-del team Safety
Una mattina qualsiasi, in un ospedale, i monitor del reparto di radiologia si spengono all’improvviso. Non è un guasto tecnico: è un ransomware. Le cartelle cliniche diventano inaccessibili, gli appuntamenti vengono cancellati, i pazienti rimandati indietro. La vita reale si ferma perché il mondo digitale è stato violato.
Questa non è fantascienza. Nel 2024 in Italia si sono contati 13 gravi attacchi agli ospedali, e nel 2025 la situazione è peggiorata drasticamente: nei primi sei mesi dell’anno, 1.549 attacchi informatici (+53% rispetto al 2024), con quasi il doppio di incidenti gravi (+98%).
- Hotel italiani nel mirino (estate 2025): oltre 90.000 documenti d’identità di clienti trafugati da 10 strutture e messi in vendita sul dark web.
- Sanità USA (2025): il gruppo criminale “Interlock” ha paralizzato 14 ospedali del network Kettering Health, bloccando cartelle cliniche e procedure, con pazienti dirottati d’urgenza.
- PA e infrastrutture italiane (marzo 2025): attacchi DDoS su larga scala a ospedali ed enti pubblici, fortunatamente sventati prima di causare danni.
1.OLTRE LE SIGLE E I TERMINI TECNICI
Per comprendere le cronache serve distinguere i metodi più diffusi di attacco informatico:
- Malware e trojan
Programmi dannosi che, nascosti in allegati o software, aprono “porte di servizio” agli hacker per controllare da remoto i sistemi. - Ransomware
Malware che cifra i dati aziendali e li rende inaccessibili. Gli hacker chiedono un riscatto (in genere in criptovaluta) per restituire le chiavi di decrittazione. È il tipo di attacco più devastante per ospedali e PA, perché blocca i servizi essenziali. - DDoS (Distributed Denial of Service)
Una valanga di traffico artificiale verso i server, fino a saturarli e bloccarne l’operatività. Non ruba dati, ma causa fermi e malfunzionamenti (siti offline, prenotazioni impossibili, servizi digitali paralizzati). - Phishing e spear phishing
Email o messaggi ingannevoli che inducono l’utente a cliccare su link malevoli o cedere credenziali. La versione “spear” è mirata: costruita su misura per colpire una persona o un reparto specifico. - Data Breach (violazioni di dati)
Accesso non autorizzato e sottrazione di dati sensibili (documenti, cartelle cliniche, dati di pagamento). Possono derivare da vulnerabilità nei sistemi o da errori umani. - Attacchi supply chain
Colpiscono fornitori o partner per entrare indirettamente nei sistemi dell’azienda principale. È una modalità in crescita perché sfrutta i rapporti di fiducia.
2.L’IMPATTO CONCRETO DI UN ATTACCO INFORMATICO
Le conseguenze di un data breach non si limitano a qualche computer bloccato. Per un ospedale, può voler dire diagnosi ritardate, interventi rimandati, cure compromesse: in pratica, la vita dei pazienti sospesa in attesa che i sistemi tornino operativi. Per un’azienda, invece, ogni minuto di fermo diventa costo elevato: decrittare i dati, ripristinare i server, organizzare soluzioni logistiche alternative.
Ma il danno più difficile da recuperare è spesso quello reputazionale. Pazienti, clienti e partner perdono fiducia, e riconquistarla richiede anni di trasparenza e investimenti. Infine, c’è la dimensione legale: il GDPR non lascia scappatoie. La violazione va notificata entro 72 ore e le misure di protezione devono essere adeguate. In caso contrario, le sanzioni possono raggiungere cifre pesantissime, mettendo a rischio non solo il bilancio, ma la stessa sopravvivenza dell’organizzazione.
