Negli ultimi anni la sanità è entrata stabilmente tra i settori più esposti dal punto di vista cyber. Non è una percezione, ma un dato che emerge con chiarezza dall’analisi degli incidenti. Secondo la più recente edizione del Rapporto Clusit, nel 2025, a livello globale, gli attacchi informatici di successo contro il settore sanitario superano quota 1.000, con una crescita del 30% rispetto all’anno precedente e un volume ormai cinque volte superiore rispetto al 2020.
Ancora più rilevante è la natura di questi attacchi. Nove casi su dieci producono impatti gravi o molto gravi, segno che non si tratta di eventi marginali, ma di operazioni progettate per interrompere servizi, compromettere dati e creare conseguenze concrete sull’operatività.
Il dato italiano è più contenuto nei numeri, ma va letto con attenzione. Nel 2025 gli attacchi di successo e di pubblico dominio analizzati sono 10. Si tratta però esclusivamente di incidenti emersi e verificati attraverso fonti aperte: il numero reale è con ogni probabilità più elevato. A cambiare, più che il volume, è anche la natura degli attacchi. Accanto alle attività di cybercrime, resta rilevante la componente hacktivista e cresce il peso di azioni mirate, come le campagne DDoS che hanno colpito più realtà sanitarie nel corso dell’anno.
Questo scarto tra dato globale e nazionale può dare un’impressione fuorviante. Non è la pressione a diminuire, ma il modo in cui viene osservata. Ed è proprio qui che il tema si sposta. Per capire cosa sta succedendo davvero, non basta guardare quanti attacchi vengono registrati. Bisogna osservare come si è trasformato il contesto in cui questi attacchi avvengono.
Il perimetro non esiste più
Se si guardano i dati, il quadro è chiaro. Ma è osservando come funziona oggi la sanità digitale che si capisce davvero dove nasce il rischio. Per molto tempo la sicurezza informatica è stata costruita attorno a un’idea semplice: proteggere ciò che si trova all’interno della struttura. Sistemi clinici, reti locali, applicazioni interne. Un perimetro definito, almeno sulla carta.
Oggi questo schema non è più sufficiente. Le strutture sanitarie non operano più come ambienti isolati. Sono parte di un sistema molto più ampio, che include servizi territoriali, piattaforme digitali, fornitori esterni e dispositivi distribuiti. I dati si muovono continuamente tra questi livelli, attraversando infrastrutture diverse e spesso eterogenee.
Una prestazione sanitaria può iniziare in presenza, proseguire da remoto e concludersi su una piattaforma digitale. Un’informazione clinica può essere generata in un dispositivo, elaborata su un sistema centrale e resa disponibile tramite un servizio esterno. Ogni passaggio aggiunge un collegamento, e ogni collegamento introduce una dipendenza. È in questo contesto che il concetto di perimetro perde significato. Non esiste più un “dentro” e un “fuori” chiaramente separati. Esiste una rete di relazioni digitali che collega strutture sanitarie, operatori, pazienti e fornitori. Ed è proprio lungo queste relazioni che si sviluppa la superficie di attacco.
La crescita degli incidenti osservata negli ultimi anni non è quindi solo una questione di numeri. È la conseguenza diretta di un sistema che, per funzionare meglio, deve necessariamente essere più connesso. E più connessioni significa più punti di accesso da governare.
Dove si apre davvero l’esposizione
Quando si parla di superficie di attacco, il rischio è restare su un piano teorico. In realtà, l’estensione dell’esposizione nasce da elementi molto concreti, già presenti nella quotidianità operativa delle strutture sanitarie. Uno dei primi riguarda i dispositivi medicali connessi. Monitor, sistemi di imaging, apparecchiature diagnostiche: sono progettati per garantire continuità e affidabilità clinica, ma spesso restano in esercizio per anni, con limitate possibilità di aggiornamento e integrazione con strumenti di sicurezza avanzati. Rimangono collegati alla rete, ma difficili da gestire, diventando punti di accesso indiretti all’infrastruttura.
