Sanità digitale e furto dati: il caso Milano e le 5 mosse per difendersi

Milano, un attacco che suona come un campanello d’allarme

È successo a Milano, ma potrebbe accadere ovunque. Un gruppo di hacker dell’Est Europa ha violato il “Paziente Consapevole”, una piattaforma privata utilizzata da medici di base, farmacie e cittadini per gestire prenotazioni, referti e ricette. Il colpo? Centinaia di email inviate ai pazienti con finte richieste di pagamento per arretrati sanitari mai esistiti. Il trucco? Usare dati reali o parziali per rendere credibile la truffa.

La Regione Lombardia ha precisato che “i sistemi centrali regionali non risultano compromessi“, ma l’episodio mette a nudo una verità scomoda: quando i nostri dati sanitari transitano su portali di terze parti, anche un solo anello debole della catena può spalancare le porte ai criminali.

Il caso SYNLAB: quando un laboratorio diventa ostaggio digitale

Se pensate che Milano sia un caso isolato, guardate cosa è successo a SYNLAB Italia nell’aprile 2024. Il grande gruppo di diagnostica, con laboratori sparsi in tutta Italia, è finito nel mirino del gruppo criminale Black Basta. L’attacco ransomware ha bloccato i sistemi, sospeso i download dei referti e, soprattutto, portato all’esfiltrazione di circa 1,5 terabyte di dati: analisi mediche, documenti d’identità, prestazioni erogate dal 2015 al 2024.

Non si è trattato solo di un “furto” di informazioni. È stata una doppia estorsione: prima cifrano i sistemi paralizzando l’attività, poi minacciano di pubblicare i dati rubati se non arriva il riscatto. Un ricatto che mette alle corde strutture sanitarie già sotto pressione, dove ogni ora di fermo significa disservizi per i pazienti e costi enormi.

Perché i tuoi dati sanitari valgono oro per i criminali

Ma cosa rende i dati sanitari così appetibili per chi attacca? La risposta è semplice: sono completi, preziosi e facili da monetizzare.

Dentro un referto medico o una cartella clinica c’è tutto: nome, cognome, codice fiscale, indirizzo, storia clinica. Informazioni perfette per costruire truffe su misura, furti d’identità o campagne di phishing mirate. E le strutture sanitarie? Sono bersagli ideali perché non possono permettersi di stare offline: un’interruzione dell’attività significa vite a rischio, oltre che danni economici e di reputazione. Ecco perché la propensione a pagare il riscatto è spesso alta.

C’è poi un altro elemento: la catena è lunga e vulnerabile. Laboratori, software gestionali, farmacie, app di telemedicina, portali di prenotazione: ogni fornitore esterno può rappresentare il punto debole attraverso cui entrare.

Chi attacca e come lo fa

Dietro questi attacchi ci sono gruppi organizzati che operano come vere e proprie aziende criminali. Il modello più diffuso è il “ransomware-as-a-service” (RaaS): organizzazioni come Black Basta forniscono gli strumenti a criminali che poi colpiscono strutture sanitarie in tutto il mondo.

Le tecniche? Phishing mirato a medici e personale sanitario, credenziali rubate, portali esterni senza protezioni adeguate come l’autenticazione a due fattori. Una volta dentro, si muovono lateralmente nei sistemi, esfiltrano i dati, cifrano tutto e poi arriva la richiesta di riscatto. Se non si paga, minacciano di pubblicare i dati sul dark web.

Cosa puoi fare

Di fronte a questo scenario, non siamo del tutto impotenti. Ecco alcune regole d’oro per proteggere i tuoi dati sanitari:

-Attiva l’autenticazione a due fattori su tutti i portali sanitari che usi: app per i referti, Fascicolo Sanitario Elettronico, prenotazioni online. È il primo scudo contro gli accessi non autorizzati.

