Ospedali nel mirino proteggere dati e cure nell’era della sanità digitale

La crescita degli attacchi informatici verso le strutture sanitarie mostra quanto sistemi digitali, dispositivi connessi e processi clinici siano esposti a rischi ormai strutturali. La cybersecurity diventa quindi una componente della sicurezza delle cure: richiede competenze dedicate, investimenti continui e una governance capace di prevenire vulnerabilità e gestire gli incidenti. Le misure introdotte dal PNRR e dalla Direttiva NIS2 indicano un percorso di rafforzamento che impone alle aziende sanitarie un impegno stabile per tutelare dati, servizi e pazienti

Negli ultimi anni l’Italia ha registrato un aumento significativo degli attacchi informatici in sanità. In prospettiva storica, secondo il Rapporto Clusit 2024, tra 2019 e 2023 la crescita complessiva dei cyberattacchi è stata del 65%, a fronte di un incremento globale del 12%. Questa dinamica ha progressivamente collocato l’Italia tra i Paesi più colpiti, con una quota vicina a un decimo degli incidenti registrati nel mondo.

I dati più recenti indicano che il 2024 e l’inizio del 2025 non segnano alcuna inversione di tendenza: gli attacchi continuano a crescere, con un aumento complessivo di circa il 15% in Italia rispetto all’anno precedente e un numero maggiore di incidenti gravi, inclusi attacchi ransomware, compromissioni della supply chain e operazioni con modalità avanzate. Nel complesso, il quadro conferma che l’Italia rimane stabilmente uno dei principali obiettivi a livello europeo e internazionale.

Per quanto riguarda il settore sanitario, il Rapporto Clusit 2024 evidenziava che nel 2023 la sanità era diventata il quarto settore più colpito dagli attacchi informatici di successo e di pubblico dominio, con il 9% degli incidenti censiti, in forte crescita rispetto al 2,2% rilevato nel periodo precedente.

Tale salto non è stato un fenomeno isolato: il Rapporto 2025 mostra che nel 2024 gli attacchi al comparto sono aumentati di circa il 19% e sono ormai circa il 13% degli incidenti globali, collocando la sanità tra i settori più bersagliati insieme a governo/militare e multiple targets. L’anteprima dei dati Q1 2025 indica un numero particolarmente alto di episodi già nei primi mesi dell’anno, confermando la persistenza di un rischio crescente e strutturale.

Secondo Rijitano (2024), nei soli mesi di novembre e dicembre 2023, ospedali e aziende sanitarie italiane hanno subito esfiltrazioni e diffusioni di oltre 1,5 terabyte di dati sanitari, pari a circa due milioni di file.

La crescente digitalizzazione dei sistemi sanitari ha certamente portato benefici in termini di efficienza e qualità dell’assistenza, ma ha esposto il settore a minacce sempre più complesse. Da un lato, l’arretratezza tecnologica e infrastrutturale di molte strutture espone a rischi elevati; dall’altro, la gestione di grandi quantità di dati sensibili rende gli ospedali obiettivo privilegiato.

L’impossibilità d’interrompere i servizi sanitari, anche per brevi periodi, accentua ulteriormente la vulnerabilità delle strutture rispetto a estorsioni, ricatti e interruzioni di servizio (Rotunno, 2024). Le conseguenze di un attacco informatico contro un ospedale possono essere molto gravi. Il blocco dei sistemi informativi impedisce l’accesso a software clinici e cartelle digitali, costringendo il personale a usare procedure cartacee per accettazione, referti e prescrizioni, con un significativo rallentamento dei processi e impossibilità di erogare servizi digitali come le prescrizioni dematerializzate.

A ciò si aggiungono i danni legati alla compromissione della riservatezza dei dati sanitari, particolarmente critici per natura e volume. Diversi fattori concorrono a rendere il settore sanitario italiano particolarmente vulnerabile. Il processo di digitalizzazione, talvolta tardivo o frammentato, ha spesso trascurato gli aspetti di sicurezza informatica.

Molte strutture utilizzano ancora sistemi datati o non più supportati, come vecchie versioni di sistemi operativi in end-of-support, rendendo più semplice l’attività degli attaccanti. L’interconnessione crescente tra sistemi informativi e dispositivi medici apre ulteriori punti d’accesso.
Emblematico, in questo senso, il caso della ricercatrice Marie Elisabeth Moe, che ha dimostrato la possibilità di manipolare pacemaker alterandone i parametri e redirezionando i dati verso indirizzi malevoli.

