Il settore sanitario italiano si trova sotto assedio informatico, come documentato dall’Agenzia per la Cybersicurezza Nazionale (ACN). Secondo la relazione ufficiale ACN 2024, negli ultimi anni si sono verificati in media 2,6 eventi cyber malevoli al mese ai danni di strutture sanitarie, dei quali la metà circa ha dato luogo a “incidenti”.

Nel 2024, secondo i dati ufficiali ACN, si è registrato un significativo aumento delle minacce: 1.979 eventi cyber gestiti dal CSIRT Italia, con 573 incidenti significativi confermati, segnando un aumento del 40% rispetto al 2023. Gli incidenti confermati sono aumentati dell’89,1% rispetto al 2023.

Per quanto riguarda specificatamente il settore sanitario, nel 2024, circa 50 strutture sanitarie italiane sono state colpite da cyberattacchi, causando gravi ripercussioni sui servizi essenziali.

Il costo devastante delle violazioni: Il settore sanitario al primo posto

Per il quattordicesimo anno consecutivo, il settore sanitario detiene il primato poco invidiabile dei costi più elevati per violazione dei dati, con una media di 9,77 milioni di dollari per breach nel 2024, secondo il report IBM 2024 Cost of a Data Breach. Nel 2025, nonostante una diminuzione a 7,42 milioni di dollari, la sanità rimane il settore più costoso, superando di gran lunga il costo medio globale delle violazioni.

I costi delle violazioni sanitarie sono aumentati del 10% anno su anno, mentre le organizzazioni finanziarie, al secondo posto, riportano un costo medio di 6,08 milioni di dollari.

Ransomware ospedali: l’attacco all’ASST Rhodense

Uno dei casi più documentati del 2024 è l’attacco subito dall’ASST Rhodense. Tra il 5 e il 6 giugno 2024, l’ASST Rhodense è stata colpita da un attacco ransomware rivendicato dal gruppo cybercriminale Cicada3301, che ha portato all’esfiltrazione di 1 TB di dati sensibili.

I dati rubati includevano informazioni di identificazione personale (PII), dati personali, documenti medici, prescrizioni e altri documenti sensibili, successivamente pubblicati integralmente sul sito di leak del gruppo. L’attacco ha interessato le strutture sanitarie di Garbagnate Milanese, Bollate, Rho e Passirana.

Secondo l’intervista esclusiva condotta dal gruppo cybersecurity Red Hot Cyber con gli attaccanti, l’accesso alla rete è avvenuto tramite “un appaltatore che serve l’ospedale” e il gruppo è rimasto all’interno delle infrastrutture IT per “circa un anno”.

Il panorama internazionale: il caso Change Healthcare

L’attacco più devastante documentato a livello internazionale è quello subito da Change Healthcare negli Stati Uniti. Il 21 febbraio 2024, Change Healthcare ha scoperto di essere vittima di un attacco ransomware perpetrato dal gruppo ALPHV/BlackCat.

L’accesso è avvenuto il 12 febbraio tramite credenziali compromesse utilizzate per accedere a un portale Citrix di Change Healthcare, che non utilizzava l’autenticazione a più fattori. UnitedHealth Group ha pagato un riscatto di 22 milioni di dollari tramite Bitcoin, ma il gruppo ransomware ha eseguito un “exit scam”, trattenendo il denaro senza fornire le chiavi di decrittazione.

L’attacco ha compromesso i dati personali, sanitari e finanziari di circa 192,7 milioni di individui, rendendolo la più grande violazione di dati sanitari nella storia degli Stati Uniti.

Il valore dei dati sanitari nel mercato nero

Secondo Nunzia Ciardi, Vicedirettore generale dell’ACN, “una cartella clinica può valere tra i 300 e i 1.000 dollari, mentre una carta di credito arriva a 30 dollari”, evidenziando perché i cybercriminali considerano il settore sanitario un bersaglio particolarmente appetibile.

Le vulnerabilità del sistema sanitario italiano

Un’analisi condotta dall’ACN su oltre 50.000 indirizzi IP associati al settore sanitario ha rivelato che circa 2.178 di essi espongono quotidianamente servizi su Internet, presentando numerose criticità. Le vulnerabilità sono state classificate in tre categorie:

• Configurazioni errate (60% delle criticità)
• Software obsoleti o vulnerabili (25% delle criticità)
• Servizi e dispositivi esposti incautamente (15% delle criticità)

Le analisi sugli incidenti svolte dall’ACN mostrano che “i tentativi di attacco spesso hanno successo poiché alcune pratiche di sicurezza, anche elementari, vengono ignorate o mal implementate”.