-Occhio alle email sospette. Se ricevi una richiesta di pagamento o un link per scaricare un referto, verifica sempre l’origine. Contatta direttamente la struttura usando un canale che sai essere ufficiale, mai i contatti presenti nell’email stessa.

-Mantieni aggiornati i tuoi dispositivi e non usare mai reti Wi-Fi pubbliche per consultare dati sanitari. Usa password robuste e diverse per ogni account importante.

-Se ti comunicano un data breach, agisci subito: cambia password, attiva l’autenticazione a due fattori, monitora eventuali spese o servizi che non hai richiesto e segnala tutto alla struttura coinvolta.

-Mai pagare richieste di riscatto o presunti debiti sanitari senza verificare. È proprio quello che sperano i criminali.

Cosa non devi fare

– Non cliccare su link o allegati in email che promettono “referto pronto” o “pagamento urgente” senza aver verificato.

–Non condividere codici OTP o credenziali con nessuno, nemmeno se si presentano come “dell’ASL” o “della Regione”.

–Non ignorare le comunicazioni di data breach pensando che “tanto i miei dati non interessano a nessuno”. Potrebbero essere l’inizio di una frode.

La posta in gioco è alta

I dati sanitari sono diventati una commodity per il crimine organizzato digitale, ma restano un asset critico per la nostra salute e sicurezza. Imparare a proteggerli non è più un’opzione: è una necessità. Perché quando si tratta della nostra storia clinica, della nostra identità e della nostra privacy, prevenire vale infinitamente più che curare.

Ecco chi tutela i dati in Italia: gli enti di riferimento

ACN – Agenzia per la Cybersicurezza Nazionale: coordina la strategia cyber e l’attuazione NIS2; pubblica alert e raccomandazioni per sanità e PA. acn.gov.it+1
CSIRT Italia (nell’orbita ACN): gestisce segnalazioni e indicatori di compromissione, allerta su campagne in corso. acn.gov.it
Garante per la Protezione dei Dati Personali: riceve le notifiche di data breach, emana linee guida e adotta provvedimenti (es. sanzioni post-Regione Lazio). Garante Privacy+1
Polizia Postale – CNAIPIC: prevenzione e contrasto dei crimini informatici su infrastrutture critiche; coordina le indagini. Polizia Postale+1

E in Europa:

ENISA – Agenzia dell’Unione Europea per la Cybersicurezza: report annuali (Threat Landscape), linee per il settore salute, supporto all’attuazione NIS2. ENISA+1
EDPB/Garanti nazionali: interpretazione uniforme del GDPR e cooperazione su violazioni transfrontaliere (per i profili privacy). (Contesto generale; per i casi sanitari il Garante italiano resta l’interlocutore principale).

Fonti principali

Caso Milano “Paziente Consapevole”: Corriere della Sera; ANSA; Sky TG24; Avvenire. Avvenire+3Corriere Milano+3ANSA.it+3
Trend minacce sanità (UE): ENISA – Threat Landscape 2024; pagina settore Health. ENISA+1
Italia: ACN/CSIRT (analisi e raccomandazioni); Garante Privacy (data breach; provvedimenti caso Lazio). Garante Privacy+3acn.gov.it+3acn.gov.it+3
Synlab: Sky TG24; comunicazioni e note ex art.34 GDPR. Sky TG24+2Garofalo Health Care+2
USA: HHS/OCR – FAQ su Change Healthcare; AP News su MFA mancante; Cybersecurity Dive/STAT per quadro impatto. STAT+3HHS.gov+3AP News+3
Irlanda (HSE): HHS/ASPR TRACIE – “Lessons Learned”. ASPR TRACIE

Fonti raccolte con ChatGPT

Un letto per due: amore, tradimenti e rinascite al San Babila

Giornata del gatto: tutti i benefici per salute e umore

Capodanno a teatro a Milano: “La locandiera” al San Babila con brindisi

Giovani e dipendenze: l’allarme degli esperti per intervenire subito

Salute mentale in Italia: un Paese più consapevole, che impara a chiedere