Il settore sanitario sta attraversando una fase critica sul fronte della sicurezza informatica. Da un lato, le minacce si fanno sempre più sofisticate e frequenti; dall’altro, molte strutture ospedaliere faticano a rispondere con strumenti adeguati. Le informazioni custodite – dati clinici, ricerche, infrastrutture operative – hanno un valore elevato per i cybercriminali, che colpiscono con l’obiettivo di bloccare i servizi e chiedere riscatti. Le evidenze raccolte dall’Agenzia Nazionale per la Cybersecurity confermano un peggioramento costante, con un numero crescente di incidenti e una superficie d’attacco in continua espansione. A fronte di questo scenario, il quadro normativo tenta di imprimere una svolta, ma l’adeguamento tecnologico procede a rilento. Serve un approccio più strutturato, che metta al centro la resilienza digitale come elemento strategico della sanità.
Secondo l’ACN, nel periodo 2023–2024, in Italia il numero di attacchi che hanno causato danni oggettivi alle organizzazioni colpite è passato da 12 a 55. E la tendenza si conferma anche nel primo trimestre del 2025: 21 eventi e 11 incidenti, contro i 10 e 6 dello stesso periodo dell’anno precedente. Gli attacchi informatici non mettono a rischio solo finanze e reputazione, ma possono paralizzare sistemi vitali. Un blackout informatico causato da un attacco può costare vite umane, come già avvenuto in Germania.
A ciò si aggiunge una nuova urgenza: con l’introduzione del Fascicolo Sanitario Elettronico (FSE 2.0), all’interno del più ampio processo di digitalizzazione della sanità italiana sostenuto dal Piano Nazionale di Ripresa e Resilienza (PNRR), torna con forza la questione della tutela della riservatezza dei dati sanitari sensibili. Oltre alle minacce ben note come ransomware e furto di dati, stanno assumendo sempre più importanza gli attacchi complessi contro dispositivi medici connessi (IoMT), così come lo sfruttamento dell’errore umano – soprattutto in un contesto di crescente attività da parte di attori delle minacce sponsorizzati da governi, che colpiscono infrastrutture critiche.
Regolamentazioni e realtà
Con la Missione 6 – Salute del PNRR, sono stati stanziati cospicui fondi per l’ammodernamento tecnologico e digitale degli ospedali italiani, con l’obiettivo di supportare la digitalizzazione e il rinnovamento di oltre tremila grandi apparecchiature obsolete entro il 2025, e di rendere pienamente operative le soluzioni di telemedicina e i sistemi di cartella clinica elettronica entro il 2026. Questi investimenti porteranno certamente a miglioramenti significativi – ma non necessariamente in termini di cybersecurity. Hardware e software obsoleti restano ampiamente diffusi a causa di vincoli certificativi; le infrastrutture IT e di rete, inclusi i sistemi di gestione degli edifici basati su protocolli OT, continuano a essere protetti a compartimenti stagni; e il fattore umano – uno dei principali vettori di attacco – resta fortemente sottovalutato. In queste condizioni, e nonostante i grandi investimenti, la vulnerabilità del settore appare quasi inevitabile.
Alla luce della crescente complessità e dinamicità del panorama delle minacce, è necessario adottare un approccio alla sicurezza completo e proattivo. Questo deve andare oltre la classica difesa perimetrale e includere, tra gli altri elementi: la segmentazione rigorosa della rete per limitare i movimenti laterali degli attaccanti, controlli d’accesso stringenti secondo i principi dello Zero Trust, l’utilizzo di infrastrutture VPN e autenticazione a più fattori, nonché direttive chiare sull’uso sicuro di dati sensibili e tecnologie obsolete.
Essenziali sono anche i meccanismi per il rilevamento precoce delle minacce (Threat Detection) e una rapida risposta agli incidenti di sicurezza (Incident Response). Con l’aumento della connettività dei dispositivi medici, servono inoltre misure specifiche per la loro protezione – spesso, infatti, risultano tecnologicamente superati. E, non da ultimo, è fondamentale prevedere una formazione continua e campagne di sensibilizzazione rivolte a tutto il personale.
Nel quadro complesso della cybersecurity sanitaria, l’adozione di misure frammentate e non coordinate rischia di generare più problemi che soluzioni. La protezione dei sistemi e dei dati, in assenza di una strategia unitaria, può apparire come un traguardo irraggiungibile. Eppure, le possibilità offerte dalla tecnologia non mancano. Soluzioni affidabili, già disponibili sul mercato, permettono di innalzare il livello di sicurezza senza compromettere la continuità operativa. Serve però un cambio di passo nella gestione, nella governance e nella consapevolezza del rischio.
“La complessità del contesto non deve scoraggiare. Se ben progettata, la difesa delle infrastrutture sanitarie è del tutto realizzabile. Dal punto di vista tecnologico, non ci sono limiti invalicabili: il settore può già oggi contare su soluzioni proattive pienamente conformi alle normative e capaci di rispondere con efficacia alle minacce”, afferma Andrea Scattina, country manager Italy di Stormshield.
Da stato d’emergenza alla priorità strategica
Eppure, nonostante la disponibilità di tecnologie avanzate per la cybersecurity, il numero di incidenti informatici con impatti gravi sulle infrastrutture critiche continua a crescere. La direttiva europea NIS2, recepita in Italia il 16 ottobre 2024 tramite il Decreto Legislativo n. 138, impone misure di sicurezza robuste e l’obbligo di segnalare tempestivamente gli incidenti. Ma non solo: l’articolo 2 del D.lgs. 138/2024 stabilisce un obbligo giuridico personale per i vertici aziendali nella governance della sicurezza, imponendo un coinvolgimento attivo e consapevole nella gestione della cybersecurity.
Un principio ribadito anche dall’Agenzia per la Cybersicurezza Nazionale, nella sua Determinazione del 14 aprile 2025: la sicurezza informatica non è delegabile. L’introduzione di misure di protezione adeguate e di una gestione efficace dei rischi non è più solo compito dei reparti IT cronicamente sottofinanziati, ma diventa un dovere prioritario del top management.
Proteggere i dati sensibili e le infrastrutture critiche, garantire la fiducia dei pazienti e la continuità dell’assistenza devono quindi diventare la missione centrale di ogni struttura sanitaria – comprese le relative catene di fornitura. Resta quindi da auspicare che i requisiti della NIS2 favoriscano un approccio proattivo, idealmente sovrano e olistico alla sicurezza, in grado di rafforzare in modo duraturo la resilienza del sistema sanitario nazionale.