I dati allarmanti del Verizon DBIR 2025 e del Rapporto Clusit: il settore sanitario tra i più colpiti a livello globale
Il settore sanitario si conferma tra i più esposti al rischio cyber secondo il Data Breach Investigations Report 2025 di Verizon. In un panorama che ha registrato oltre 12.000 violazioni confermate in un solo anno di cui il 44% da attacchi ransomware, gli ospedali e le strutture sanitarie emergono come bersagli critici con oltre 1.700 attacchi.
Il settore sanitario è un obiettivo primario per i cyberattacchi e quest’anno registra tra l’altro un leggero aumento degli incidenti e delle violazioni. Le intrusioni di sistema (inclusi gli attacchi ransomware) hanno superato gli errori vari come causa principale delle violazioni. Inoltre, l’aumento degli attacchi a scopo spionaggio in questo settore è un elemento preoccupante.
I cambiamenti nelle modalità di attacco
Il nuovo Report Verizon evidenzia alcuni cambiamenti nei modelli di attacco principali. Se gli errori vari erano al primo posto nel 2024, quest’anno si assiste a un’impennata delle intrusioni di sistema, categoria in cui si concentrano gli attacchi ransomware. L’assistenza sanitaria continua a essere uno dei bersagli preferiti di questo tipo di criminali informatici e la necessità di accedere ai dati in situazioni di emergenza non fa che aumentare la pressione che le organizzazioni sanitarie subiscono quando i loro sistemi non sono disponibili e devono ricorrere a processi di tipo più datato.
Quando a sbagliare è l’uomo
Anche il «fattore umano» resta una voce consistente: le persone che commettono errori sono ancora prevalenti. Sebbene sia difficile evitarlo, la principale raccomandazione del Report è l’introduzione di processi di controllo e mitigazione per individuare questi errori il più rapidamente possibile, prima che si verifichi una violazione vera e propria.
Negli ultimi anni, le violazioni legate all’utilizzo sbagliato dei privilegi di accesso da parte degli «attori interni» sono diminuite e, sebbene l’anno scorso abbiano registrato un piccolo aumento, nel 2025 si trovano al quarto posto tra le violazioni più diffuse. Si tratta di violazioni che possono essere difficili da scoprire, in molti casi sono stati individuati attori interni che hanno abusato dei loro accessi per anni prima di essere scoperti. Importante sottolineare, poi, che non si tratta sempre di dipendenti «curiosi»; in questo settore, più che in altri, emerge un piccolo numero di casi di collusione, in cui più tipi di attori sono coinvolti in un’unica violazione. Tempo fa si registravano inoltre casi di persone reclutate dall’esterno per ottenere posti di lavoro nel settore, con l’esplicito scopo di rubare successivamente i dati a cui avevano accesso per svolgere il loro lavoro. Ma al momento si tratta di una dinamica del passato.
Spionaggio in aumento
Se analizziamo le motivazioni di questi aggressori, sorprende vedere che lo spionaggio è passato da appena l’1% nel Report dello scorso anno al 16%. Questo potrebbe significare che il settore è preso di mira da un nuovo tipo di minaccia, spesso non così facilmente individuabile come nel caso dell’attore di un ransomware che lascia dietro di sé una scia di indizi e caos. Tuttavia, questa tendenza potrebbe anche essere un’indicazione delle modifiche apportate nel tempo dai fornitori di dati del Report. Un cambiamento evidente che vale la pena di notare è l’ascesa della voce altre cause tra i primi tre modelli di attacco. Questa voce si riferisce infatti alle violazioni che non possono rientrare tra le altre categorie, dove finiscono, cioè, i casi con poche informazioni.
