Sebbene il settore ospedaliero non sia l’unico nel mirino degli attori delle minacce, è proprio nelle strutture sanitarie – come ospedali, ambulatori e laboratori – che emerge con particolare chiarezza come i rischi di un attacco informatico vadano ben oltre quelli finanziari. Non sorprende, quindi, che queste strutture siano percepite dai cybercriminali come organizzazioni ad alta probabilità di pagamento di un potenziale riscatto, trasformando l’intero comparto in un bersaglio privilegiato. Secondo l’ACN, nel periodo 2023–2024, in Italia il numero di attacchi legati alla cybersecurity che hanno causato danni oggettivi alle organizzazioni colpite è passato da 12 a 55. E la tendenza si conferma anche nel primo trimestre del 2025: 21 eventi e 11 incidenti, contro i 10 e 6 dello stesso periodo dell’anno precedente. Gli attacchi informatici non mettono a rischio solo finanze e reputazione, ma possono paralizzare sistemi vitali. Un blackout informatico causato da un attacco può costare vite umane, come già avvenuto in Germania.
A ciò si aggiunge una nuova urgenza: con l’introduzione del Fascicolo Sanitario Elettronico (FSE 2.0), all’interno del più ampio processo di digitalizzazione della sanità italiana sostenuto dal Piano Nazionale di Ripresa e Resilienza (PNRR), torna con forza la questione della tutela della riservatezza dei dati sanitari sensibili. Oltre alle minacce ben note come ransomware e furto di dati, stanno assumendo sempre più importanza gli attacchi complessi contro dispositivi medici connessi (IoMT), così come lo sfruttamento dell’errore umano – soprattutto in un contesto di crescente attività da parte di attori delle minacce sponsorizzati da governi, che colpiscono infrastrutture critiche.
Regolamentazioni e realtà
Con la Missione 6 – Salute del PNRR, sono stati stanziati cospicui fondi per l’ammodernamento tecnologico e digitale degli ospedali italiani, con l’obiettivo di supportare la digitalizzazione e il rinnovamento di oltre tremila grandi apparecchiature obsolete entro il 2025, e di rendere pienamente operative le soluzioni di telemedicina e i sistemi di cartella clinica elettronica entro il 2026. Questi investimenti porteranno certamente a miglioramenti significativi – ma non necessariamente in termini di cybersecurity. Hardware e software obsoleti restano ampiamente diffusi a causa di vincoli certificativi; le infrastrutture IT e di rete, inclusi i sistemi di gestione degli edifici basati su protocolli OT, continuano a essere protetti a compartimenti stagni; e il fattore umano – uno dei principali vettori di attacco – resta fortemente sottovalutato. In queste condizioni, e nonostante i grandi investimenti, la vulnerabilità del settore appare quasi inevitabile.
Alla luce della crescente complessità e dinamicità del panorama delle minacce, è necessario adottare un approccio alla sicurezza completo e proattivo. Questo deve andare oltre la classica difesa perimetrale e includere, tra gli altri elementi: la segmentazione rigorosa della rete per limitare i movimenti laterali degli attaccanti, controlli d’accesso stringenti secondo i principi dello Zero Trust, l’utilizzo di infrastrutture VPN e autenticazione a più fattori, nonché direttive chiare sull’uso sicuro di dati sensibili e tecnologie obsolete.
Essenziali sono anche i meccanismi per il rilevamento precoce delle minacce (Threat Detection) e una rapida risposta agli incidenti di sicurezza (Incident Response). Con l’aumento della connettività dei dispositivi medici, servono inoltre misure specifiche per la loro protezione – spesso, infatti, risultano tecnologicamente superati. E, non da ultimo, è fondamentale prevedere una formazione continua e campagne di sensibilizzazione rivolte a tutto il personale.
Se mal concertate, tutte queste misure possono far sembrare l’obiettivo di una protezione completa quasi un’utopia. Tuttavia, almeno dal punto di vista tecnologico, non esistono limiti reali: il settore sanitario, come tutte le infrastrutture critiche, può già oggi fare affidamento su soluzioni proattive adeguate e conformi alle normative – come quelle offerte da Stormshield.
Da stato d’emergenza alla priorità strategica
Eppure, nonostante la disponibilità di tecnologie avanzate per la cybersecurity, il numero di incidenti informatici con impatti gravi sulle infrastrutture critiche continua a crescere. La direttiva europea NIS2, recepita in Italia il 16 ottobre 2024 tramite il Decreto Legislativo n. 138, impone misure di sicurezza robuste e l’obbligo di segnalare tempestivamente gli incidenti. Ma non solo: l’articolo 2 del D.lgs. 138/2024 stabilisce un obbligo giuridico personale per i vertici aziendali nella governance della sicurezza, imponendo un coinvolgimento attivo e consapevole nella gestione della cybersecurity.
Un principio ribadito anche dall’Agenzia per la Cybersicurezza Nazionale, nella sua Determinazione del 14 aprile 2025: la sicurezza informatica non è delegabile. L’introduzione di misure di protezione adeguate e di una gestione efficace dei rischi non è più solo compito dei reparti IT cronicamente sottofinanziati, ma diventa un dovere prioritario del top management.
Proteggere i dati sensibili e le infrastrutture critiche, garantire la fiducia dei pazienti e la continuità dell’assistenza devono quindi diventare la missione centrale di ogni struttura sanitaria – comprese le relative catene di fornitura. Resta quindi da auspicare che i requisiti della NIS2 favoriscano un approccio proattivo, idealmente sovrano e olistico alla sicurezza, in grado di rafforzare in modo duraturo la resilienza del sistema sanitario nazionale.