica di cyber security e va anche al di là della privacy propriamente detta. È questione di libertà individuale: riguarda il diritto delle persone a non essere ridotte alla propria malattia o al proprio rischio biologico.

Inoltre, per cristallizzare il senso di quanto scritto fino a qui, una cartella clinica è una fonte di guadagno. Sul dark web può costare fino a 1.000 euro.

La Sanità è sotto attacco ovunque, anche in Italia

A livello globale, il settore sanitario è uno dei bersagli più ambiti dai criminal hacker. L’Italia non fa eccezione, come del resto evidenzia il rapporto La minaccia cybernetica al settore sanitario curato dall’Agenzia per la Cybersicurezza nazionale (ACN) che esamina il periodo tra il mese di gennaio del 2023 e il mese di dicembre 2025.

Nel rapporto, oltre a cifre e statistiche, sono contenute anche raccomandazioni utili a contrastare le minacce che diventano sempre più terreno del contendere geopolitico.

Alle nostre latitudini sono stati censiti 4,7 eventi cyber al mese la metà dei quali han avuto impatti reali sulla disponibilità dei servizi o sulla riservatezza dei dati dei pazienti.

Nel 2024 gli eventi cyber sono più che raddoppiati rispetto al 2023 (+111%) e, cosa sulla quale è opportuno riflettere, il 96% di questi è stato confermato come incidente. L’aumento quantitativo degli attacchi fa il paio con l’aumento della complessità delle minacce.

A luglio del 2024 un attacco a un singolo fornitore (che il report ACN non nomina ma che è fresco nella memoria degli addetti ai lavori) ha generato effetti a cascata coinvolgendo 31 soggetti del settore mettendo a nudo le interconnessioni strutturali della Sanità e la relativa debolezza della supply chain, male che attanaglia tutti i settori e non è peculiare della sola Sanità.

Nel 2025, pure a fronte di un ulteriore incremento del 47,4% del numero complessivo di eventi cyber, si è osservata una diminuzione degli incidenti confermati (34 rispetto ai 54 dell’anno precedente). Tuttavia, la natura delle minacce si sta spostando verso attività preparatorie: scansione attiva su credenziali, phishing e compromissione di caselle email sono diventati i vettori prevalenti, spesso finalizzati a successive esfiltrazioni di dati o movimenti laterali all’interno delle reti.

Le pratiche errate e le raccomandazioni ACN

Tra le criticità, in Italia, appaiono soprattutto configurazioni errate e servizi esposti in modo incauto e. Simili posture sono da evitare a prescindere dall’entità dei danni che possono cagionare. Nello specifico, i dati ACN rivelano che le criticità sono da ricondurre a:

• Configurazioni errate (63% circa)
• Dispositivi esposti pubblicamente (26% circa)
• Software obsoleti (11%)

Le cause principali, si legge nel report, sono identificate nella gestione decentralizzata dell’IT, nella carenza di personale dedicato alla cybersecurity e all’obsolescenza dei dispositivi.

Anche nella Sanità si tende a fare spallucce davanti alle best practice, tant’è che – come sottolinea l’ACN – tra le peggiori pratiche rilevate figurano l’assenza di MFA sulle VPN, gestioni perfettibili dei privilegi utente e delle password in generale, politiche di backup inefficaci, reti non segmentate, mancanza di EDR / XDR e assenza di Incident response plan.

Le raccomandazioni dell’ACN

Tra le raccomandazioni, l’ACN raccomanda l’uso di MFA, l’adozione delle politiche least privilege e il management accorto delle patch.

Oltre alla già citata necessità di sistemi EDR / XDR e di piani di risposta agli incidenti, l’Agenzia insiste sulla riduzione delle superfici esposte a internet oltre alla necessità di backup immutabili che, peraltro, sono tra le risposte più efficaci ai ransomware.

L’Italia come la Francia?

Pure non potendo fare previsioni e restando negli ambiti di ciò che è ragionevole pensare con le informazioni di cui disponiamo, con il supporto dell’esperto ICT e socio Clusit Salvatore Lombardo, proviamo a tratteggiare il quadro delle capacità di resilienza della Sanità nostrana.

“Il lavoro dell’ACN sta contribuendo in modo concreto a costruire una maggiore consapevolezza sistemica. Si vedono oggettivamente progressi nella gestione degli incidenti, nella condivisione delle informazioni e nell’adozione di misure minime di sicurezza, segno di un sistema che sta maturando”, spiega l’esperto.

L’aspetto normativo gioca un ruolo di rilievo. Infatti, continua Salvatore Lombardo: “Anche sul piano normativo, l’Italia non è indietro. Tra GDPR e direttiva NIS recepiti a livello nazionale il quadro risulta solido, e il PNRR insieme alla digitalizzazione della sanità sta portando investimenti significativi. Tuttavia, la normativa da sola non riduce automaticamente il rischio”.

Il sistema nel suo insieme dà segni di miglioramento e di crescente consapevolezza, questo è confortante ancorché insufficiente: “Resta, infatti, un punto critico strutturale. La supply chain sanitaria italiana è estremamente articolata.

Non coinvolge solo ospedali e ASL, ma anche software house e laboratori privati. Ogni attore rappresenta un possibile punto di ingresso e, storicamente, proprio i cosiddetti fornitori secondari possono rappresentare l’anello debole. Questo significa che anche organizzazioni ben protette possono essere esposte indirettamente.

In sintesi, sebbene il sistema si stia migliorando e rafforzando, il rischio non è nullo ma resta concreto, soprattutto alla luce della complessità della filiera”, conclude Lombardo.