A questo si aggiunge la diffusione della telemedicina e dell’assistenza da remoto. Le attività non si svolgono più solo all’interno delle strutture, ma si estendono verso l’esterno. Medici e operatori accedono ai sistemi da contesti diversi, mentre i pazienti utilizzano applicazioni e servizi digitali che entrano a far parte, di fatto, dello stesso ecosistema. Il risultato è un perimetro che si espande oltre il controllo diretto dell’organizzazione.
Il ruolo del cloud contribuisce ulteriormente a questo scenario. I dati non sono più concentrati in un unico ambiente, ma distribuiti tra piattaforme diverse, spesso integrate tra loro. Ogni interazione tra sistemi introduce nuove dipendenze tecniche, che devono essere gestite e monitorate nel tempo.
In questo contesto, l’identità diventa uno dei principali punti di accesso. Account tecnici, credenziali di servizio, accessi privilegiati: elementi indispensabili per il funzionamento dei sistemi, ma anche potenziali vettori di compromissione se non gestiti in modo rigoroso. Non è più solo la rete a definire il perimetro, ma chi può accedere a cosa, in quali condizioni.
Infine, c’è un livello meno visibile ma altrettanto rilevante, legato ai fornitori e alle componenti esterne. Software di terze parti, piattaforme applicative, servizi integrati: ogni elemento della supply chain digitale può diventare un punto di ingresso. La superficie di attacco non cresce quindi in modo uniforme, ma lungo queste direttrici. Non è il risultato di una singola tecnologia, ma dell’insieme delle connessioni che rendono possibile il funzionamento della sanità digitale.
Quando il rischio diventa operativo
In molti contesti, un incidente informatico si traduce in perdita di dati o interruzione temporanea dei servizi. In sanità, le conseguenze possono essere molto più ampie. Quando un sistema viene compromesso, l’impatto non resta confinato all’infrastruttura digitale. Può rallentare attività diagnostiche, rendere indisponibili informazioni cliniche, bloccare processi amministrativi e generare effetti a catena su tutta l’organizzazione. Anche attacchi che non puntano direttamente alla sottrazione di dati, come le campagne DDoS osservate in diversi casi nel corso del 2025, possono rendere inaccessibili portali e servizi essenziali, con ricadute immediate sull’operatività.
Ci sono poi scenari in cui la compromissione non si esaurisce nell’attacco iniziale. Il furto di dati sanitari, ad esempio, può essere utilizzato per costruire operazioni successive, come campagne di phishing altamente credibili basate su informazioni reali. In questi casi, il danno si estende oltre la struttura sanitaria e coinvolge direttamente cittadini e operatori.
Questo tipo di dinamica evidenzia un aspetto spesso sottovalutato. Il rischio cyber in sanità non è solo tecnologico. È operativo, perché incide sulla continuità dei servizi. È organizzativo, perché mette sotto pressione processi e persone. E in alcune situazioni può avere implicazioni che vanno oltre il digitale, toccando aspetti sensibili legati alla gestione delle cure. È anche per questo che la crescita degli attacchi, letta insieme all’aumento della loro gravità, assume un significato diverso rispetto ad altri settori. Non si tratta solo di proteggere sistemi e dati, ma di garantire che l’intero ecosistema continui a funzionare anche in condizioni critiche.
Ridurre la superficie di attacco
Di fronte a uno scenario di questo tipo, la risposta non può essere rallentare la digitalizzazione. Sarebbe una scelta inefficace, oltre che incompatibile con l’evoluzione dei servizi sanitari. Il punto è un altro: ridurre la superficie di attacco senza compromettere l’operatività.