Analogamente, come riportato da Giustozzi (2024), alcuni attacchi hanno avuto origine da software periferici come quelli dei banchi frigo, evidenziando come l’intera supply chain tecnologica possa rappresentare un vettore di rischio.
La sicurezza informatica continua, inoltre, a scontare una storica sottovalutazione a livello di governance: per molti anni, i dipartimenti ICT delle aziende sanitarie non sono stati considerati core e hanno sofferto carenze di personale, competenze e investimenti.

Il problema non riguarda esclusivamente l’Italia; anche l’NHS ha dovuto affrontare violazioni legate a inefficienze umane, procedurali e tecnologiche. L’esperienza britannica evidenzia il ruolo cruciale di una leadership forte e di strutture di governance dedicate, come i Senior Information Risk Owners (SIRO) e i Caldicott Guardians, incaricati della protezione e gestione delle informazioni cliniche dei pazienti (Pillon, 2024).

Tipologie di attacco più diffuse

L’aumento degli attacchi informatici è favorito da infrastrutture non aggiornate, complessità organizzativa e livelli variabili di consapevolezza del rischio. Tra i principali rischi figurano violazione della privacy dei pazienti, interruzioni o rallentamenti del servizio, perdita o manipolazione dei dati clinici.
Questi eventi sono spesso causati da vulnerabilità dei dispositivi medici connessi, carenze di formazione del personale e assenza di sistemi, tecnologie e procedure adeguate. Secondo le analisi più recenti, le categorie di attacco prevalenti in sanità includono:

  • malware e ransomware, principale vettore di attacchi gravi e causa delle interruzioni più estese
  • phishing e social engineering, mirati all’acquisizione di credenziali e all’inganno del personale
  • furto d’identità e compromissione degli account
  • DDoS, finalizzati a bloccare o rallentare l’erogazione dei servizi
  • attacchi alla supply chain, mediante compromissione di fornitori, software terzi o dispositivi periferici
  • sfruttamento di vulnerabilità note o zero-day, spesso con automazione potenziata da strumenti di IA.

Le tecniche emergenti e l’uso crescente dell’IA rendono più difficile l’individuazione preventiva degli attacchi. Molte campagne malevole adottano modalità non riconducibili agli schemi tradizionali, superando i meccanismi difensivi basati esclusivamente su signature o black-list.

Strategie di prevenzione degli attacchi

Una gestione accorta dei dati sanitari richiede un approccio olistico alla sicurezza informatica, che oggi mette a disposizione strumenti avanzati per prevenire e contrastare tempestivamente gli attacchi hacker. Si pongono in risalto tre principi cardine: aggiornamento costante di operatori e sistemi tecnologici; allocazione di budget adeguato; presenza di un esperto manager IT a guidare il sistema (Zin, 2023).

Strumenti di protezione adeguati e aggiornamenti frequenti dei sistemi operativi delle macchine è sicuramente una delle strategie migliori di difesa: la tecnologia in continua evoluzione offre al cybercrimine vie e possibilità d’accesso ai sistemi aziendali.

Fondamentale è potenziare la formazione continua del personale in materia di sicurezza informatica andrebbe estesa a tutti i livelli aziendali, con diversi gradi di dettaglio. Gli utenti che s’interfacciano con il sistema devono essere consapevoli delle minacce, riconoscere i tentativi di phishing e attuare le migliori pratiche per mantenere la sicurezza dei dati.
Le strategie preventive hanno però dei costi: destinare un budget adeguato all’area IT è il primo passo per essere in grado di sostenere le sfide in tema di cybersecurity.
Qui si ribadisce, però, una considerazione importante sulla pianificazione degli investimenti: è vero che la creazione di un budget per la sicurezza informatica dev’essere priorità aziendale per gli anni a venire.

È altrettanto vero che, per molte organizzazioni, è ancora qualcosa di reattivo: un hacker penetra nella rete e all’improvviso nasce il bisogno di nuovo firewall, IDS/IPS, antivirus e una serie di altri prodotti di prevenzione per evitare un’ulteriore potenziale minaccia. È però importante evidenziare che spesso mancano le misure di base per evitare che un accesso sia fatto senza ricorso a tecniche di forzatura, a contrasto delle quali occorre fare quegli investimenti.

Come si è citato in premessa, sono ancora troppi i casi nei quali l’accesso è stato facilitato da gestioni di utenze di dominio non conformi al principio del privilegio minimo di accesso (Principle of Least Privilege – POLP), da una politica di password management non aderente agli standard, da una segmentazione delle reti poco coerente con il principio della minimizzazione del rischio d’infiltrazione.

