La trasformazione digitale della Sanità ha ridefinito profondamente modelli operativi, qualità dei servizi e relazione con i pazienti, negli ultimi anni. Cartelle cliniche elettroniche, sistemi di telemedicina, dispositivi IoT medicali e piattaforme cloud stanno migliorando l’efficienza e l’accessibilità delle cure. Tuttavia, questa evoluzione porta con sé un aumento esponenziale della superficie di attacco: la cybersecurity nel settore sanitario è oggi una vera e propria priorità strategica da gestire con estrema urgenza.
Secondo il report dell’Agenzia per la Cybersicurezza Nazionale (ACN), “La minaccia cibernetica al settore sanitario”, il comparto è oggi tra i più colpiti a livello globale, con impatti che non si limitano alla dimensione IT ma coinvolgono direttamente la continuità operativa e la sicurezza dei pazienti. I dati raccolti da ACN nel periodo 2023–2025 delineano un quadro chiaro e preoccupante.
Cybersecurity nel settore sanitario: numeri e trend
In Italia si registrano mediamente 4,7 eventi cyber malevoli al mese ai danni di strutture sanitarie: circa la metà di questi si trasforma in incidente con impatto reale sui servizi! Il trend è in crescita:+111% di eventi cyber nel 2024 rispetto al 2023; il 96% degli eventi nel 2024 si sono evoluti in incidenti. Nel 2025? un ulteriore aumento degli eventi (+47,4%). Questi numeri non indicano solo una maggiore attività degli attaccanti, ma anche una crescente capacità di rilevazione.
Tuttavia, il dato più rilevante è un altro: gli attacchi hanno sempre più spesso successo. Le cause? Non necessariamente tecnologie insufficienti, ma spesso lacune organizzative e operative. Il report evidenzia come molti incidenti siano legati a:
- scarsa attenzione alla sicurezza
- formazione insufficiente del personale
- pratiche di gestione IT non strutturate.
Le principali minacce: ransomware e compromissione delle credenziali
L’attack landscape del settore sanitario si presenta oggi come strutturalmente evoluto e, allo stesso tempo, estremamente variegato, con attacchi che combinano più tecniche e si sviluppano progressivamente in più fasi.
Il ransomware continua a rappresentare la minaccia più critica, non tanto per volume, quanto soprattutto per l’impatto operativo e clinico che può generare. Questa tipologia di attacco, infatti, non si limita a bloccare l’infrastruttura IT, ma tende sempre più spesso a rappresentare un rischio per la continuità delle cure e, di conseguenza, alla sicurezza dei pazienti.
Medici e operatori sanitari dipendono costantemente da informazioni aggiornate in tempo reale: anche poche ore di indisponibilità possono tradursi rapidamente in ritardi nelle diagnosi, rinvii di interventi e, più in generale, in un aumento del rischio clinico. A questo si aggiunge il valore particolarmente elevato dei dati sanitari, che non possono essere semplicemente rigenerati e che, se compromessi o alterati, possono influenzare direttamente le decisioni mediche.
Parallelamente, la compromissione delle credenziali si conferma una delle principali porte d’ingresso per gli attaccanti, segnando, di fatto, un cambio di paradigma rispetto agli approcci più tradizionali. Sempre più frequentemente, infatti, i cybercriminali evitano di forzare i sistemi e preferiscono sfruttare accessi legittimi per muoversi indisturbati all’interno delle infrastrutture. In questo modo, riescono a bypassare i controlli perimetrali, riducendo sensibilmente la probabilità di rilevamento e facilitando, nel tempo, il movimento laterale tra sistemi e applicazioni.
Tecniche come il phishing avanzato, spesso mirato al personale sanitario, l’utilizzo di malware infostealer per il furto silenzioso di password e cookie e il credential stuffing basato su credenziali già compromesse risultano oggi ampiamente diffuse e, tipicamente, rappresentano le fasi iniziali di attacchi più articolati.
Un attacco moderno si sviluppa, infatti, lungo una sequenza strutturata: può iniziare con un’email di phishing, proseguire con il furto di credenziali, evolvere in un accesso apparentemente legittimo ai sistemi e consolidarsi, successivamente, attraverso il movimento laterale all’interno della rete, fino ad arrivare all’esfiltrazione dei dati e, in molti casi, alla distribuzione di ransomware.
Questo approccio multi-stage consente agli attaccanti di aumentare significativamente le probabilità di successo e, allo stesso tempo, di ridurre la visibilità delle proprie attività nelle fasi iniziali. Di conseguenza, le difese tradizionali, basate su singoli strumenti o su un perimetro statico, risultano progressivamente meno efficaci. Proteggere in modo realmente efficace un’organizzazione sanitaria richiede quindi un approccio più olistico, capace di correlare eventi, monitorare comportamenti anomali e intervenire tempestivamente lungo l’intera catena dell’attacco, anziché limitarsi a bloccare singoli vettori di minaccia.
Cosa dovrebbero fare le aziende sanitarie
Alla luce dell’evoluzione delle minacce cybersecurity nel settore sanitario, le implicazioni per le strutture sanitarie vanno ben oltre l’adozione di nuove tecnologie. È necessario un vero cambio di paradigma strategico, adottando un approccio olistico in cui tecnologia, persone e processi siano perfettamente allineati. Le soluzioni avanzate di sicurezza devono essere accompagnate da governance strutturate, formazione continua del personale e modelli operativi basati sulla gestione del rischio. Solo attraverso questa visione integrata è possibile costruire una reale resilienza cyber, capace di proteggere sistemi e dati, garantendo continuità operativa e sicurezza del paziente anche in scenari di attacco complessi.
Dal punto di vista tecnologico, è fondamentale passare da un approccio reattivo a uno proattivo: basta intervenire dopo un incidente! Per la protezione delle strutture sanitarie, Longwave adotta un framework basato su una visione integrata. Il primo step è un assessment approfondito della postura di sicurezza, utile a identificare vulnerabilità reali, priorità di intervento e livelli di rischio; a questa fase segue il design di architetture resilienti, in cui sicurezza, continuità operativa e scalabilità sono progettate fin dall’inizio. Il deploy di soluzioni integrate consente poi di superare la logica dei silos tecnologici, abilitando una gestione centralizzata e coerente della sicurezza. Infine, la nostra suite LION® Managed services garantisce monitoraggio continuo, rilevamento tempestivo delle minacce e capacità di risposta rapida agli incidenti.
In questo percorso, i nostri servizi di Red Team assumono un ruolo particolarmente strategico. Attraverso simulazioni avanzate di attacco, condotte in modo controllato e realistico, è possibile testare concretamente la capacità dell’organizzazione di prevenire, rilevare e rispondere a minacce sofisticate. Il Red Team non si limita a individuare vulnerabilità tecniche, ma mette alla prova l’intero ecosistema: processi, persone, strumenti e modelli decisionali. In ambito sanitario, questo approccio consente di evidenziare eventuali gap operativi e di sicurezza che, in condizioni reali, potrebbero avere impatti diretti sulla continuità dei servizi.
