Shadow IT in sanità: WhatsApp, USB e la resistenza culturale che mette a rischio i dati sanitari

Lo shadow IT in sanità rappresenta oggi una delle vulnerabilità sistemiche più sottovalutate nel panorama della cybersecurity sanitaria europea. Mentre l’attenzione mediatica si concentra prevalentemente sugli attacchi ransomware e sulle violazioni di dati orchestrate da attori malevoli esterni, esiste un’insidia ben più pervasiva che si annida nelle pieghe quotidiane dell’operatività clinica: l’uso non autorizzato di tecnologie consumer per gestire informazioni sanitarie sensibili.

La radiografia che emerge dai più recenti dati di settore è impietosa. Secondo l’indagine Compass Survey 2025 condotta da Symplr, l’86% dei responsabili IT in ambito sanitario ha rilevato episodi di shadow IT nelle proprie strutture, un dato in crescita rispetto all’81% registrato appena un anno prima. Ma ciò che più inquieta non è tanto la percentuale in sé, quanto la natura sistemica del fenomeno: non si tratta di comportamenti isolati o di eccezioni, bensì di pratiche consolidate, spesso tollerate implicitamente, talvolta persino incentivate dalla pressione operativa.

Il Rapporto Clusit 2025 conferma la criticità del settore: nel 2024 sono stati registrati 471 incidenti informatici significativi contro strutture sanitarie a livello globale, pari al 13% del totale degli attacchi noti. Nel solo primo trimestre 2025 si contano già 131 episodi, oltre un quarto di quelli rilevati nell’intero anno precedente. In Italia, il 100% dei 13 incidenti pubblicamente noti nel settore healthcare ha avuto impatti classificati come gravi (62%) o gravissimi (38%). Eppure, paradossalmente, la minaccia più insidiosa non proviene dall’esterno.

La geografia sommersa dello shadow IT sanitario

Quando si parla di shadow IT nelle strutture ospedaliere, il riferimento più immediato riguarda l’utilizzo di applicazioni di messaggistica istantanea come WhatsApp per la trasmissione di referti, immagini diagnostiche e informazioni cliniche tra colleghi. Uno studio pubblicato sul Journal of Medical Internet Research ha evidenziato come questa pratica sia non solo diffusa, ma sistematicamente sottostimata nei report ufficiali delle organizzazioni sanitarie.

Il quadro si complica ulteriormente quando si considera l’ecosistema tecnologico tipico di un ospedale moderno. I dati del report Varonis 2025 State of Data Security indicano che il 98% delle organizzazioni ha applicazioni non verificate nei propri ambienti, incluse soluzioni di intelligenza artificiale non autorizzata (la cosiddetta shadow AI). Il fenomeno ha radici profonde: la frammentazione dei sistemi informativi ospedalieri, l’obsolescenza di molte piattaforme legacy e la mancanza di soluzioni istituzionali user-friendly creano un vuoto che il personale sanitario colma con gli strumenti che già conosce e padroneggia.

Ma lo shadow IT in sanità non si esaurisce nelle applicazioni cloud. Un report di Honeywell sulle minacce USB industriali, citato dalla Cybersecurity & Infrastructure Security Agency (CISA) e ripreso da GE HealthCare, rivela che il 52% delle minacce malware è progettato per propagarsi attraverso supporti rimovibili, in aumento rispetto al 37% del 2021. Le chiavette USB personali, utilizzate per trasferire configurazioni di dispositivi medici, aggiornamenti software o semplicemente file tra workstation, rappresentano vettori di infezione particolarmente pericolosi in ambienti dove i dispositivi biomedicali operano spesso su sistemi operativi non più supportati.

Un caso emblematico è stato documentato da Check Point Research nel 2023, quando un dipendente di un’istituzione sanitaria europea ha inconsapevolmente introdotto malware nei sistemi ospedalieri attraverso una chiavetta USB infettata durante una conferenza in Asia. L’indagine ha rivelato che il malware, denominato WispRider e attribuito al threat actor cinese Camaro Dragon (noto anche come Mustang Panda), possedeva capacità di auto-propagazione attraverso supporti rimovibili.

