Sanità digitale e cybersecurity: il dato clinico come infrastruttura critica

La trasformazione digitale della sanità ha cambiato in profondità il modo in cui vengono raccolte, archiviate, scambiate e utilizzate le informazioni cliniche. Cartelle cliniche elettroniche, sistemi di laboratorio, piattaforme di telemedicina, dispositivi medicali connessi e strumenti di supporto alle decisioni hanno reso l’ecosistema sanitario più veloce, più integrato e potenzialmente più efficiente. [10] Ma lo stesso processo ha prodotto un effetto collaterale rilevante: ha trasformato il dato sanitario in un asset critico, esposto a rischi informatici che non riguardano più soltanto la riservatezza, ma anche la disponibilità e l’affidabilità dei servizi.

In altre parole, oggi la cybersecurity in sanità non è un tema accessorio dell’IT: è una condizione tecnica per la continuità operativa e, in molti casi, per la sicurezza stessa del paziente. Questo passaggio è particolarmente evidente se si osserva come è cambiata la superficie di attacco. In un’infrastruttura sanitaria moderna non esistono più solo server e postazioni amministrative: esistono interfacce applicative, sistemi di interoperabilità, repository documentali, piattaforme cloud, endpoint clinici, dispositivi IoT medicali e flussi continui di dati in transito. La digitalizzazione amplia il valore del sistema, ma ne amplia anche l’esposizione.

Il dato sanitario: un asset ad alta densità informativa

Da un punto di vista ingegneristico, il dato sanitario è un dato ad alta densità informativa. Una singola posizione clinica può contenere identificativi anagrafici, anamnesi, referti, prescrizioni, dati assicurativi, informazioni di contatto, cronologia di accessi e, sempre più spesso, dati generati da strumenti di monitoraggio remoto. A differenza di molte credenziali finanziarie, il dato clinico ha un ciclo di vita lungo ed è difficilmente revocabile: una diagnosi, un referto o un percorso terapeutico non possono essere “resettati” come una password o una carta di pagamento.

Per questa ragione non è corretto ridurre il rischio al solo furto di informazioni. La compromissione di un’infrastruttura sanitaria può abilitare frodi, ricatti, interruzioni di servizio, errori operativi e perdita di fiducia nei sistemi digitali. Il valore del dato, inoltre, cresce con l’interoperabilità e con la possibilità di riuso in contesti organizzativi complessi: più i dati circolano, più diventano utili e più diventano appetibili. [3]

Il settore sanitario non è esposto solo per il valore dei dati, ma per la natura stessa dei suoi processi. Un attacco ransomware contro un’azienda manifatturiera può produrre fermo impianto, ritardi e danni economici. In sanità, invece, l’impatto può trasferirsi rapidamente sul piano clinico. Un sistema di laboratorio bloccato, un referto non disponibile, una cartella clinica inaccessibile nel momento sbagliato possono tradursi in ritardi diagnostici, errori terapeutici o interruzione di servizi essenziali. La cybersecurity sanitaria non protegge soltanto la confidenzialità dei dati: protegge anche la disponibilità del servizio, l’integrità delle informazioni cliniche e la capacità dell’organizzazione di operare in condizioni di sicurezza.

Il quadro delle minacce: dai dati ENISA e ACN al Rapporto Clusit 2026

I numeri confermano che il settore sanitario resta uno dei bersagli privilegiati del cybercrime. Secondo l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), la sanità è stata il settore più colpito in Europa per quattro anni consecutivi, dal 2020 al 2023. [1] Nel report ENISA del 2023 dedicato al settore sanitario, il ransomware risultava responsabile del 54% degli incidenti analizzati nel periodo 2021–2023. [1] Secondo ENISA, sulla base degli incidenti del settore sanitario analizzati nel 2024, il 45% dei casi ha riguardato ransomware e il 28% violazioni di dati. [2] La Commissione europea ha confermato che nel solo 2023 gli Stati membri hanno segnalato 309 incidenti informatici significativi nel settore sanitario, più che in qualsiasi altro settore critico. [9]

In Italia il quadro è altrettanto preoccupante. Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), nel periodo gennaio–settembre 2025 gli eventi cyber nel comparto sanitario sono aumentati del 40% rispetto allo stesso intervallo del 2024. [4] Il CSIRT Italia ha censito 60 eventi a fronte dei 42 dell’anno precedente. In media, da gennaio 2023 si sono verificati circa 4,3 attacchi informatici al mese contro strutture sanitarie italiane, e circa la metà ha dato luogo a incidenti con impatto effettivo sui servizi erogati.

