16/6/2026
Cybersicurezza nella sanità italiana: cosa sta succedendo e perché riguarda tutti
L’attacco che ha colpito la sanità francese, con i dati di milioni di cittadini finiti nelle mani dei criminali informatici, riporta l’attenzione su una domanda scomoda: può accadere lo stesso in Italia? I numeri dicono che il rischio è concreto.
Il caso francese: quando a cedere è il fornitore
All’inizio del 2026 un attacco informatico ha colpito non un singolo ospedale, ma una società che fornisce software per la gestione degli studi medici. Il risultato è stato la violazione dei dati personali di un numero stimato tra gli 11 e i 15 milioni di cittadini francesi, raccolti attraverso i sistemi usati da migliaia di medici.
Anche senza referti o esami clinici nel pacchetto sottratto, le informazioni esposte erano fortemente identificative: nomi, indirizzi, numeri di telefono e, in una parte dei casi, annotazioni scritte dai medici stessi. Il punto critico è proprio questo: colpendo un solo fornitore, gli aggressori hanno raggiunto in un colpo solo i pazienti di migliaia di professionisti. È il rischio della cosiddetta catena di fornitura, dove l’anello più debole diventa la porta d’ingresso verso tutti gli altri.
E in Italia? Gli attacchi alla sanità crescono
Lo scenario italiano non è rassicurante. Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale (ACN), nel 2025 gli attacchi al settore sanitario sono cresciuti di circa il 40% rispetto all’anno precedente. Dal 2023 si contano in media oltre quattro attacchi al mese alle strutture sanitarie, e circa la metà si traduce in un impatto reale sui servizi: prenotazioni bloccate, reparti rallentati, dati dei pazienti a rischio.
Le minacce più frequenti restano le solite, ed è una buona notizia perché sono anche le più contrastabili: tentativi di furto delle credenziali, phishing via e-mail, caselle di posta compromesse ed esposizione di dati. Il ransomware, il software che cifra i sistemi e chiede un riscatto, è diventato meno frequente ma resta quello che provoca i danni più gravi quando va a segno.
Perché la sanità è un bersaglio così appetibile
Le strutture sanitarie custodiscono i dati più preziosi che esistano sul mercato nero: informazioni sulla salute, che non si possono “cambiare” come una password o una carta di credito. A questo si aggiungono sistemi spesso datati, apparecchiature mediche connesse alla rete, personale numeroso e poco formato sui rischi informatici, e una pressione operativa che rende difficile fermarsi a ragionare sulla sicurezza. Per un attaccante è il bersaglio ideale: alto valore, difese fragili e vittime disposte a pagare pur di tornare operative.
Cosa si può fare, concretamente
Le raccomandazioni dell’ACN non richiedono budget da grande ospedale: la maggior parte sono misure di buon senso, alla portata anche di studi medici e piccole strutture.
- Autenticazione a più fattori (MFA): aggiungere un secondo passaggio oltre alla password, soprattutto sugli accessi da remoto e sulle VPN, blocca la stragrande maggioranza dei furti di credenziali.
- Backup e piano di ripristino: copie di sicurezza regolari, conservate separatamente e testate, sono l’unica vera assicurazione contro il ransomware.
- Formazione del personale: la maggior parte degli incidenti nasce da un clic sbagliato. Insegnare a riconoscere il phishing vale più di molti software.
- Controllo dei fornitori: come insegna il caso francese, la sicurezza dipende anche da chi fornisce software e servizi. Vanno scelti e verificati con attenzione.
- Governance e regole chiare: sapere chi è responsabile di cosa, gestire gli accessi e affrontare il rischio in modo programmato, non solo dopo l’emergenza.
Un obbligo, non più solo una scelta
Vale la pena ricordare che molte di queste misure non sono semplici consigli, ma stanno diventando requisiti di legge. La direttiva europea NIS2, recepita in Italia, estende gli obblighi di sicurezza a un numero crescente di soggetti, sanità inclusa, mentre il GDPR impone già da anni una tutela rafforzata dei dati sanitari, considerati “particolari”. Adeguarsi non è quindi solo una questione tecnica, ma di responsabilità verso i pazienti e di conformità normativa.
In sintesi: il caso francese non è un episodio lontano, ma uno specchio di vulnerabilità che esistono anche da noi. La differenza tra subire un attacco e contenerlo si gioca quasi sempre su poche misure di base, applicate prima dell’emergenza e non dopo.
Forma il tuo personale!
Nel settore sanitario la prima difesa sono le persone. Chi tratta dati particolari deve sapere come gestirli, proteggerli e reagire in caso di violazione. Il corso Privacy per addetti al settore sanitario di e-cons fornisce le competenze pratiche per farlo, in linea con il GDPR e le Linee Guida del Garante su Dossier e Fascicolo Sanitario Elettronico.
Durata 8 ore · in azienda · attestato di frequenza · docente Privacy Officer e CISM certificato.
