Sanità: rischi per la sicurezza fisica e cyber

07/07/2025

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, CSO e DPO, membro del comitato tecnico-scientifico del CESPIS, Centro Studi Prevenzione, Investigazione e Sicurezza

Ogni istituzione deve assicurare ai propri cittadini i servizi fondamentali che garantiscono benessere e continuità della vita sociale: sicurezza alimentare, mobilità, servizi sanitari, telecomunicazioni, servizi bancari e finanziari, istituzioni politiche, pubblica sicurezza e sicurezza privata. Qualsiasi interruzione o perdita di prestazione di uno dei sistemi chiave può generare un forte impatto negativo per la collettività, come per il singolo cittadino.

La crescita, la sicurezza e la qualità della vita nelle moderne società industrializzate sono il risultato del funzionamento continuo e coordinato di un insieme di infrastrutture che, data la loro rilevanza strategica, vengono definite con il termine di Infrastrutture Critiche. Con l’espressione Infrastrutture Critiche (IC), usato per la prima volta negli USA alla fine degli anni ’90 in una Direttiva governativa dell’allora presidente Clinton, si definiscono tali tutte quelle risorse materiali (asset tangibili), o anche i servizi (asset intangibili), che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni vitali della società, e includono: il sistema elettrico, le reti di comunicazione, le reti di trasporto intermodale, il sistema sanitario, i circuiti finanziari, le reti a supporto del Governo (centrale e territoriale) e quelle per la gestione delle emergenze (difesa civile e protezione civile), etc.

Sistema sanitario

Le strutture ospedaliere e gli ospedali - pubblici o privati che siano, sono considerate infrastrutture critiche, e come tutte le infrastrutture di questo genere, anche quando sottoposte ad attacchi criminogeni esterni o interni, devono saper mantenere inalterato l’obiettivo primario, ossia: garantire accoglienza e cure adeguate alle persone e, contemporaneamente, ridurre al minimo le vulnerabilità dell’istituzione.

Sicurezza informatica: non delegabile

La Direttiva europea NIS2, recepita nell’ordinamento italiano tramite il D.Lgs n. 138/2024, impone alle organizzazioni robuste misure di sicurezza, come pure l’obbligo di segnalare tempestivamente tutti gli incidenti subiti. L’art. 2 del Decreto pone un obbligo giuridico personale per i vertici aziendali coinvolti nella governance della sicurezza, imponendo a questi un coinvolgimento attivo e consapevole nella gestione della cybersecurity, principio confermato anche dalla ANC (agenzia nazionale della cybersicurezza), nella sua Determinazione dello scorso 14 aprile 2025, laddove conferma che la sicurezza informatica non è delegabile.

Il cyber risk sanitario

Uno studio sul cyber risk negli ospedali pone questo settore come il principale bersaglio dei cybercriminali a livello globale, colpito dal 18% degli attacchi informatici. Mentre in Italia gli attacchi cyber colpiscono il 24% delle strutture sanitarie, con attacchi informatici ben mirati: le incursioni ransomware valgono un 11%, mentre gli accessi abusivi/furto di dati sono saliti al 33%.

Secondo l’ultimo rapporto Clusit dell’anno 2024, con 624 attacchi cyber a livello globale, la sanità è stata il quarto settore più colpito dagli attacchi informatici, registrando un volume di attacchi doppio rispetto ai 304 dell’anno 2023, dati questi che evidenziano la crescente esposizione delle strutture sanitarie, senza distinzione tra pubblico e privato, alle sistematiche minacce informatiche, con potenziali conseguenze negative sulla continuità operativa e sulla sicurezza dei pazienti.

Entrambe le tipologie di strutture devono affrontare quindi sfide impegnative in termini di cybersecurity, soprattutto considerando che la sofisticazione degli attacchi è direttamente proporzionale alla crescente digitalizzazione dei servizi sanitari.

Sicurezza fisica

Un altro aumento esponenziale interessa il furto dei farmaci all’interno delle strutture ospedaliere: con la sottrazione di determinati prodotti, soprattutto antitumorali e immunosoppressori, si produce un danno medio, per singolo furto, di circa 350.000 euro. Altro fenomeno sempre più radicato, tanto curioso quanto preoccupante, che si consuma all’interno degli edifici ospedalieri è rappresentato dai furti ai danni dei distributori automatici di cibi e bevande, azioni criminose che danno luogo a corposi danneggiamenti alle strutture.

Insomma, a ben vedere, aziende ospedaliere e strutture sanitarie private rappresentano un obiettivo altamente appetibile un po’ per tutti i criminali, ma ben mirato per gli hacker, attratti dalle banche dei dati sensibili dei pazienti, contenitori dall’alto valore economico sulle piattaforme specializzate del darkweb. I dati pubblicati dalla ANC, riferiti agli attacchi subiti dalle infrastrutture italiane nel biennio 2023/2024, confermano un aumento delle incursioni informatiche, che salgono da 12 a 55, tutte oggettivamente dannose per le organizzazioni colpite; inoltre, la tendenza per il 2025 conferma un trend negativo, riscontrato in questo primo trimestre del 2025: i dati raccolti rilevano 21 eventi malevoli e 11 incidenti, contro i 10 e 6 del trimestre 2024.

Fascicolo Sanitario Elettronico

A tutto ciò si aggiunge una nuova urgenza assolutamente da non sottovalutare, creatasi con l’introduzione, all’interno del processo di digitalizzazione della sanità, del Fascicolo Sanitario Elettronico (FSE 2.0): il problema della tutela della sicurezza dei dati personali sanitari sensibili, contenuti anche nei dispositivi medici connessi (IoMT), diventa una preoccupazione non da poco.

Dunque gli attacchi informatici non mettono a rischio solo la tenuta economica o la stessa reputazione delle organizzazioni, ma sono in grado di paralizzare sistemi vitali, come le infrastrutture sanitarie. Peraltro, sappiamo come un blackout informatico, causato da un attacco malevolo ransomware, possa costare vite umane, come già avvenuto in Germania nel settembre 2020, quando un attacco all’ospedale di Duesseldorf portò al blocco operativo di tutti i dispositivi medici connessi in rete.

Oltretutto, nonostante la disponibilità di tecnologie avanzate utilizzate nel perimetro della cybersecurity, la gestione efficace del rischio non è più solo una diretta funzione dei reparti IT, ma diventa un dovere prioritario del top management. Purtuttavia, per le aziende sanitarie il problema non è risolto con la responsabilizzazione dell’alta direzione, anche perché oltre il 50% delle strutture (rapporto paritetico pubblico/privato) è ancora privo di un responsabile dedicato alla sicurezza informatica (CISO, chief information security officer) e fisica (SM, security manager), professionisti dedicati ad attuare strategie di protezione fisica e logica delle infrastrutture.