La crescita del fenomeno

Secondo i dati ufficiali ACN, nel 2022 sono stati rilevati 45 eventi cyber nel settore sanitario, con un aumento del 50% nel 2023 rispetto all’anno precedente. Per il 2024 il numero complessivo degli eventi cyber è quasi raddoppiato rispetto al 2023.

Va chiarito che i dati sull’Italia come “terzo posto in Europa” sono riferiti a classifiche generali di cybersecurity e non specificamente al settore sanitario. Secondo i dati di ACN, nel 2023 la sanità italiana è stata il terzo settore più bersagliato dagli attacchi ransomware, subito dopo il manifatturiero e il commercio al dettaglio.

Le contromisure e le raccomandazioni

Quest’anno in Italia, secondo il Vicedirettore dell’ACN, sono state colpite da cyberattacchi circa cinquanta strutture sanitarie, con ripercussioni che spesso si estendono a più ospedali e servizi. “Quando un ospedale viene attaccato, le attività essenziali, come i pronto soccorso e la radioterapia, vengono interrotte, costringendo i malati oncologici a spostarsi su altri distretti sanitari”, ha dichiarato Nunzia Ciardi.

L’Intelligenza Artificiale emerge come strumento di difesa: le organizzazioni che hanno implementato estensivamente l’intelligenza artificiale e l’automazione nei loro workflow di prevenzione hanno visto una riduzione media di 2,2 milioni di dollari nei costi delle violazioni.

Conclusioni

L’ACN sottolinea come l’aumento del 50% degli attacchi informatici nel settore sanitario evidenzi la gravità della situazione. “La cybersecurity sanitaria non è solo un problema tecnico: è una questione di responsabilità collettiva, che riguarda istituzioni, aziende e cittadini”, ha concluso il Vicedirettore di ACN.

La protezione delle infrastrutture sanitarie richiede un approccio sistemico che comprenda aggiornamenti tecnologici, formazione del personale e implementazione di protocolli di sicurezza robusti, poiché quando si tratta di salvare vite umane, la vulnerabilità informatica non è un’opzione accettabile.

Fonti:

Agenzia per la Cybersicurezza Nazionale. (2024). Relazione annuale al Parlamento 2024. Roma: ACN.

Agenzia per la Cybersicurezza Nazionale. (2025). La minaccia cibernetica al settore sanitario: Report gennaio 2023 – maggio 2025. Roma: ACN, CSIRT Italia.

Ciardi, N. (2024, 17 ottobre). Dichiarazioni ufficiali durante il convegno “La minaccia cibernetica al settore sanitario”. Palazzo Lombardia, Milano. In Cyberattacchi in crescita nel settore sanitario, dati digitali nel mirino degli hacker. Agenzia per la Cybersicurezza Nazionale.

IBM Security. (2024). Cost of a Data Breach Report 2024. Armonk, NY: IBM Corporation.

(2024, 20 settembre). Attacchi hacker alla sanità in continuo aumento, 46 nel 2024. ANSA Tecnologia – Cybersecurity.

Krebs, B. (2024, marzo). BlackCat Ransomware Group Implodes After Apparent $22M Payment by Change Healthcare. Krebs on Security.

Red Hot Cyber. (2024, 20 giugno). Attacco Informatico all’ASST Rhodense: Cicada3301 pubblica 1 TB di Dati Sensibili liberamente scaricabili. Red Hot Cyber Security Intelligence.

Red Hot Cyber. (2024, 24 giugno). Esclusivo! Parla il Gruppo Hacker Dietro l’Attacco alla ASST Rhodense intervistato da RHC. Red Hot Cyber Dark Lab.

HIPAA Journal. (2025, 15 agosto). Change Healthcare Increases Ransomware Victim Count to 192.7 Million Individuals.

ICT Security Magazine. (2025, 21 gennaio). Cybersecurity nel Settore Sanitario: Minacce, Vulnerabilità e Strategie di Difesa per il 2025.

Lerman, R. (2025, 27 gennaio). How the ransomware attack at Change Healthcare went down: A timeline. TechCrunch.

https://www.ictsecuritymagazine.com/notizie/ransomware-ospedali/