È la notte del 28 gennaio 2024, gli ospedali della Basilicata subiscono un attacco informatico senza precedenti. L’Azienda Ospedaliera Regionale “San Carlo” di Potenza, l’Azienda Sanitaria di Potenza, l’IRCCS CROB e l’Azienda sanitaria di Matera si ritrovano improvvisamente isolati: l’accesso a Internet e alla posta elettronica aziendale è bloccato, i sistemi informatici compromessi e il rischio per la salute dei pazienti reale.
L’attacco, attribuito alla cybergang Rhysida, è uno dei tanti che fa comprendere la vulnerabilità del settore sanitario e il danno potenziale che da attacchi come questo possono derivare.
Indice degli argomenti
Cybersicurezza in sanità: le dimensioni del fenomeno
Secondo il Rapporto Clusit 2025, presentato di recente in occasione del Security Summit di Milano, nel solo 2024 si sono registrati 810 attacchi informatici di pubblico dominio nel settore sanitario a livello globale, con un aumento del 30% rispetto all’anno precedente. La media arriva a 68 incidenti al mese (contro i 52 del 2023), con gennaio, febbraio e maggio tra i mesi più attivi, a differenza dei mesi estivi e di dicembre dove le attività malevole sono inferiori.
Il cybercrime è il movente principale di questi attacchi, che vedono il ransomware come strumento più utilizzato. Gli hacker criptano i dati sanitari e chiedono un riscatto per sbloccarli, causando interruzioni nei servizi e mettendo a rischio la vita delle persone. Oltre al danno economico, c’è un impatto diretto sulla salute dei pazienti: la violazione dell’integrità dei dati medici può portare a diagnosi errate o a ritardi nelle cure. Solo una manciata nel 2024 (4 in totale) gli attacchi derivanti da attività di hacktivism e di cyber espionage.
Vulnerabilità del settore sanitario agli attacchi informatici
I dati sanitari sono un bottino prezioso nel dark web. Come sottolineato di recente da Nunzia Ciardi, vice direttrice generale dell’Agenzia per la Cybersicurezza Nazionale, “I dati sanitari sono una materia prima preziosa per commettere reati come frodi e ricatti. Una cartella clinica può valere tra i 300 e i 1.000 dollari, mentre una carta di credito arriva a 30 dollari. Questo dà l’idea di quanto siano delicate queste informazioni, che includono dati finanziari, codici fiscali e dettagli intimi sulle patologie delle persone”. A spingere gli attacchi in questo settore, inoltre, contribuisce il fatto che nei sistemi sono presenti – in alcuni casi da anni – vulnerabilità mai sistemate che consentono un facile accesso agli attaccanti. Tra queste, per citarne alcune, l’obsolescenza software e hardware, una gestione decentralizzata della sicurezza, una ancora carente formazione del personale e un perimetro di difesa sempre più ampio per la presenza sempre più massiccia di dispositivi medici connessi.
La cybersicurezza in sanità in Italia e nel mondo
Il settore sanitario maggiormente colpito è nel continente americano (78% degli attacchi, in lieve diminuzione rispetto all’80% del 2023), mentre aumentano le vittime in Europa (14% dal 12%) e in Asia (5% dal 4%). Oceania (2%) e Africa (1%) vengono interessate in misura minore e restano stabili.
Nonostante un lieve calo rispetto al 2023, l’Italia ha registrato 13 attacchi informatici gravi (erano 15 nel 2023). Le tecniche di attacco confermano il ricorso al malware (54% dei cyber incidenti dell’anno), nello specifico ransomware, che si dimostra ormai lo strumento prediletto e maggiormente affidabile (dal punto di vista cybercriminale) per arrecare danni alle strutture sanitarie nazionali. Cresce il pericolo legato agli attacchi alla supply chain (+31%), ossia intrusioni che sfruttano vulnerabilità nei fornitori di servizi IT e software. Ne è un esempio, per il nostro Paese, l’attacco cyber all’Azienda Sanitaria Locale di Potenza che, a inizio 2024, insieme ad altri ospedali e alla stessa Regione fa rivelare, come scritto nel comunicato ufficiale, “una intrusione illecita in un computer di differente Azienda Sanitaria Regionale che si è diffusa verso altri Enti del SSR, le cui reti informatiche sono necessariamente comunicanti per la gestione di alcuni applicativi”.
Se si vanno ad analizzare gli impatti degli attacchi, si nota come la severity degli incidenti resta il fattore più preoccupante: nel 2024, infatti, il 100% degli incidenti subiti dal settore sanitario nazionale ha avuto impatti gravi (62%) o gravissimi (38%), mentre l’anno precedente la stessa quota si attestava sul 93%. Spariscono invece del tutto gli impatti medi, che in passato avevano fatto registrare qualche eccezione (7% degli incidenti nel 2023).
Strategie di cybersicurezza in sanità
L’entrata in vigore della direttiva europea NIS2 impone standard più elevati di sicurezza per le infrastrutture critiche, tra le quali figura chiaramente la sanità. L’Intelligenza Artificiale può già adesso supportare le organizzazioni sanitarie nel raggiungimento degli obiettivi di sicurezza imposti dalla NIS2: gli strumenti di AI avanzata, applicati alla threat intelligence, consentono infatti di identificare e neutralizzare minacce in tempo reale, riducendo i tempi di risposta agli attacchi e migliorando la capacità di prevenzione. Tuttavia, il crescente utilizzo dell’AI introduce anche nuove sfide, tra cui la necessità di garantire la trasparenza e l’affidabilità degli algoritmi, evitando decisioni errate o discriminazioni nei sistemi automatizzati di cybersecurity.
In un panorama normativo e tecnologico in rapida evoluzione, le strutture sanitarie devono adottare un approccio integrato alla sicurezza IT, coniugando le richieste della NIS2 con le esigenze di conformità all’AI Act e agli standard internazionali come la ISO/IEC 27001. L’implementazione di sistemi di gestione multicompliance e di strumenti di compliance automation può facilitare questo percorso, riducendo i costi operativi e rafforzando la sicurezza dell’intero ecosistema digitale sanitario.
Cybersicurezza sanitaria e supply chain
Per ridurre il rischio legato alla supply chain, ovvero la possibilità che attaccando anche solo un piccolo fornitore di servizi si possa arrivare ad avere un impatto significativo su una struttura sanitaria, è opportuno adottare alcune delle contromisure che fanno parte (o dovrebbero far parte) dei piani di sicurezza “standard” delle aziende:
- operare in modo che sia garantita la continuità operativa durante un attacco, individuando i punti critici che potrebbero generare impatti a cascata;
- includere la sicurezza dei fornitori terzi nelle analisi del rischio aziendale e nelle esercitazioni pratiche;
- avere fornitori alternativi, in modo da non dipendere da una sola fonte per forniture salvavita;
- monitorare adeguatamente la sicurezza dei fornitori attraverso audit periodici e controllare l’eventuale catena dei subappalti;
- attivare forme di monitoraggio proattive, per esempio basate su AI o utilizzare la Threat Intelligence per identificare e prevenire attacchi noti.
Soluzioni semplici non sono possibili, ma una riflessione circa la necessità di affrontare in modo strategico e urgente il tema Cybersicurezza è sicuramente necessaria, in particolare per la sanità pubblica.