Una figura IT esperta, per esempio il responsabile della Transizione Digitale – RTD, figura dirigenziale, interna a tutte le PA prevista dal CAD (Codice dell’Amministrazione Digitale, D.lgs. 82/2005), ufficialmente introdotta per le PA locali con i DL 179/2016 e 217/2017 e ulteriormente rafforzata nel Piano Triennale per l’informatica nella PA 2024-2026 aggiornato 2025, potrebbe gestire in modo efficiente i fondi allocati, poiché capace sia di comprendere e supportare l’area tecnica sia di gestire e controllare l’intera infrastruttura informativa. 

È però necessario che non sia abbandonato dall’organizzazione a svolgere il ruolo di predicatore nel deserto, ma sia supportato da un ufficio preposto agli aspetti di governo progettuale e di esecuzione della parte operativa che una gestione della sicurezza olistica richiede. Ulteriore aspetto di fondamentale importanza da presidiare è la gestione sicura delle trasmissioni dei parametri vitali dei dispositivi elettromedicali trasmessi alla rete.
La sicurezza dei pazienti è sempre stata una priorità fondamentale nei dispositivi medici. I pacemaker, per esempio, sono costruiti con modalità failsafe, a cui passano se il software ha un malfunzionamento per qualunque motivo, anche il meno probabile. L’obiettivo è garantire che il pacemaker continui a generare un impulso costante finché il paziente non viene visto da un tecnico che proceda alla riprogrammazione del dispositivo.
Come prima cosa gli operatori economici dovrebbero avviare al proprio interno il processo di CVD (Coordinated Vulnerability Disclosure), come indicato nella ISO/IEC 29147 e richiamati nel dibattito europeo sul Cyber Resilience Act, che prevede una fase di analisi delle più recenti indicazioni di sicurezza informatica e ricerca sistematica di vulnerabilità, un processo di comunicazione per l’assunzione e la gestione delle vulnerabilità e l’implementazione di contromisure risolutive o di mitigazione delle vulnerabilità che portino poi alla pubblicazione delle CVE (12).
Una figura IT esperta potrebbe gestire efficientemente i fondi allocati, poiché capace sia di comprendere e supportare l’area tecnica sia di gestire e controllare l’intera infrastruttura informativa. Per implementare strategie di prevenzione più flessibili si possono considerare precauzioni apprese nella storia e nella geografia degli attacchi informatici. Un notevole numero di episodi registrati ha origine in Paesi dell’Estremo Oriente (Cina in particolare).
Pertanto, una possibile strategia potrebbe coinvolgere la restrizione dell’accesso al portale dell’azienda ospedaliera per i profili che usano indirizzi IP provenienti da queste regioni, contribuendo a mitigare il rischio di vulnerabilità.

Pnrr e direttiva NIS2

Il Pnrr prevede investimenti significativi per ammodernare e rafforzare la sicurezza informatica nel settore sanitario italiano. Nello specifico, sono stati destinati ingenti finanziamenti (1,38 miliardi di euro) per il potenziamento del Fascicolo Sanitario Elettronico – per garantirne diffusione, omogeneità e accessibilità sul territorio nazionale – e altri 1,19 miliardi di euro per la sostituzione delle apparecchiature sanitarie nel progetto “Ammodernamento del parco tecnologico e digitale ospedaliero” della Missione 6 (Governo italiano, 2021).

A metà/fine 2025 l’implementazione del FSE 2.0 risulta in corso, ma con attuazione ancora parziale: l’interoperabilità tra regioni non è uniforme e persiste un forte bisogno d’investire in competenze locali e in formazione del personale sanitario per supportare l’adozione effettiva degli strumenti digitali.

Tuttavia, è fondamentale considerare che i fondi destinati alla formazione specifica del personale sanitario non sono inclusi in questa programmazione. Tale criticità è risultata particolarmente evidente nel biennio 2024-2025: la digitalizzazione, trainata dagli investimenti del Pnrr, ha avanzato più rapidamente rispetto allo sviluppo di percorsi strutturati di formazione, che rimangono con frequenza affidati alla sensibilità e alla capacità d’investimento delle singole aziende sanitarie.

Sul fronte europeo, l’UE ha introdotto la Direttiva sulle misure per un livello comune elevato di cybersicurezza (Direttiva NIS2), che estende l’ambito d’applicazione della precedente NIS del 2016 ai settori sanitari e ad altri considerati di alta criticità.