3.I PILASTRI CHE NON DOVREBBERO MAI MANCARE
Come si può davvero prevenire un data breach? O, almeno, limitare i danni quando l’attacco diventa inevitabile? La risposta non sta in una soluzione unica, ma in una serie di azioni coordinate che vanno dalla tecnica all’organizzazione, fino alla formazione delle persone. Ecco una check-list pratica con i passaggi fondamentali da non trascurare:
| Area | Azione chiave |
| Analisi | Valuta i rischi sui dati (DPIA) e aggiorna il registro dei trattamenti. |
| Sicurezza tecnica | Backup isolati (air-gapped), cifratura e segmentazione delle reti critiche. |
| Monitoraggio | Sistemi di detection h24, test di phishing e simulazioni di attacco periodiche. |
| Formazione | Sensibilizza dipendenti su phishing, uso password e gestione device. |
| Gestione incidenti | Predisponi piano di risposta: notifica al Garante entro 72 ore (art.33 GDPR). |
| Compliance | Applica misure minime (art.32 GDPR), allineati anche alla Direttiva NIS 2. |
| Trasparenza | Documenta tutte le misure (principio di accountability, art.5 GDPR). |
4.SANZIONI GDPR – QUANDO E QUANTO SI RISCHIA DAVVERO
Il Regolamento Europeo è molto chiaro e non lascia spazi di ambiguità. Le sanzioni amministrative possono arrivare:
- fino a 10 milioni di euro o al 2% del fatturato mondiale per violazioni considerate meno gravi;
- fino a 20 milioni di euro o al 4% del fatturato mondiale per violazioni gravi (art. 83 GDPR).
Ma quando si rischia davvero?
- Notifica mancata o tardiva: se il titolare non comunica la violazione all’Autorità entro 72 ore (art. 33).
- Comunicazione omessa agli interessati: quando un data breach espone a rischi elevati pazienti, clienti o cittadini, ma non viene informato chi è coinvolto (art. 34).
- Misure di sicurezza insufficienti: sistemi non aggiornati, assenza di cifratura o backup, mancata formazione dei dipendenti (art. 32).
- Mancanza di accountability: se l’azienda non è in grado di dimostrare le misure adottate o non tiene un registro dei trattamenti aggiornato (art. 5).
E i numeri parlano da soli:
- nel 2° trimestre 2025 le sanzioni GDPR hanno superato i 6,2 miliardi di euro in Europa;
- in Italia, tra il 2024 e il 2025, il Garante ha emesso 87 provvedimenti, colpendo soprattutto il settore sanitario, con un totale di 22 milioni di euro e multe medie superiori ai 200.000 € per struttura.
Oltre agli aspetti economici, le conseguenze possono essere ancora più pesanti: il Garante può ordinare la sospensione dei trattamenti, bloccare i flussi internazionali di dati, imporre rettifiche obbligatorie e, nei casi più gravi, procedere con segnalazioni penali.
Gli attacchi informatici non sono più un rischio ipotetico: colpiscono ogni settore, dai piccoli hotel agli ospedali, fino alla Pubblica Amministrazione. Le aziende che pensano di “non essere interessanti” per i cyber-criminali rischiano grosso: nessuno è escluso.
Agire oggi significa:
- proteggere i dati,
- salvaguardare la continuità operativa,
- evitare sanzioni milionarie,
- mantenere la fiducia di clienti, pazienti e cittadini.
La sicurezza informatica, in altre parole, è diventata un vero DPI digitale.
Fonti e riferimenti
Casi reali: CERT-AGID e AgID (hotel italiani, estate 2025); HIPAA Journal e Kettering Health (USA, maggio 2025); ACN (attacchi DDoS Italia, marzo 2025).
Dati e trend: ACN – Rapporto minacce H1 2025; Agenda Digitale (attacchi in sanità 2024); Clusit 2025.
Tipologie di attacco: rapporti ACN e Clusit, articoli Cyber Security 360.
Sanzioni GDPR: Enforcement Tracker (UE, 2024–2025); provvedimenti Garante Privacy (Italia).
Normativa: GDPR (artt. 5, 32, 33, 34, 83), Direttiva NIS2 (UE 2022/2555), EDPB – guida SME su data breach, Garante Privacy – sezione Data Breach