Il Rapporto Clusit 2026, presentato il 17 marzo 2026, offre una fotografia ancora più ampia: nel 2025 sono stati registrati a livello globale 5.265 attacchi cyber gravi, con un incremento del 49% rispetto al 2024. [5] La sanità rappresenta l’11% degli attacchi globali, con una crescita del 19%. Un dato particolarmente significativo riguarda la gravità: il settore sanitario è quello con la percentuale più elevata di incidenti classificati come “critici” o di gravità “estrema”, pari al 64% degli eventi che lo hanno interessato. In Italia, il 9,6% degli incidenti globali ha riguardato organizzazioni nazionali – 507 incidenti contro i 357 del 2024, con un aumento del 42%.

Va tuttavia segnalato un dato in controtendenza per il contesto italiano: secondo lo stesso Rapporto Clusit 2026, nel 2025 la sanità ha registrato in Italia solo l’1,8% degli incidenti del campione nazionale, con una riduzione dell’incidenza rispetto al 2024. [5] Il dato, pur positivo in termini relativi, non deve indurre a sottovalutare il rischio: la diminuzione dell’incidenza percentuale si accompagna a un aumento complessivo degli attacchi nel Paese e a un livello di gravità che, a livello globale, resta il più alto tra tutti i settori.

Negli Stati Uniti il trend è analogo. Nel 2024, l’attacco ransomware a Change Healthcare ha interessato 192,7 milioni di americani, rendendolo il più grande data breach sanitario della storia. [6] Il caso ha mostrato con chiarezza come la compromissione di fornitori terzi e business associate possa generare impatti sistemici su larga scala, confermando il ruolo della supply chain come nuovo perimetro del rischio.

Casi italiani recenti: quando il cyber entra in corsia

In Italia gli episodi non mancano. Nel giugno 2024 l’ASST Rhodense ha comunicato di aver subito un attacco informatico rivendicato dal gruppo Cicada3301, con esfiltrazione di dati e impatti operativi sui servizi. [13]

Nello stesso anno, Synlab Italia ha subito un attacco ransomware con esfiltrazione di dati che ha costretto diverse strutture collegate a pubblicare comunicazioni agli interessati ai sensi del GDPR. [14] A gennaio 2024, il sistema sanitario della Basilicata è finito sotto attacco, con attivazione di un’unità di crisi e successive comunicazioni pubbliche sul data breach. [15] Questi episodi illustrano un concetto fondamentale: in sanità non basta rubare dati per fare danno. Basta bloccare i sistemi giusti. Se si fermano prenotazioni, refertazione, accesso alle cartelle cliniche o servizi diagnostici, il problema esce immediatamente dalla sala server ed entra nella vita concreta di reparti, ambulatori e pazienti.

Deep web, dark web e il destino dei dati esfiltrati

Per il settore sanitario, il punto non è tanto la distinzione teorica tra deep web e dark web, quanto il fatto che i dati esfiltrati possono essere pubblicati su leak site, usati come leva estorsiva o commercializzati in circuiti criminali. Questo accresce l’impatto dell’incidente ben oltre l’interruzione del servizio.

La superficie di attacco: complessità strutturale delle infrastrutture sanitarie

In sanità la sicurezza non si risolve con un antivirus o con un firewall. La superficie di attacco è vasta e strutturalmente complessa: software legacy, dispositivi medici con cicli di vita lunghi, applicazioni di terze parti, fornitori esterni, ambienti cloud e piattaforme di telemedicina.

Secondo un Private Industry Notification dell’FBI Cyber Division del settembre 2022, il 53% dei dispositivi medici connessi e di altri dispositivi IoT negli ospedali presentava almeno una vulnerabilità critica nota. [12] Il problema è amplificato dalla longevità di questi dispositivi, che spesso sopravvivono ai sistemi operativi su cui girano, e dalla natura eterogenea delle infrastrutture sanitarie, con sistemi informativi costruiti nel tempo con logiche diverse, integrazioni stratificate, fornitori che accedono ai sistemi con modalità non sempre controllate e una pressione operativa costante che spinge a privilegiare la disponibilità del servizio rispetto alla sicurezza.

In un ecosistema così articolato, ogni componente connesso alla rete rappresenta potenzialmente un punto di ingresso: dalle postazioni cliniche ai dispositivi di monitoraggio, dai sistemi di refertazione alle interfacce con i laboratori, dai portali per i pazienti alle VPN per il personale in mobilità.