L’obiettivo principale è promuovere uniformità e cooperazione tra gli Stati membri, rafforzando cybersicurezza e condivisione delle informazioni (Commissione Europea, 2023). La precedente scadenza per il recepimento (17/210/2024) è superata: la Direttiva è stata recepita in Italia con il D.lgs. 4/9/2024, n. 138, e NIS1 è stata formalmente abrogata a partire dal 18/10/2024. Il D.lgs. 138/2024 individua tra i soggetti essenziali e importanti anche le strutture sanitarie, pubbliche e private, soggette ora a obblighi rafforzati di gestione del rischio, continuità operativa e governance della cybersicurezza.

Tappa fondamentale è stato il 28/2/2025, data entro la quale i soggetti obbligati hanno dovuto registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN). Nel primo semestre 2025 le organizzazioni sanitarie classificate come soggetti NIS2 hanno dovuto avviare o completare attività di registrazione, valutazione dei rischi, definizione dei referenti per la sicurezza, audit interni e adeguamento delle misure di protezione.
Ulteriori scadenze operative sono state fissate per il secondo semestre 2025 e per il 2026, orientate al consolidamento del sistema di gestione e alla verifica periodica della conformità.

La Direttiva NIS2 pone l’accento su diversi aspetti chiave, tra cui adozione di policy basate sull’analisi dei rischi, gestione tempestiva degli incidenti informatici, sicurezza della supply chain, adozione di misure di sicurezza per affrontare i fattori di rischio critici, continuità operativa attraverso piani di business continuity e disaster recovery e rafforzamento della governance tramite audit, test di cybersecurity e formazione del personale.

Inoltre, è confermato il regime sanzionatorio già previsto: per i soggetti essenziali le sanzioni possono arrivare a 10 milioni di euro o al 2% del fatturato annuo mondiale; per i soggetti importanti, ormai consolidato nella prassi regolatoria, il limite massimo è 7 milioni di euro o l’1,4% del fatturato.

Conclusioni

Dispositivi medici e sistemi informatici sono sempre più interconnessi e integrati nei processi clinici e assistenziali. Questa interconnessione, benché abbia apportato numerosi vantaggi in termini di efficienza e qualità delle cure, ha anche introdotto nuovi rischi legati alla cybersecurity, traducendosi in rischio clinico.
Uno scenario in così rapida evoluzione rende necessario un aggiornamento dei curricula dei medici, che non possono più prescindere da una formazione adeguata in materia di tecnologia e cybersicurezza. Con l’avanzare dello sviluppo tecnologico la modalità di erogazione delle cure sta cambiando: i professionisti sanitari devono evolvere di pari passo.

La figura del medico deve adattarsi, acquisendo competenze trasversali che gli consentano di gestire efficacemente l’interfaccia tra pratica clinica, tecnologie digitali e cybersecurity, per garantire massima sicurezza e qualità delle cure ai pazienti.
Fondamentale è anche sostenere e incentivare il coinvolgimento con le autorità di regolamentazione (ACN, AgID) e la comunicazione con le parti interessate (Assobiomedica, associazioni di ospedali, medici, pazienti) per la revisione delle valutazioni dell’ambito, dell’impatto e del rischio e dell’efficacia delle risoluzioni proposte.

Occorre, poi, sdoganare definitivamente la centralità del settore dei sistemi informativi e dei servizi digitali di un’organizzazione sanitaria, spesso recluso a ruoli ancillari, di centro stampa o di fornitore di macchine da ufficio o ostaggio di figure poco specializzate, se non incompetenti, fino a poco fa.
Il settore ICT di un’azienda va gestito da figure autorevoli e competenti e dotato di collaboratori con solide competenze di gestione sistemistica di postazioni di lavoro client e server, di programmazione, di conoscenza dei sistemi operativi e delle piattaforme di gestione delle identità e utenze dell’organizzazione.

Solo con competenze così analitiche e diffuse è possibile investire dando priorità alle proprie vere vulnerabilità, sapendole riconoscere e senza rincorrere la moda tecnologia del momento, specie se la propria azienda non è ancora pronta per gestirne le inevitabili rigidità e cambiamenti organizzativi che ne derivano.

Proprio a questo riguardo, infine, occorre considerare che la sicurezza delle informazioni ha una dimensione organizzativa di gran lunga più rilevante di quella tecnica. Se in un ospedale non si definiscono chiaramente ruolo e profilo d’accesso alla rete degli operatori, non solo tecnico-amministrativi ma soprattutto sanitari, se non si stabilisce che certi dati possono essere veicolati solo attraverso certi canali (applicativi certificati come dispositivi medici e non tramite le cartelle condivise sul file server, per esempio), se tutto ciò non è sostenuto dalla Direzione nel suo complesso e non solo dal responsabile dei sistemi informativi, il piano di risposta alle vulnerabilità sarà sempre parziale e orientato all’emergenza.

In definitiva, solo con un impegno coordinato e continuo, supportato da investimenti mirati e da un quadro normativo rigoroso, si potranno fronteggiare efficacemente le minacce cyber e garantire protezione dei dati sanitari e continuità dei servizi.
La cybersecurity va considerata non solo come componente tecnologica, ma elemento essenziale di qualità e sicurezza delle cure, aspetto imprescindibile per la protezione dei pazienti e il futuro della sanità digitale in Italia.

Bibliografia

  1. Clusit (2025). Rapporto Clusit 2025 sulla cybersecurity in Italia e nel mondo. Edizione ottobre 2025. Security Summit. Accesso da: https://clusit.it/rapporto-clusit/
  2. Clusit (2024). Rapporto Clusit 2024 sulla sicurezza ICT in Italia. Security Summit. Accesso da: https://clusit.it/rapporto-clusit/
  3. Rijitano R. (2024). I dati sanitari di migliaia di italiani sono ormai online. Guerre di Rete 2024. Accesso da: https://www.guerredirete.it/i-dati-sanitari-di-migliaia-di-italiani-sono-ormai-online/
  4. Rotunno I. (2024). Attacchi hacker nelle strutture sanitarie, come proteggersi? Casteducation 2024. Acccesso da: https://www.casteducation.it/attacchi-hacker-nelle-strutture-sanitarie-come-proteggersi/
  5. Pillon, S. (2024). Cybersecurity nelle aziende sanitarie. Corso in Management e Leadership in sanità e nel sociale – ML-Care. 21/5/2024. Università Carlo Cattaneo Liuc, Castellanza (VA)
  6. Agenzia per la cybersicurezza nazionale. Accesso da: https://www.acn.gov.it/comunicazione/esplora/CSIRT%20Italia
  7. Governo italiano (2021). Pnrr. Presidenza del Consiglio dei ministri. [Online]. Accesso da: https://www.governo.it/sites/governo.it/files/PNRR.pdf
  8. Commissione Europea (2023). Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione (NIS2). Accesso da: https://digital-strategy.ec.europa.eu/it/policies/nis2-directive
  9. Giustozzi, C. (2024). Congresso nazionale dell’Associazione Italiana Ingegneri Clinici. Roma, 20/5/2024
  10. Zin, A. (2023). La cybersecurity e l’hackeraggio delle strutture sanitarie. Corso in Management e Leadership in sanità e nel sociale – ML-Care. 7/11/2023. Università Carlo Cattaneo LIUC, Castellanza (VA)
  11. Digital EU. (2020). A Man-in-the-Middle of my Heart Attack | Connect University. Youtube. [Online] https://www.youtube.com/watch?v=8YuyUM8ilRI
  12. Federal Bureau of Investigation (FBI) – Cyber Divison. (2022). FBI PIN TLP White Unpatched and Outdated Medical Devices Provide Cyber Attack Opportunities Sept. 12, 2022. [Online] https://www.aha.org/cybersecurity-government-intelligence-reports/2022-09-12-fbi-pin-tlp-white-unpatched-and-outdated
  13. Ricci D. (2023). Sicurezza dei dispositivi elettromedicali: l’esempio dell’AO di Alessandria – Agenda Digitale

Autori:
P.G. Coletta, LIUC Business School
E. Croce, LIUC Università Cattaneo
V. Alpe, M. Corona, AOU SS. Antonio e Biagio e C. Arrigo Alessandria
M. Morlotti, ASST Lariana
G. Zulian, ASL Novara
D. Kozel, ASL VCO
R. Garone, S. Loss Robin, AOU Maggiore della Carità di Novara
F. Pensalfini, S. Visconi, ASL Città di Torino

Articolo tratto dal numero di marzo 2026 di Tecnica Ospedaliera

Abbonati alla rivista
Abbonati a Tecnica Ospedaliera

Articoli correlatiDi più dello stesso autore

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here