Immaginiamo, per un momento, di entrare in un ospedale per un’emergenza e scoprire che tutti i sistemi informatici sono bloccati. Le cartelle cliniche inaccessibili, i macchinari di diagnostica fuori uso, le sale operatorie paralizzate. Non è fantascienza: è la realtà quotidiana di centinaia di strutture sanitarie nel mondo, vittime di un fenomeno in crescita esponenziale che sta rivoluzionando il concetto stesso di criminalità.
Indice degli argomenti
Cybersecurity in Sanità: un quadro allarmante
Il settore sanitario è diventato il bersaglio d’oro per i cybercriminali. E non è difficile capire perché: ogni paziente rappresenta un tesoro di informazioni personali, dalla storia clinica ai dati finanziari, dalle prescrizioni farmacologiche ai codici fiscali. Un dossier completo che sul dark web può valere fino a 50 volteun semplice numero di carta di credito.
Inoltre, gli ospedali gestiscono dati sensibilissimi, operano in situazioni di emergenza in cui ogni secondo conta e, spesso, dispongono di sistemi di sicurezza informatica inadeguati rispetto ad altri settori.
Il ransomware è l’arma preferita dei cyber criminali: un software malevolo che cripta tutti i dati dell’ospedale e richiede un riscatto per ripristinarli. Mentre in una banca un attacco può comportare perdite economiche, in un ospedale può comportare vite umane a rischio. I cybercriminali lo sanno bene, e questa consapevolezza rende il ricatto ancora più efferato.
A dimostrazione dell’interesse suscitato nel mondo criminale per il settore sanitario, ci sono i numeri. Secondo il Rapporto Clusit 2025, solo nel 2024, a livello globale, si sono registrati 810 cyberattacchi nel comparto Healthcare, in aumento del 30% rispetto all’anno precedente.
In Italia, da gennaio 2023, si sono registrati in media 3,5 attacchi informatici al mese contro strutture sanitarie, la metà dei quali è sfociata in incidenti gravi.
Secondo quanto riportato sul sito dell’Agenzia per la cybersicurezza nazionale, nel periodo 2023-2024 il numero di eventi cyber nel settore sanitario è aumentato drasticamente, con un incremento del 111%, passando da 27 nel 2023 a 57 nel 2024.
Cosa rischiano gli ospedali vittime di attacchi
Le conseguenze sono state molte volte disastrose: strutture costrette a dirottare ambulanze, interventi chirurgici rinviati, laboratori di analisi fermi per settimane. In alcuni casi, gli hacker hanno persino minacciato di pubblicare online le cartelle cliniche di pazienti oncologici o con patologie psichiatriche, aggiungendo l’estorsione emotiva a quella economica.
Il danno economico diretto è solo la punta dell’iceberg. Quando un ospedale viene attaccato, gli effetti si propagano come onde sismiche: la fiducia dei pazienti crolla, il personale lavora in condizioni di stress estremo con sistemi di cartacei di fortuna, la qualità dell’assistenza diminuisce drasticamente.
Uno studio di pochi anni fa ha rilevato un aumento della mortalità negli ospedali colpiti da cyberattacchi nei mesi successivi all’incidente. E non è difficile immaginarlo: i tempi di attesa si allungano, le diagnosi richiedono più tempo, gli errori medici aumentano. E poi c’è il trauma psicologico dei pazienti che scoprono che le loro informazioni più intime sono state messe in vendita sul dark web.
Ma chi sono i criminali informatici della Sanità?
L’immagine stereotipata dell’hacker solitario in un seminterrato buio va sicuramente accantonata. Le organizzazioni criminali che attaccano il settore sanitario sono strutturate come vere e proprie multinazionali del crimine: dispongono di uffici HR, customer service per le vittime, programmatori specializzati e, persino, di recensioni sulla qualità del loro “servizio” di decrittazione.
Parliamo di organizzazioni transnazionali di carattere criminale, collegate alle mafie, che poi gestiscono anche il traffico di droga, armi o esseri umani.
Operano principalmente dall’Europa dell’Est e dall’Asia, protetti da giurisdizioni compiacenti. Offrono il “ransomware-as-a-service“, affittando i loro strumenti a criminali meno esperti in cambio di una percentuale sui riscatti.
È un’industria che fattura miliardi di dollari, con margini di profitto che farebbero invidia alle Big Tech.
Cybersecurity violata: il fattore umano è la causa principale
Proteggere un ospedale moderno è una sfida titanica. Ogni dispositivo connesso – dai monitor cardiaci alle pompe per infusione, dai sistemi di imaging alle cartelle cliniche elettroniche – rappresenta una potenziale porta d’ingresso per gli attaccanti. E, mentre i criminali devono individuare una sola vulnerabilità, i difensori devono proteggere migliaia di punti di accesso.
