Le nuove sfide della cybersicurezza nel settore sanitario

 

 

Il Rapporto Clusit sulla Cybersecurity in Italia e nel mondo – 2026 comprende un Focus on dall’eloquente titolo La fragilità della sanità digitale: crescita degli attacchi, nuovi rischi dall’IA e un perimetro sempre più esteso, a cura delle Women For Security.

Il documento sottolinea la portata della profonda trasformazione digitale subita da questo comparto in un lasso di tempo relativamente breve che, a fronte di un’impressionante evoluzione in termini di efficienza clinica e qualità delle cure, deve ora farsi carico di livelli di sicurezza maggiori e più sofisticati. Le criticità risiedono soprattutto nella gestione di enormi volumi di informazioni sensibili e riservate, nella salvaguardia di sistemi e tecnologie critici, nella protezione delle operazioni svolte attraverso servizi digitali interconnessi.

Uno degli elementi discriminanti, se non il principale, è l’introduzione di risorse basate sull’intelligenza artificiale agentica, le quali aggiungono ad ogni contesto vantaggi di scalabilità e incremento delle performance, accompagnati da rischi dovuti a tecnologie e dinamiche operative inedite. L’ampliamento del perimetro da difendere – sistemi IT, dispositivi IoMT (Internet of Medical Things), connessioni, identità – si traduce in margini di rischio sempre più vasti.

In termini quantitativi, i dati globali presentati nel report sono significativi: il numero di cyberattacchi annuali andati a buon fine contro il settore sanitario vanno da 210 del 2020 a 1.053 del 2025 (+35% rispetto all’anno precedente, con un volume cinque volte superiore rispetto al 2020) e una media mensile di 88 attacchi. Gli stessi dati, ripartiti geograficamente, mostrano un limitato contenimento in America ed Europa, un consistente incremento in Asia e l’emersione di vittime africane, seppur in termini molto minoritari. Inoltre, l’ACN ha registrato, in Italia, fra gennaio e dicembre 2025, un incremento del 47,4% degli eventi cyber rispetto all’anno precedente.

Sull’incidenza delle singole minacce, tutti concordano nel segnalare come rilevanti malware/ransomware, campagne di phishing/social engineering e ondate DDoS, a cui va aggiunto lo sfruttamento di vulnerabilità o weakness dei sistemi.

Le implicazioni di un ingente attacco ransomware, come quello che ha impattato l’americana Change Healthcare nel 2024, sono state più volte sperimentate concretamente.

Fra le decine di attacchi a fini estorsivi rivendicati di recente contro il comparto Health&Pharma, uno ha coinvolto il colosso farmaceutico danese Novo Nordisk, produttore, fra l’altro, della metà dell’insulina globale e del farmaco dimagrante Wegovy. Il gruppo criminale FulcrumSec avrebbe sottratto informazioni su migliaia di dipendenti dell’azienda e medici, nonché su alcuni studi interni, e avrebbe richiesto un riscatto di $25 milioni per scongiurarne la pubblicazione.

In ogni caso, forse, è la qualità raggiunta dagli attaccanti statuali che ora richiede maggiori attenzioni. Sul fronte delle minacce, infatti, si assiste ad una evoluzione sia delle tecniche di intrusione (anche qui, supportate sempre più dall’IA), sia delle motivazioni degli avversari. Le offensive iraniane contro il comparto sanitario americano sono state un esempio paradigmatico. Come è stato già notato, i servizi di assistenza medica, le compagnie e gli istituti di ricerca che operano nella diagnostica e nella farmaceutica sono ormai esposti anche ad attività di autentica guerra ibrida. Le loro infrastrutture sono potenziali obiettivi del cyberspionaggio e di operazioni distruttive state-sponsored che mettono a rischio la riservatezza delle attività nazionali e l’incolumità delle persone.

Al di là del ‘worst-case scenario’, nelle ultime settimane è emersa un’operazione di cyberspionaggio tracciata negli USA e in Canada che testimonia una realtà definitivamente uscita dal futuribile. Associata all’APT UNC6508 di presunta matrice cinese, la campagna ha preso di mira, fra gli altri, centri clinici di rilevanza mondiale, università, strutture sanitarie militari, gruppi di advocacy professionali e organismi di regolamentazione sanitaria. Realtà, nel complesso, coinvolte in attività di ricerca che spaziano dalla scoperta molecolare e i trial clinici sui farmaci, alle politiche sanitarie pubbliche a livello statale, alla “readiness” militare.

L’importanza di nuove e sempre più efficaci policy di sicurezza è stata percepita con chiarezza dai legislatori europei. L’ecosistema normativo che si sta consolidando per la sanità digitale dell’Unione si basa su tre pilastri. La Direttiva NIS2, ormai pienamente attiva, ha richiesto una nuova e più consapevole politica di gestione dei rischi in campo informatico. Il Piano d’Azione Europeo per la Cybersicurezza degli ospedali e dei prestatori di assistenza sanitaria – varato a gennaio 2025 con l’intento di concertare le attività dei prestatori di assistenza sanitaria, degli Stati membri e della comunità della cybersicurezza – si presenta come la prima iniziativa settoriale ad attuare l’intera gamma di misure dell’UE in materia di sicurezza informatica. Infine, il Regolamento EHDS (Spazio europeo dei dati sanitari), entrato in vigore a marzo 2025, mira all’istituzione graduale e programmata di un quadro comune per l’uso e lo scambio di dati sanitari elettronici in tutta l’UE.

 

TS-Intelligence

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy con l’ausilio della piattaforma TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui nostri servizi di Cyber Threat Intelligence.

 

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: