Negli ultimi anni, la sanità si è confermata come uno dei settori più esposti alle minacce informatiche. Non è una sorpresa: l’estrema digitalizzazione dei servizi e la mole di dati sensibili trattati, rendono questo ambito uno dei bersagli preferiti per cybercriminali, attivisti e gruppi organizzati.
Fino a poco tempo fa, il focus principale sembrava essere rivolto alle strutture sanitarie pubbliche e agli ospedali ma i recenti attacchi dimostrano un’evoluzione preoccupante del fenomeno: il mirino si è spostato sulla distribuzione farmaceutica.
Tre episodi ravvicinati, che hanno coinvolto nomi importanti del settore. In tutti i casi si sono verificati furti di dati, blocchi operativi e la probabile azione di ransomware. Le indagini sono ancora in corso, ma la gravità degli incidenti è già chiara. Per diverse ore, ad esempio, le farmacie di Veneto e Friuli sono rimaste senza rifornimenti, mentre i dati trafugati da una delle società colpite hincludono credenziali, documenti finanziari e informazioni tecniche sulla logistica del farmaco.
È un segnale evidente: la cyberminaccia alla sanità non è più circoscritta agli ospedali o ai sistemi pubblici, ma si estende all’intera filiera del farmaco. In un contesto dove l’interconnessione tra soggetti pubblici e privati è essenziale per garantire la continuità assistenziale, la resilienza informatica diventa un requisito di sistema, non più solo una voce nei budget IT.
I dati Clusit lo confermano: il settore sanitario continua a essere sotto attacco e il 2025, con le sue anomalie statistiche e l’emergere dell’hacktivism, promette nuovi scenari di rischio ancora più difficili da governare.
Un settore sotto pressione
Il settore sanitario è da anni uno degli ambiti più esposti ai cyberattacchi a livello globale. Ma ciò che emerge dai primi mesi del 2025 va oltre la semplice conferma di una tendenza consolidata: si tratta di un’accelerazione, con 131 incidenti registrati solo nel primo trimestre, pari a oltre un quarto del totale osservato nell’intero 2024. Un dato che non può essere ignorato.
Secondo il Rapporto Clusit dedicato al settore Healthcare, nel 2024 gli attacchi informatici alla sanità rappresentavano il 13% del totale globale. La crescita osservata tra gennaio e marzo 2025, tuttavia, indica un aumento della pressione sistemica: nuove tipologie di attacco, maggiore varietà geografica delle vittime, e un’evoluzione nelle motivazioni alla base degli incidenti.
Anche se la crescita percentuale appare meno vertiginosa rispetto agli anni della pandemia – quando l’accelerazione digitale andava di pari passo con l’impreparazione difensiva – i dati suggeriscono che la minaccia non sta diminuendo, ma sta cambiando volto. Dopo il picco del 2023, il 2024 ha mantenuto livelli elevati di attacchi, e il primo trimestre 2025 ha già mostrato diverse anomalie rispetto al passato, tra cui una crescita di episodi attribuibili all’hacktivism e un aumento degli attacchi DDoS.
In questo contesto, parlare di “pressione crescente” non è più una metafora: per le strutture sanitarie, ogni giorno rappresenta una sfida operativa e strategica, in cui la sicurezza informatica non è più solo un fattore tecnico, ma un elemento centrale della continuità assistenziale.
Dal cybercrime all’hacktivism
Per anni, la quasi totalità degli attacchi al settore sanitario ha avuto un movente economico. Il cybercrime – nella sua forma più diretta, finalizzata al riscatto o alla rivendita di dati – è stato il principale artefice delle compromissioni digitali in ospedali, ASL e sistemi regionali. Tuttavia, il 2025 segna una discontinuità importante.
Secondo Clusit, nel primo trimestre dell’anno corrente il 34% degli attacchi al settore healthcare ha una matrice riconducibile all’hacktivism. Un dato mai registrato prima, che segna un’inversione significativa rispetto al 2024, quando il 99% degli incidenti era attribuito al crimine informatico classico.
A differenza del cybercrime, l’hacktivism non mira direttamente al guadagno. Si tratta di azioni motivate da ideologie politiche, sociali o culturali, spesso non annunciate, difficili da prevedere, e caratterizzate da obiettivi inaspettati. Questo cambiamento comporta una nuova imprevedibilità della minaccia: i bersagli non sono più scelti in base al valore monetizzabile dei dati, ma per la loro visibilità, il valore simbolico o la capacità di generare disservizio.
Tra le tecniche preferite dagli hacktivisti, si segnala un forte incremento degli attacchi DDoS (Distributed Denial of Service), che mirano a rendere indisponibili sistemi cruciali come portali di prenotazione, piattaforme di telemedicina, centralini di emergenza. Queste offensive non compromettono i dati, ma bloccano l’operatività, producendo effetti molto concreti per utenti e pazienti.
Questa nuova dinamica complica la gestione della sicurezza nel settore sanitario: se il crimine informatico può essere affrontato con barriere, monitoraggi e strategie di mitigazione, gli attacchi di tipo attivista richiedono un salto di paradigma. Servono soluzioni in grado di tenere conto non solo delle vulnerabilità tecniche, ma anche del contesto sociale e geopolitico in cui l’organizzazione opera.
Tecniche di attacco e criticità
Nel primo trimestre del 2025, l’analisi delle tecniche utilizzate contro il settore sanitario mostra un’evoluzione significativa rispetto agli anni precedenti. Il dato più evidente è la riduzione dell’incidenza del malware, passato dal 33% nel 2024 al 20%, accompagnata da una crescita marcata degli attacchi DDoS, che nel medesimo periodo hanno raggiunto il 33% del totale degli episodi registrati. Questo cambiamento segna una transizione importante: dalle minacce finalizzate alla compromissione dei dati si passa sempre più a tecniche di saturazione e interruzione del servizio.
Gli attacchi DDoS, spesso associati ad azioni di hacktivism, hanno come obiettivo la paralisi temporanea delle risorse digitali. In un settore come quello sanitario, le conseguenze possono essere gravi: l’indisponibilità dei portali di prenotazione o dei sistemi di gestione delle emergenze può causare ritardi nell’erogazione delle cure e compromettere l’accesso alle informazioni cliniche. L’interruzione del servizio, anche solo per poche ore, può produrre un impatto reale sulla salute dei pazienti, soprattutto in contesti critici come le terapie intensive o le aree di emergenza-urgenza.
A fianco di questa tendenza, continuano a manifestarsi anche tecniche tradizionali. Il malware, pur in calo, resta un vettore rilevante, in particolare nella forma di ransomware, che consente ai criminali di bloccare intere infrastrutture IT e richiedere un riscatto per il ripristino dei sistemi. Anche il phishing e l’ingegneria sociale, pur con una frequenza più contenuta, mantengono un ruolo come porta d’accesso iniziale agli ambienti interni delle organizzazioni. Lo sfruttamento di vulnerabilità note costituisce un’altra modalità d’attacco diffusa, specie nei confronti di sistemi non aggiornati o dispositivi medicali connessi non progettati con criteri di sicurezza.
Un elemento allarmante riguarda la quota di attacchi che restano classificati come “non noti”, pari al 40% dei casi. Questo dato suggerisce una carenza di capacità di rilevamento e analisi post-incidente da parte delle organizzazioni sanitarie. Le caratteristiche strutturali del settore sanitario amplificano ulteriormente questi rischi. Le infrastrutture IT sono spesso eterogenee e includono sistemi legacy difficili da aggiornare. I dispositivi medicali, fondamentali per l’erogazione delle cure, non sempre sono integrati in modo sicuro nelle reti ospedaliere. La necessità di garantire la continuità operativa, infine, porta spesso a rimandare interventi tecnici come aggiornamenti di sicurezza o sostituzione di software obsoleti.
In questo contesto, mentre le tecniche di attacco si evolvono e si diversificano, la superficie esposta resta ampia e fragile. La combinazione di alta criticità operativa, basso margine di tolleranza al disservizio e limitate risorse dedicate rende la sanità un bersaglio privilegiato, anche per attacchi non particolarmente sofisticati ma ben pianificati.
Attacchi distribuiti
Fino al 2024, la maggioranza degli attacchi informatici rivolti al settore sanitario si concentrava negli Stati Uniti, che da soli rappresentavano oltre l’80% degli incidenti noti. L’Europa si attestava intorno al 13%, mentre l’Asia e l’Oceania risultavano marginali. Tuttavia, il primo trimestre del 2025 ha segnato una svolta significativa in questo assetto geografico, con una redistribuzione delle minacce che cambia profondamente lo scenario globale.
Negli ultimi mesi, infatti, la quota di attacchi diretti agli Stati Uniti si è ridotta drasticamente, scendendo al 51%. Parallelamente, si è assistito a una crescita degli incidenti in Asia, passati da meno del 2% a oltre il 24% del totale. Anche l’Europa ha visto un incremento della propria esposizione, con una quota salita al 18%. Si delinea così una situazione in cui nessuna regione può più considerarsi secondaria: l’attacco informatico alla sanità è oggi un fenomeno distribuito e non più prevedibile su base geografica.
A questa maggiore diffusione si accompagna anche un cambiamento nella natura degli attacchi stessi. In particolare, la tecnica del DDoS – attacco mirato a saturare le risorse e rendere indisponibili i sistemi – mostra una chiara distribuzione: la gran parte di questi attacchi è stata registrata in Asia, seguita dall’Europa, mentre l’America ha visto un’incidenza molto più bassa. Questo spostamento conferma il legame tra i contesti geopolitici e i vettori di minaccia: in Asia e in Europa, dove è più forte l’attivismo digitale e più frammentata la governance della cybersicurezza, l’hacktivism prende sempre più piede come nuova forma di pressione.
Il risultato è un quadro globale dove i modelli predittivi faticano a tenere il passo con l’evoluzione degli attori e delle strategie. Per le strutture sanitarie italiane ed europee, ciò si traduce in una constatazione semplice: la minaccia non è più un’eventualità remota. È concreta e richiede una risposta all’altezza della sua portata.
Dal blocco dei servizi alle sanzioni
Quando un attacco informatico colpisce una struttura sanitaria, gli effetti non si esauriscono nel solo perimetro digitale. I danni sono spesso immediati e tangibili: interruzioni delle attività cliniche, ritardi nelle cure, impossibilità di accedere a documentazione medica o gestire correttamente le emergenze. Nei casi più gravi, si arriva al blocco completo dei sistemi informativi, con ripercussioni anche sulla sicurezza dei pazienti.
A livello legale, l’impatto può essere altrettanto pesante. Secondo le normative vigenti, ogni violazione di dati personali – anche solo potenziale – obbliga il titolare del trattamento a notificare l’evento non solo alle autorità di Polizia, ma anche al Garante per la Protezione dei Dati Personali. Quest’ultimo, dopo aver esaminato il caso, può imporre sanzioni per inadeguatezza delle misure di sicurezza adottate, come già accaduto in passato con strutture pubbliche. Anche in assenza di una diffusione dei dati, il solo ritardo nella comunicazione dell’incidente può costituire una violazione.
Ma oltre agli obblighi formali, resta la questione più ampia della fiducia. Ogni attacco mina la credibilità dell’ente colpito e apre interrogativi sulla sua capacità di proteggere non solo i dati, ma anche la salute delle persone. In ambito sanitario, dove la fiducia è alla base del rapporto tra cittadini, medici e istituzioni, la perdita di affidabilità può avere effetti molto più duraturi dei danni tecnici.
Costruire la resilienza
L’aumento degli attacchi informatici in ambito sanitario, la diversificazione degli attori e l’introduzione di normative più stringenti come la Direttiva NIS2 impongono nuove misure: come può un ospedale, un ente pubblico, un distributore o un’azienda biotech proteggere davvero la propria infrastruttura digitale? La risposta non può essere univoca, né delegata esclusivamente alla tecnologia. È necessario adottare un approccio integrato, dove governance, strumenti e competenze si sostengano a vicenda.
Nessuna misura tecnica sarà efficace se non esiste una cultura della sicurezza condivisa. Formazione continua, simulazioni di attacco e aggiornamento dei protocolli interni sono elementi fondamentali per costruire una difesa realmente efficace. Il personale – sia amministrativo sia clinico – deve essere parte attiva della protezione dei dati e dei sistemi.
Dal punto di vista tecnico, la complessità dei sistemi sanitari richiede soluzioni modulabili e compatibili con ambienti legacy. Non si tratta solo di installare firewall o antivirus: servono sistemi di monitoraggio avanzato, segmentazione delle reti, protezione degli endpoint, autenticazione multifattoriale, cifratura dei dati e strategie di backup. E, sempre più spesso, occorrono anche strumenti predittivi basati su intelligenza artificiale per rilevare anomalie prima che si trasformino in incidenti.
Un partner italiano per la cybersicurezza nella sanità digitale
In un ecosistema sanitario sempre più digitale, interconnesso e soggetto a rischi sistemici, la scelta dei partner tecnologici diventa un elemento strategico per garantire continuità operativa, conformità normativa e fiducia da parte di pazienti e istituzioni.
Hypergrid si propone come alleato concreto per ospedali, ASL, distributori farmaceutici e aziende del settore healthcare, offrendo soluzioni verticali, modulari e pienamente conformi alle normative europee – incluse le recenti evoluzioni introdotte dalla Direttiva NIS2. L’approccio di Hypergrid si basa su:
Infrastrutture proprietarie in Italia: la gestione dei dati avviene esclusivamente su server localizzati nel Paese, garantendo pieno controllo, sovranità digitale e adeguatezza rispetto alle normative privacy e sanitarie.
Cloud certificato ACN: per la virtualizzazione di servizi critici (dalla posta elettronica alle mailing list operative) viene utilizzato un ambiente cloud sicuro, scalabile e validato dall’Agenzia per la Cybersicurezza Nazionale.
Posta elettronica sicura e personalizzata: Hypergrid offre servizi di messaggistica protetta progettati su misura per le esigenze delle strutture sanitarie, con certificazioni, gestione avanzata delle identità e protezione attiva contro phishing e malware.
Cybersicurezza integrata: ogni servizio è erogato con protezioni native contro le principali minacce (ransomware, DDoS, intrusioni), grazie all’integrazione con i propri sistemi di monitoraggio e risposta agli incidenti.
Grazie a un’esperienza consolidata nel settore pubblico e privato, Hypergrid è oggi un interlocutore affidabile per la trasformazione digitale sicura. Non si tratta solo di tecnologia: si tratta di costruire insieme un futuro in cui la sicurezza informatica sia parte integrante della missione di cura, tutela e innovazione.
Contattaci per valutare insieme le soluzioni più adatte alla tua struttura – www.hypergrid.it
Devi effettuare l'accesso per postare un commento.