Il paradosso della sicurezza come ostacolo

Esiste una narrazione ricorrente, quasi un mito fondativo, che permea la cultura organizzativa di molte strutture sanitarie: la percezione della sicurezza informatica come vincolo burocratico, impedimento all’efficienza clinica, zavorra che rallenta processi già sotto pressione. Questa visione non è priva di fondamento empirico. I sistemi di autenticazione multifattore possono effettivamente aggiungere secondi preziosi in contesti di emergenza; le policy di blocco delle porte USB possono complicare procedure diagnostiche consolidate; le restrizioni sull’accesso a determinate applicazioni possono costringere il personale a cercare alternative non ufficiali.

La questione, tuttavia, non può essere ridotta a una semplice dicotomia tra sicurezza e operatività. Come osserva Kevin Fu, professore di Computer Science all’Università del Michigan e direttore dell’Archimedes Center for Medical Device Security, in un’intervista pubblicata su IEEE Pulse: “Il rischio maggiore non sono gli attacchi mirati ai singoli dispositivi, ma l’indisponibilità su larga scala delle cure a causa di una scarsa igiene cyber durante la produzione e l’erogazione dell’assistenza. Clicchiamo sui link. Condividiamo chiavette USB. Installiamo ransomware. La malevolenza non è un prerequisito per il danno. È questione di igiene basilare.”

Questo passaggio coglie un aspetto fondamentale: lo shadow IT in ambito sanitario non è primariamente un problema di malintenzionati interni, ma di pragmatismo mal indirizzato. Il medico che invia una radiografia via WhatsApp al collega per un consulto urgente non sta deliberatamente violando le policy di sicurezza; sta cercando di curare un paziente nel modo più rapido possibile, utilizzando gli strumenti che la sua esperienza quotidiana gli ha insegnato essere i più efficaci.

Il problema, naturalmente, è che WhatsApp non è conforme né al GDPR europeo né all’HIPAA statunitense. Come documentato nell’articolo scientifico di Masoni e Guelfi pubblicato su Internal and Emergency Medicine, l’applicazione non consente il monitoraggio degli accessi, non mantiene audit trail adeguati, non permette la revoca centralizzata degli accessi ai dati e, soprattutto, non firma Business Associate Agreement (BAA), requisito imprescindibile per la gestione di informazioni sanitarie protette secondo la normativa statunitense.

L’inefficacia della formazione tradizionale

Di fronte a questo scenario, la risposta istituzionale più comune è stata l’intensificazione dei programmi di formazione sulla sicurezza informatica. I dati, tuttavia, suggeriscono che l’approccio tradizionale basato su sessioni formative periodiche produce risultati deludenti.

Uno studio pubblicato su JAMA Network Open ha analizzato 95 campagne di phishing simulato condotte su sei organizzazioni sanitarie statunitensi tra il 2011 e il 2018, coinvolgendo circa 3 milioni di email. Il tasso di click mediano si è attestato al 16,7%, con una variabilità che andava dal 7,4% al 30,7% a seconda dell’organizzazione e della campagna. In sostanza, circa un dipendente su sette ha cliccato su email di phishing simulate.

Il report 2025 di Upfort conferma che il settore healthcare presenta il tasso di vulnerabilità più elevato tra tutti i verticali analizzati, con un fail rate complessivo del 12,9% nelle simulazioni di phishing, equivalente a un dipendente su otto che cade vittima di email malevole simulate. Il report KnowBe4 Phishing by Industry Benchmarking 2025 indica che Healthcare & Pharmaceuticals presenta il Phish-prone Percentage (PPP) baseline più elevato tra tutti i settori, attestandosi al 41,9%.

La buona notizia è che i programmi di formazione intensivi e continuativi mostrano efficacia significativa. Il medesimo report KnowBe4 documenta una riduzione del PPP dall’iniziale 33,1% globale al 4,1% dopo 12 mesi di formazione interna, equivalente a una riduzione dell’86%. Il report Hoxhunt 2025 Phishing Trends conferma questa tendenza: gli utenti sottoposti a training adattivo raggiungono tassi di segnalazione delle minacce superiori al 60%, rispetto al 7% degli utenti che ricevono solo formazione trimestrale standard.

Il problema, dunque, non è l’impossibilità di modificare i comportamenti, ma l’inadeguatezza degli approcci formativi tradizionali. La sessione annuale di tre ore sulla sicurezza informatica non produce cambiamenti comportamentali duraturi.

Il fattore umano come vulnerabilità sistemica

L’analisi dei dati disponibili suggerisce che il fattore umano nello shadow IT sanitario non può essere affrontato come un problema di singoli comportamenti devianti, ma come una vulnerabilità sistemica radicata nell’architettura organizzativa delle strutture sanitarie.

Tre elementi concorrono a determinare questa situazione. In primo luogo, la pressione temporale intrinseca all’attività clinica: in un contesto dove i minuti possono fare la differenza tra la vita e la morte, qualsiasi procedura percepita come rallentamento viene naturalmente aggirata. In secondo luogo, la frammentazione dei sistemi informativi: la tipica struttura ospedaliera opera con decine di applicazioni verticali non integrate, ciascuna con le proprie credenziali e interfacce, creando frustrazione e incentivando l’uso di soluzioni unificate (anche se non autorizzate). In terzo luogo, il turnover elevato: il settore sanitario presenta tassi di ricambio del personale significativamente superiori alla media, rendendo problematico il consolidamento di una cultura della sicurezza condivisa.

A questi fattori si aggiunge la specificità tecnica del contesto ospedaliero. Lo shadow IT è sempre stato un problema in sanità, e con le applicazioni cloud-based e il software-as-a-service, il numero di sistemi shadow sta crescendo, spesso all’insaputa del CIO o del direttore IT. Il problema è radicato nella natura distribuita dell’erogazione sanitaria: tradizionalmente, alcuni dipartimenti hanno sempre avuto il controllo amministrativo sui propri sistemi, anche quando i server risiedono nel data center IT, inclusi farmacia, radiologia, laboratori e persino risorse umane.

La Direttiva NIS2 (UE) 2022/2555, entrata in vigore nell’ottobre 2024, riconosce esplicitamente questa criticità. L’articolo 21, paragrafo 2, lettera g), impone alle entità essenziali (tra cui espressamente le strutture sanitarie) l’implementazione di “pratiche di igiene informatica di base e formazione in materia di cibersicurezza”. Ma la direttiva va oltre, stabilendo all’articolo 20 che gli organi di gestione delle entità essenziali devono seguire una formazione specifica e promuovere l’offerta periodica di formazione analoga ai propri dipendenti.

Strategie di awareness che funzionano

L’evidenza empirica suggerisce alcune caratteristiche distintive dei programmi di security awareness efficaci nel contesto sanitario.

La prima è la frequenza: sessioni brevi (7-10 minuti) ma regolari (mensili) producono risultati significativamente superiori rispetto a formazioni intensive ma sporadiche. La ragione è neurocognitiva: l’apprendimento comportamentale richiede rinforzo ripetuto per consolidarsi in automatismi.

La seconda è la contestualizzazione: i contenuti formativi devono essere specifici per il contesto sanitario, utilizzando esempi di phishing che simulano comunicazioni tipiche del settore (richieste di informazioni su pazienti, ordini di prescrizione, risultati di laboratorio). I dati mostrano che le email di phishing più efficaci sono quelle che sfruttano l’urgenza e la fiducia caratteristiche delle comunicazioni cliniche.

La terza è la gamification competitiva: rendere pubblici (in forma aggregata e anonimizzata) i risultati delle simulazioni per reparto o unità operativa crea una dinamica di competizione positiva.