L’Italia nella rete: i numeri del Clusit
Il Rapporto Clusit 2025 evidenzia come l’Italia rimanga un obiettivo primario per la criminalità informatica. Con un incremento del 15% degli attacchi rispetto al 2023, il nostro Paese ha rappresentato il 10% del campione globale di incidenti noti, una quota significativa se si considera la scala internazionale. Nel 2024, sono stati rilevati 3.541 attacchi cyber a livello mondiale, con una media di 295 incidenti al mese. Di questi, il 13% ha coinvolto il settore sanitario, confermandone la fragilità strutturale. In Italia, nonostante una leggera flessione, gli incidenti di gravità media sono più frequenti rispetto alla media globale (38% contro 22%), a indicare attacchi frequenti ma meno sofisticati.
Tra vulnerabilità e terze parti: un ecosistema fragile
La convergenza tra tecnologie obsolete, sistemi medicali interconnessi e outsourcing dei servizi IT espone il sistema sanitario a minacce complesse e pervasive. Come ricorda Verizon, «la mancanza di MFA obbligatoria in piattaforme terze ha facilitato accessi non autorizzati a dati sensibili», come nel caso emblematico dell’attacco alla piattaforma Change Healthcare, che ha causato il blocco di decine di ospedali americani.
Dai dati Clusit emerge una correlazione simile: oltre un terzo degli attacchi italiani è stato causato da malware, spesso diffuso via phishing o ingegneria sociale, cresciuti dell’87% nel 2024. L’utilizzo di tecniche sempre più sofisticate e automatizzate è in aumento, anche grazie all’intelligenza artificiale.
La «doppia faccia» dell’intelligenza artificiale
Tra i fenomeni emergenti, l’AI gioca un ruolo ambivalente. È alleata nella difesa – con sistemi predittivi e di detection – ma è anche uno strumento di attacco per la creazione di contenuti falsi e personalizzati. Il DBIR ha rilevato che il 15% dei dipendenti accede regolarmente a piattaforme GenAI da dispositivi aziendali, spesso con credenziali deboli o account personali, aumentando così il rischio di data leakage.
Come sottolinea il Clusit: «L’AI sarà il mezzo tramite il quale nasceranno nuovi servizi fino ad oggi inimmaginati… ma sarà anche il fattore che incrementerà il livello di impatto dei rischi tradizionali». In altri termini, la pervasività dell’AI nei processi sanitari, se non governata, rischia di trasformarsi in un moltiplicatore delle vulnerabilità esistenti.
Cultura della sicurezza: una priorità sociale
Oltre alla tecnologia, è la componente umana a determinare l’esito di molti attacchi. Il 60% delle violazioni analizzate da Verizon coinvolge errori, negligenze o comportamenti inconsapevoli. In Italia, il Clusit richiama l’attenzione sulla necessità di una maggiore educazione alla cybersecurity: «Il fenomeno sta assumendo un grado di estensione sempre più preoccupante. È imprescindibile che scuola, università e aziende lavorino insieme per costruire una cultura della sicurezza».
I danni della disinformazione
La disinformazione, l’uso scorretto delle tecnologie e la carenza di competenze tecniche avanzate restano punti deboli nel sistema difensivo nazionale, soprattutto in settori ad alta complessità come la sanità, dove la digitalizzazione corre molto più veloce della formazione.
Governance e resilienza: le sfide per il futuro
Il Clusit indica chiaramente la strada: governance della sicurezza, gestione del rischio e processi di mitigazione devono diventare parte integrante della strategia di ogni organizzazione sanitaria. «Il preoccupante dato globale di crescita del 76% degli attacchi basati su vulnerabilità note e 0-day deve essere di stimolo a mantenere alta l’attenzione».
L’adozione di framework come il Secure Software Development Lifecycle (SSDLC) e il SecDevOps, uniti a una gestione rigorosa della supply chain, diventano elementi imprescindibili per garantire continuità e affidabilità ai servizi sanitari digitali. L’attuazione della Direttiva NIS2 in Europa rappresenta un passo importante, ma la sua efficacia dipenderà da come verrà applicata nei contesti locali.