Evoluzione delle minacce: dalla doppia estorsione all’uso dell’intelligenza artificiale

Il ransomware resta la minaccia più rilevante per il settore sanitario, ma le sue modalità operative sono in continua evoluzione. La doppia estorsione – in cui gli attaccanti esfiltrano i dati prima di cifrare i sistemi, minacciando la pubblicazione in caso di mancato pagamento – è una pratica documentata a partire dal 2019-2020. Nel 2025, tuttavia, è diventata il modello operativo dominante nel settore sanitario: sempre più campagne ransomware includono sistematicamente l’esfiltrazione dei dati prima della cifratura dei sistemi.

L’evoluzione osservata nel 2025 conferma la crescente centralità dell’esfiltrazione dei dati e di modelli estorsivi che possono prescindere anche dalla sola cifratura dei sistemi. [5] A questo si aggiunge l’uso crescente dell’intelligenza artificiale da parte degli attaccanti. Il Rapporto Clusit 2026 evidenzia come l’IA stia agendo da moltiplicatore di rischio: phishing generato automaticamente e ormai indistinguibile da comunicazioni autentiche, campagne di ricognizione affidate a bot che analizzano le superfici di attacco su scala industriale, creazione di varianti malware capaci di eludere i sistemi di rilevamento. A livello globale, il phishing è cresciuto del 75% nel 2025, con il contributo sostanziale delle tecnologie di AI generativa; in Italia, l’incremento è stato del 66%. [5]

Sul fronte difensivo, l’intelligenza artificiale sta entrando nei Security Operations Center per correlare volumi di eventi che nessun analista umano potrebbe gestire manualmente. Ma il bilancio resta asimmetrico: come osservato dalla presidente di Clusit Anna Vaccarelli, l’IA rafforza le capacità difensive ma amplia anche il potenziale offensivo degli attaccanti. [5]

Il quadro normativo europeo e italiano: NIS2, EHDS e l’Action Plan per la cybersecurity sanitaria

L’Europa non sta a guardare. La direttiva NIS2 [7] ha esteso e rafforzato gli obblighi di gestione del rischio cyber e di notifica degli incidenti nei settori critici, inclusa la sanità, imponendo un approccio più strutturato a misure, responsabilità e supervisione. In Italia, la NIS2 è stata recepita con il D.Lgs. 138/2024, che ha ridefinito il perimetro dei soggetti obbligati e rafforzato i poteri di supervisione dell’ACN. A questa misura si affianca la Legge 90/2024 sulla cybersicurezza [16], che ha introdotto obblighi specifici di notifica degli incidenti per le pubbliche amministrazioni e le aziende sanitarie, inasprendo le sanzioni per i reati informatici e creando un quadro normativo nazionale più stringente e organico.

Sul piano specificamente sanitario, il Regolamento (UE) 2025/327 sullo European Health Data Space (EHDS) [8] è stato pubblicato il 5 marzo 2025, è entrato in vigore il 26 marzo 2025 e prevede un’applicazione progressiva a partire dal 2027. Il messaggio è chiaro: l’Europa punta a rendere più fluido l’uso del dato sanitario, ma pretende che interoperabilità e circolazione dell’informazione siano accompagnate da requisiti elevati di sicurezza e governance.

A gennaio 2025, la Commissione europea ha pubblicato un Action Plan specifico per la cybersecurity di ospedali [9] e strutture sanitarie, con la creazione di un European Cybersecurity Support Centre all’interno di ENISA e un servizio di early warning da attivare entro il 2026. Questo strumento rappresenta un cambio di approccio: dalla risposta reattiva agli incidenti alla prevenzione strutturata, con un coordinamento europeo che finora era mancato nel settore sanitario.

A queste iniziative si aggiungono i principi del Cyber Resilience Act (Regolamento UE 2024/2847) [17], che introduce requisiti di sicurezza by design per i prodotti con elementi digitali immessi nel mercato europeo, con implicazioni dirette anche per i dispositivi medici connessi e per il software utilizzato nelle infrastrutture sanitarie.

Misure tecniche e organizzative: costruire una difesa multilivello

La risposta tecnica a questo scenario non può essere affidata a una logica difensiva minimale. In ambito sanitario servono architetture multilivello, dove la sicurezza non sia aggiunta a valle ma incorporata nella progettazione dei sistemi. Questo significa almeno sei cose. Primo: conoscere gli asset, perché non si protegge ciò che non si è inventariato.

Secondo: governare gli accessi con autenticazione forte, segmentazione dei privilegi e tracciabilità. Terzo: proteggere i dati in transito e a riposo con adeguate misure crittografiche. Quarto: segmentare reti e ambienti, separando quanto più possibile i domini clinici, amministrativi e di terze parti. Quinto: rafforzare logging, monitoraggio e capacità di risposta. Sesto: trattare fornitori, software legacy e dispositivi medici connessi come parte integrante del rischio, non come elementi esterni o neutrali.