La quarta è l’integrazione con il workflow clinico: le soluzioni di sicurezza devono essere progettate tenendo conto dei flussi di lavoro reali, non imponendo procedure che li contraddicono. Come osserva Kevin Fu: “Ciò che realmente manca agli ospedali sono strumenti di sicurezza che si adattino al workflow clinico. Esistono molti ottimi strumenti, ma non si integrano bene in un ambiente clinico.”

La quinta, forse la più importante, è il superamento dell’approccio punitivo: la segnalazione delle minacce deve essere incentivata, non la perfezione individuale.

Verso una riconciliazione tra clinica e sicurezza

Il problema dello shadow IT in sanità non ammette soluzioni puramente tecnologiche né esclusivamente formative. Richiede un ripensamento dell’architettura organizzativa che governa l’intersezione tra esigenze cliniche e requisiti di sicurezza.

Alcuni principi guida emergono dall’analisi delle best practice di settore. Il primo è l’ascolto attivo: comprendere perché il personale utilizza soluzioni non autorizzate prima di vietarle, identificando i gap funzionali che quelle soluzioni colmano. Il secondo è la risposta istituzionale: fornire alternative autorizzate che siano almeno altrettanto user-friendly delle soluzioni consumer (esistono applicazioni di messaggistica clinica conformi a GDPR e HIPAA, come Siilo, TigerConnect o Hospify, che replicano l’esperienza utente di WhatsApp). Il terzo è la segmentazione di rete: implementare controlli di accesso alla rete (NAC) che limitino la connettività dei dispositivi non autorizzati, ma anche la propagazione laterale in caso di compromissione.

Il quarto, cruciale nel contesto NIS2, è la responsabilizzazione del management: la direttiva europea introduce la responsabilità personale degli organi direttivi per l’implementazione delle misure di cybersecurity. Questo shift normativo potrebbe rappresentare il catalizzatore di un cambiamento culturale, elevando la sicurezza informatica da problema tecnico a priorità di governance.

Conclusioni

Lo shadow IT in sanità è un fenomeno complesso che sfida le categorizzazioni semplicistiche. Non è riducibile a un problema di dipendenti negligenti né a una carenza di policy aziendali. È l’esito di un conflitto strutturale tra la cultura dell’urgenza che permea l’assistenza sanitaria e le esigenze di controllo che caratterizzano la cybersecurity.

Affrontarlo richiede un approccio che Claudio Telmon del Comitato Direttivo Clusit ha efficacemente sintetizzato durante l’Healthcare Security Summit 2025: “È necessario investire non solo in tecnologie avanzate, ma anche in nuovi ruoli organizzativi e in una formazione continua e specializzata. Un aspetto fondamentale è l’inclusione di settori aziendali come l’Ingegneria Clinica, finora non sempre sufficientemente coinvolti nelle strategie di sicurezza.”

La posta in gioco è alta. I dati del primo trimestre 2025 mostrano già 131 incidenti cyber nel settore sanitario globale, oltre un quarto di quelli registrati nell’intero 2024. Il costo medio di un data breach sanitario si attesta a 9,77 milioni di dollari secondo l’IBM Cost of a Data Breach Report 2024. Ma il costo più significativo non è monetario: è la compromissione della fiducia dei pazienti in un sistema sanitario sempre più dipendente dalla tecnologia.

La risposta non può essere il ritorno a un passato analogico, né la rassegnazione a una digitalizzazione insicura. Deve essere la costruzione di un ecosistema in cui sicurezza e operatività clinica non siano più percepite come alternative, ma come dimensioni complementari di un’assistenza sanitaria di qualità. Lo shadow IT in sanità, in questo senso, è un sintomo prima che una malattia: il segnale di un’architettura organizzativa che deve evolvere.

Condividi sui Social Network:

Cyber Insurance in Italia: il protection gap delle PMI tra compliance e resilienza digitale

Whistleblower Tool europeo per l’AI Act: preparare l’azienda alla governance multilivello delle segnalazioni

Cyber insurance PMI: cosa sapere prima di sottoscrivere

SBOM e Cyber Resilience Act: come SPDX 3.0 e CycloneDX ridefiniscono la sicurezza della supply chain software

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine