L’adozione di strumenti di cybersecurity nelle aziende sanitarie non può più essere un optional: lo rivela il Rapporto dell’associazione italiana per la sicurezza informatica.
In Italia, come nel resto d’Europa, la digitalizzazione dei servizi sanitari ha rivoluzionato il rapporto tra pazienti, medici e istituzioni, ma ha anche esposto le infrastrutture a rischi sempre più complessi. Il sistema sanitario è infatti diventato uno degli obiettivi più sensibili e vulnerabili nel panorama della sicurezza informatica.
Questo perché i dati sanitari rappresentano una delle forme più preziose e delicate di informazione personale: il valore di una cartella clinica sul dark web supera quello di una carta di credito, rendendo gli ospedali e le aziende sanitarie bersagli primari per il cybercrime.
In crescita i cyberattacchi, ma anche le iniziative di contrasto
Nel 2024, secondo il Rapporto Clusit (associazione italiana per la sicurezza informatica), gli attacchi informatici al settore healthcare hanno registrato un incremento superiore al 25%. Si tratta di un fenomeno che assume tratti sistemici: ransomware che bloccano interi reparti, fughe di dati che compromettono la fiducia dei cittadini, malware introdotti tramite e-mail inviate al personale amministrativo. Il danno non è solo economico o reputazionale, ma clinico: in molti casi, l’interruzione dei sistemi ha ritardato terapie, annullato esami, compromesso la gestione delle emergenze.
Nel contesto italiano, le istituzioni stanno cercando di rispondere con strumenti normativi, strategici e tecnologici dedicati specificamente al comparto sanitario. L’Agenzia per la Cybersicurezza Nazionale ha avviato una serie di iniziative per rafforzare la protezione delle infrastrutture critiche, tra cui rientrano esplicitamente gli ospedali pubblici. Le ASL e le aziende ospedaliere sono tenute a rispettare una serie di standard minimi di sicurezza e a dotarsi di piani di continuità operativa che includano scenari di attacco informatico.
La formazione è uno degli strumenti per arginare il rischio
A livello regionale, l’attenzione si traduce in progetti concreti. In Emilia-Romagna è attivo un centro operativo dedicato alla sorveglianza delle reti sanitarie, con capacità di intervento rapido in caso di anomalie. In Lombardia, numerose strutture stanno adottando una governance della sicurezza basata su certificazioni come l’ISO/IEC 27001, cioè lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (SGSI). La Toscana ha invece avviato un progetto integrato che prevede formazione continua per il personale sanitario e adozione di tecnologie predittive per il rilevamento degli attacchi.
La formazione, in effetti, rappresenta uno degli snodi più critici. I punti di ingresso per gli attacchi informatici sono spesso comportamentali. Un clic su una mail sbagliata, l’uso di password deboli o la condivisione inconsapevole di credenziali possono avere conseguenze devastanti. Per questo, molte aziende sanitarie stanno integrando nei loro percorsi interni sessioni specifiche dedicate alla consapevolezza digitale. Alcune utilizzano piattaforme per simulare tentativi di phishing, altre introducono moduli di e-learning obbligatori per il personale clinico e amministrativo.
Photo: ThisisEngineering / Unsplash
Innovazione e normative
Accanto alla gestione del rischio, si affacciano proposte di innovazione capaci di rispondere in maniera più strutturale alle minacce. La tecnologia blockchain, ad esempio, viene sperimentata in alcuni progetti pilota per la tracciabilità e l’integrità dei dati clinici. L’intelligenza artificiale si applica sia al rilevamento di attività sospette nei sistemi informativi sia alla costruzione di profili di rischio per i singoli dispositivi connessi. Sempre più strutture valutano l’introduzione di modelli “Zero Trust”, in cui ogni accesso viene continuamente verificato, superando il concetto tradizionale di “rete sicura interna”.
A livello normativo, il quadro si completa con l’evoluzione delle politiche europee. Il regolamento per l’European Health Data Space stabilisce nuovi standard per la protezione e l’interoperabilità dei dati sanitari, con un’attenzione particolare alla sicurezza dei flussi informativi tra Stati membri. L’Italia, in quanto attore attivo del processo, è chiamata ad armonizzare la propria infrastruttura normativa e tecnologica, anche per evitare disparità tra Regioni.
Photo cover: Freepik