Accanto all’architettura tecnica resta decisivo il fattore organizzativo. Molti incidenti partono ancora da email fraudolente, errori umani, cattiva gestione delle credenziali, software non aggiornato o backup non adeguatamente isolati. In sanità, dove il personale lavora spesso sotto pressione e con tempi stretti, la sicurezza deve essere semplice da applicare. Se le procedure sono troppo complesse, verranno aggirate. E ogni scorciatoia diventa un punto di ingresso.

Le linee guida del programma statunitense 405(d) [11] per il settore healthcare insistono su pratiche concrete: protezione della posta elettronica, endpoint protection, access management, data protection, asset management, vulnerability management, incident response, network management, medical device security e formazione continua del personale. Non sono misure spettacolari, ma sono quelle che più spesso determinano la differenza tra un’organizzazione vulnerabile e una resiliente.

Conclusione: un cambio di paradigma culturale

La digitalizzazione della sanità produce valore solo se il dato resta affidabile, disponibile e protetto lungo tutto il suo ciclo di vita. Quando questo non accade, il rischio non è solo informatico: diventa clinico, organizzativo e reputazionale.

C’è un aspetto culturale che viene ancora sottovalutato. In molte realtà la cybersecurity viene percepita come un tema tecnico o come un adempimento normativo. In sanità questo approccio non è più sostenibile. Se un sistema di laboratorio si blocca, se un referto non è disponibile o se una cartella clinica non è accessibile nel momento giusto, il problema non è solo informatico. Diventa assistenziale.

È in questo passaggio che il dato clinico smette di essere un semplice archivio sensibile e diventa un’infrastruttura critica. Proteggere questa infrastruttura richiede una cultura progettuale nuova, in cui sicurezza, interoperabilità e continuità operativa non siano obiettivi separati, ma dimensioni integrate dello stesso sistema.

La sanità digitale continuerà a evolversi, ed è giusto che sia così. Più interoperabilità, più telemedicina, più servizi online significano anche più efficienza e migliore qualità delle cure. Ma significano pure una superficie di attacco più ampia. Per questo innovazione e cybersecurity non possono più viaggiare separate. La resilienza nasce molto più dalla disciplina ingegneristica e dalla consapevolezza diffusa che da soluzioni tecnologiche estemporanee.

Riferimenti

[21 ENISA, Threat Landscape: Health Sector, July 2023

[2] ENISA, Health sector cybersecurity analysis, 2024, disponibile sul portale ENISA dedicato al settore sanitario.

[3] European Commission, Communication from the Commission to the European Parliament and the Council – A European Health Data Space: harnessing the power of health data for people, patients and innovation, COM(2022) 196 final, 3 maggio 2022

[4] ACN – Agenzia per la Cybersicurezza Nazionale, “La minaccia cibernetica al settore sanitario”, novembre 2025

[5] Rapporto Clusit 2026, Associazione Italiana per la Sicurezza Informatica, marzo 2026

[6] U.S. Department of Health and Human Services, Office for Civil Rights – Breach Portal

[7] Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con D.Lgs. 138/2024

[8] Regolamento (UE) 2025/327 – European Health Data Space (EHDS)

[9] European Commission, EU Action Plan on Cybersecurity of Hospitals and Healthcare, gennaio 2025

[10] NIST, Telehealth and Remote Patient Monitoring Ecosystem Security, SP 1800-30

[11] HHS 405(d) Health Industry Cybersecurity Practices (HICP)

[12] FBI Cyber Division, Private Industry Notification “Unpatched and Outdated Medical Devices Provide Cyber Attack Opportunities”, 12 settembre 2022

[13] ASST Rhodense, informativa ex art. 34 GDPR, ottobre 2024; ASST Rhodense, Aggiornamento relativo all’attacco alla rete informatica aziendale, 13 giugno 2024

[14] Synlab Italia, Attacco cybercriminale ai sistemi informatici di SYNLAB Italia – aggiornamento FAQ, 18 luglio 2024

[15] Regione Basilicata, Direzione Generale per la Salute e le Politiche della Persona, Attacco hacker del gennaio 2024: comunicazione pubblica ai sensi dell’art. 34 GDPR, maggio 2024

[16] Legge 28 giugno 2024, n. 90, “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”

[17] Regolamento (UE) 2024/2847 (Cyber Resilience Act)