Anche perché, come ci dicono le stime più recenti, tra il 75% e il 90% degli attacchi informatici riusciti sfruttano il fattore umano come vettore d’ingresso. Un’infermiera che clicca su un link contenuto in un’email apparentemente legittima, un medico che utilizza password deboli, un amministrativo che crede a una videochiamata deepfake del direttore sanitario: bastano pochi secondi di distrazione per aprire le porte al caos. Il problema è amplificato dalla natura stessa del lavoro sanitario. Medici e infermieri operano in ambienti ad alto stress, con ritmi serrati e interruzioni continue.
In Sanità, proteggere i sistemi informatici significa salvare vite
È importante sottolineare che il cybercrime sanitario non è soltanto un problema tecnico: è una questione di salute pubblica. Ogni dato rubato, ogni sistema bloccato, ogni giorno di inattività, hanno conseguenze reali su persone reali. In un’epoca in cui la Medicina si fa sempre più digitale, proteggere i sistemi informatici significa letteralmente salvare vite.
La soluzione, dunque, non può essere solo tecnologica. Serve un cambio di mentalità radicale: formazione continua del personale, investimenti massicci in cybersecurity, collaborazione internazionale tra le forze dell’ordine, regolamentazioni più stringenti.
NIS2: quando la sicurezza diventa obbligo di legge
Proprio a questa transizione culturale punta la direttiva europea NIS2, recentemente entrata in vigore, che ha cambiato radicalmente lo scenario: la sicurezza informatica, inclusa la dimensione umana, è diventata un obbligo legale con sanzioni pesanti per chi non si adegua.
La nuova direttiva include esplicitamente il settore sanitario tra i settori “essenziali” che devono conformarsi a rigorosi standard di sicurezza. Per le strutture sanitarie, questo significa implementare misure di gestione del rischio, piani di business continuity e procedure di incident response. Ma, soprattutto, la direttiva prevede esplicitamente obblighi di formazione continua del personale in materia di cybersecurity e di responsabilizzazione dei vertici aziendali.
Le sanzioni sono tutt’altro che simboliche: per le violazioni più gravi, nei settori definiti essenziali, le multe possono arrivare fino a 10 milioni di euro o fino al 2% del fatturato globale annuo.
Oltre alle penalità economiche, c’è il rischio reputazionale: nella Sanità, dove la fiducia è tutto, una grave violazione può compromettere irreparabilmente il rapporto con i pazienti.
La NIS 2, riconoscendo il fattore umano come elemento cruciale nella cybersecurity sanitaria e il ruolo fondamentale della consapevolezza umana nella difesa contro gli attacchi cibernetici, pone enfasi sulla formazione continua del personale, puntando a trasformare il fattore umano da elemento debole della catena di sicurezza a principale risorsa difensiva.
Come? Riconoscendo un’e-mail di phishing e fermandola in tempo, gestendo correttamente le password, identificando un deepfake, sapendo quando segnalare anomalie, comprendendo che la sicurezza informatica è una responsabilità condivisa da tutti e trasformando l’ambiente di lavoro in un luogo in cui la sicurezza è valorizzata e l’errore diventa occasione di miglioramento collettivo.
Risultati che si costruiscono soltanto attraverso un percorso di formazione continua ed esperienziale, basato su simulazioni realistiche: falsi attacchi phishing per testare la reattività del personale, esercitazioni di riconoscimento di deepfake, scenari pratici contestualizzati nel quotidiano ospedaliero. Ma anche attraverso il divertimento. Alcune strutture, ad esempio, stanno sperimentando la gamification, trasformando la formazione in un’esperienza più coinvolgente attraverso sfide e competizioni tra reparti.
Cybersecurity in Sanità: il tempo di agire è adesso
La NIS 2 ci pone di fronte a una scelta che non è più rimandabile: possiamo vedere gli obblighi normativi come un peso burocratico, oppure come l’occasione per ripensare strutturalmente il nostro approccio alla sicurezza. Costruire un vero layer umano di sicurezza richiede investimenti, tempo, impegno collettivo. Ma non farlo ha un costo ben più alto, che si misura non solo in euro di sanzioni o danni, ma anche in vite umane e in fiducia perduta.
Allora la vera domanda è: siamo disposti a investire nella sicurezza informatica in Sanità con la stessa motivazione con cui investiamo in nuove tecnologie mediche?
Perché, nel mondo connesso di oggi, un ospedale senza adeguate difese digitali è vulnerabile quanto uno senza generatori di emergenza o uscite di sicurezza.
La cybersecurity non è un lusso: è il prerequisito fondamentale per una sanità moderna ed efficace. E il tempo per agire è adesso.