Questo richiede prima di tutto visibilità. Sapere quali sistemi sono connessi, quali dispositivi sono attivi, come circolano i dati e quali relazioni esistono tra le diverse componenti dell’infrastruttura è la base di qualsiasi strategia efficace. Senza questa consapevolezza, anche le misure di sicurezza più avanzate rischiano di essere parziali. Accanto alla visibilità, diventa fondamentale intervenire sulla struttura delle connessioni. Limitare la possibilità di movimento all’interno della rete, separare ambienti diversi e ridurre le dipendenze non necessarie consente di contenere gli effetti di un eventuale attacco, evitando che una compromissione locale si trasformi in un problema sistemico.
Un altro elemento centrale riguarda la gestione degli accessi. In un contesto in cui l’identità è uno dei principali punti di ingresso, controllare chi accede, con quali privilegi e in quali condizioni diventa essenziale. Non si tratta solo di autenticare gli utenti, ma di governare l’intero ciclo di vita delle identità, comprese quelle tecniche e di servizio.
La continuità operativa è l’altro lato della stessa medaglia. Backup affidabili, piani di ripristino e capacità di recupero rapido permettono di affrontare anche gli scenari più critici senza interrompere i servizi. In sanità, questo aspetto non è accessorio, ma parte integrante della sicurezza.
Infine, è necessario estendere il controllo oltre i confini diretti dell’organizzazione. Fornitori, piattaforme esterne, componenti software e servizi integrati fanno parte a tutti gli effetti dell’infrastruttura. Considerarli separati significa lasciare aperta una parte rilevante della superficie di attacco.
Governare l’esposizione, in modo strutturato
In un contesto in cui la superficie di attacco cresce insieme ai servizi, la sicurezza non può più essere affrontata come un insieme di interventi isolati. Serve un approccio coerente, capace di tenere insieme infrastruttura, protezione e continuità operativa. È in questa direzione che si inserisce il modello adottato da Hypergrid, che lavora sulla riduzione dell’esposizione. L’obiettivo non è aggiungere strumenti, ma costruire un ambiente controllato. Questo significa partire dall’infrastruttura, con soluzioni cloud certificate ACN, progettate per garantire visibilità e gestione del dato, affiancate da architetture virtualizzate che permettono maggiore flessibilità, isolamento e controllo degli ambienti.
Allo stesso tempo, diventa centrale conoscere il proprio livello di esposizione. Attività come il vulnerability assessment consentono di individuare in modo puntuale le debolezze presenti nei sistemi, prima che possano essere sfruttate. A questo si affiancano la protezione delle connessioni, la segmentazione degli ambienti e il monitoraggio continuo delle attività, elementi che permettono di ridurre la superficie di attacco e contenere eventuali compromissioni.
La capacità di reagire resta comunque fondamentale. Sistemi di backup e disaster recovery, insieme a servizi di monitoraggio e analisi, permettono di mantenere la continuità operativa anche in presenza di eventi critici. La gestione delle identità contribuisce a ridurre ulteriormente i punti di accesso non controllati, intervenendo su una delle aree più sensibili dell’infrastruttura. In questo scenario, la sicurezza diventa un processo continuo, che accompagna l’evoluzione dei sistemi invece di inseguirla.
Oltre l’ospedale, oltre il perimetro
L’estensione della superficie di attacco nella sanità digitale è una conseguenza diretta dell’innovazione. Più connessioni, più integrazione e più servizi significano inevitabilmente più complessità. Il rischio non è questo cambiamento, ma la mancanza di governo. Quando il perimetro si dissolve, la sicurezza non può più essere definita da un confine. Deve essere costruita lungo tutte le relazioni che rendono possibile il funzionamento del sistema.
Se vuoi conoscere meglio le nostre soluzioni, contattaci! Con una consulenza completamente gratuita potrai scoprire come possiamo aiutarti. Puoi chiamarci al numero +39 0382 528875, scriverci all’indirizzo info@hypergrid.it, visitare il nostro sito https://hypergrid.it. O più semplicemente, cliccare il pulsante qui sotto per prenotare un appuntamento online gratuito con il nostro team.
Devi effettuare l'accesso per postare un commento.