Le strutture sanitarie e il rischio Cyber: manca un approccio strutturato.

1. Strutture sanitarie e rischio cyber: allarme dal Cyber Index PMINel panorama della digitalizzazione crescente, le strutture sanitarie italiane si trovano ad affrontare una sfida sempre più critica: la sicurezza informatica. Secondo gli ultimi dati del Cyber Index PMI, il settore sanitario mostra gravi carenze nell’approccio strategico alla cybersecurity, con un livello di consapevolezza ancora insufficiente e una scarsa capacità di adottare misure di mitigazione efficaci.Un settore ad alto rischio ma poco preparatoLe strutture sanitarie gestiscono quotidianamente enormi quantità di dati sensibili: cartelle cliniche, referti diagnostici, informazioni personali e fiscali dei pazienti. Questo le rende obiettivi privilegiati dei cybercriminali, ma nonostante ciò, molte di esse non dispongono di una strategia strutturata di protezione.Il Cyber Index PMI evidenzia che la maggior parte delle strutture sanitarie non ha implementato politiche organiche di cybersecurity. Le misure di sicurezza adottate sono spesso reattive e frammentarie, applicate solo in risposta a un attacco o a una segnalazione esterna.Le vulnerabilità principali rilevateDal rapporto emergono alcune criticità ricorrenti:
2. Sistemi informativi datati o non aggiornati, spesso legati a software legacy difficili da sostituire;
3. Mancanza di controlli sugli accessi e utilizzo di credenziali condivise tra operatori;
4. Formazione insufficiente del personale su phishing, ransomware e pratiche di sicurezza di base;
5. Assenza di piani di risposta agli incidenti e di test regolari per valutare la resilienza delle infrastrutture.
6. Conseguenze dirette sulla salute e sull'affidabilità del sistema sanitarioGli attacchi informatici nel contesto sanitario possono avere impatti devastanti: dai ritardi nelle cure per l’indisponibilità dei sistemi, fino alla manomissione di dispositivi medici connessi o alla diffusione non autorizzata di informazioni sanitarie.Oltre al danno operativo e reputazionale, le violazioni possono comportare gravi responsabilità legali, in particolare in relazione al Regolamento Generale sulla Protezione dei Dati (GDPR), con sanzioni che possono compromettere la stabilità economica della struttura.È necessario un cambio di passoIl Cyber Index PMI lancia un messaggio chiaro: le strutture sanitarie devono passare da una gestione emergenziale a una strategia di cybersecurity preventiva e continua.

Ciò significa:

1. Integrare la sicurezza informatica nei processi di governance;
2. Allocare risorse adeguate in tecnologie e formazione;
3. Stabilire policy chiare di gestione dei dati e degli accessi;
4. Eseguire audit periodici e simulazioni di attacco per valutare la prontezza del sistema.

ConclusioniLa protezione dei sistemi informatici nelle strutture sanitarie è oggi un tema di sicurezza pubblica. Ignorare il rischio cyber significa mettere in pericolo non solo i dati, ma anche la salute delle persone. Solo un approccio strategico, consapevole e strutturato alla cybersecurity potrà garantire continuità, fiducia e qualità nei servizi sanitari digitali.