Il settore sanitario continua a essere uno dei principali bersagli degli attacchi informatici a livello globale, con una pressione crescente e dinamiche sempre più complesse. I dati più recenti forniti da Clusit, l’Associazione Italiana per la Sicurezza Informatica, presentati in occasione dell’Healthcare Security Summit, fotografano una situazione allarmante e in rapida evoluzione.

Nel 2024 il comparto sanitario ha subito 471 incidenti informatici, pari al 13% di tutti gli attacchi conosciuti a livello globale. Si tratta di una quota significativa che evidenzia la vulnerabilità crescente di un settore ormai fortemente digitalizzato, in cui la protezione di dati sensibili dei pazienti e la continuità operativa dei sistemi rappresentano elementi critici. Ma il dato più preoccupante riguarda il 2025: solo nel primo trimestre dell’anno sono già stati registrati 131 attacchi, un numero che rappresenta oltre un quarto del totale dell’intero 2024. Questa accelerazione lascia presagire un anno estremamente complesso dal punto di vista della sicurezza per ospedali, cliniche, laboratori e strutture sanitarie in generale.

Uno degli aspetti più rilevanti del report Clusit è il cambiamento delle motivazioni alla base degli attacchi. Se nel 2024 il cybercrime a scopo di lucro era la causa dominante, con una quota schiacciante del 99%, nel 2025 si assiste a una netta crescita del fenomeno dell’hacktivism. Nel primo trimestre di quest’anno, infatti, il 66% degli attacchi ha ancora una matrice criminale tradizionale, ma ben il 33% è riconducibile ad azioni di hacktivism. Queste ultime non mirano a ottenere profitti diretti, ma piuttosto a diffondere messaggi di natura politica o sociale, rendendo così ancora più difficile per le strutture sanitarie prevedere obiettivi e tempistiche degli attacchi. La natura ideologica dell’hacktivism introduce una variabilità che sfugge alle logiche tradizionali del crimine informatico, complicando ulteriormente le strategie difensive.

Dal punto di vista tecnico, le modalità d’attacco più utilizzate mostrano una certa stabilità, pur con alcune variazioni significative. Nel 2024, il 39% degli incidenti nel settore sanitario è stato classificato come “Unknown”, ovvero con tecniche non immediatamente identificabili o frutto di metodologie ancora in evoluzione. Questa percentuale è salita leggermente al 40% nel primo trimestre 2025. Il malware, che nel 2024 aveva rappresentato il 33% delle minacce, scende invece al 20% nel 2025, a conferma di un panorama tecnologico in costante mutazione. Secondo i ricercatori Clusit, il calo degli attacchi malware potrebbe indicare un consolidamento delle contromisure difensive tradizionali, mentre la crescita degli attacchi non classificabili riflette l’emergere di tecniche più sofisticate e complesse.

Clusit strutture sanitarie

Particolarmente insidiosa per il settore sanitario risulta la crescente diffusione degli attacchi DDoS (Distributed Denial of Service), spesso veicolati dagli hacktivisti. Queste offensive mirano a saturare le risorse informatiche dei bersagli, rendendo indisponibili servizi essenziali. Nel contesto sanitario, i danni potenziali di un DDoS sono particolarmente gravi: portali di prenotazione, piattaforme di telemedicina, sistemi di pronto intervento e gestione delle emergenze diventano inaccessibili, con conseguenze dirette sulla qualità e tempestività delle cure. Nel primo trimestre 2025, gli attacchi DDoS sono stati responsabili del 34% del totale degli incidenti sanitari, a testimonianza del forte incremento di attività hacktiviste.

Dal punto di vista geografico, il 2024 aveva visto un’ampia concentrazione degli attacchi negli Stati Uniti, che detenevano l’81% degli episodi, con l’Europa al 13%. Tuttavia, nel 2025 si osserva una distribuzione più ampia degli incidenti: la quota americana scende al 51%, mentre aumenta quella europea (18%), cresce l’Oceania (dal 4% al 7%) e, soprattutto, l’Asia, che passa dal 2% a un significativo 24%. Questo dato suggerisce una globalizzazione crescente del fenomeno, con attori malevoli attivi su scala sempre più ampia e capacità offensive che si espandono ben oltre i confini tradizionali.

Un altro elemento su cui Clusit ha posto l’accento riguarda la gravità degli incidenti. Se nel 2024 il 28% degli attacchi aveva avuto una severity classificata come critica, nel primo trimestre 2025 tale percentuale si è ridotta al 19%. Nonostante questa diminuzione dei casi estremi, la quota di incidenti con impatto grave (high) rimane comunque molto alta: il 56% nel 2024 e il 47% nel 2025. Questo significa che, anche laddove non si raggiunge il livello di criticità assoluta, gli effetti degli attacchi continuano a essere pesanti, potenzialmente in grado di compromettere l’erogazione dei servizi e la sicurezza dei dati clinici.

Secondo Claudio Telmon, membro del comitato direttivo Clusit, per contrastare efficacemente questa minaccia, non è più sufficiente investire solo in tecnologie avanzate, ma necessario potenziare anche l’organizzazione interna, introducendo nuove figure professionali e percorsi di formazione continua, con particolare attenzione al coinvolgimento di reparti finora spesso poco integrati nelle strategie di sicurezza, come l’Ingegneria Clinica. Quest’ultima gioca un ruolo sempre più rilevante nella gestione dei dispositivi biomedicali interconnessi, i quali rappresentano nuovi vettori di rischio per la cybersecurity ospedaliera.

Telmon ha inoltre sottolineato come l’entrata in vigore della direttiva europea NIS2 offra una grande opportunità per rafforzare la resilienza delle infrastrutture sanitarie critiche. La direttiva, infatti, introduce obblighi più stringenti in termini di governance della sicurezza, gestione del rischio e risposta agli incidenti, promuovendo un approccio coordinato a livello europeo. In un contesto internazionale segnato da instabilità e tensioni geopolitiche, secondo Clusit la NIS2 può diventare un fondamentale punto di partenza per costruire un sistema sanitario digitale più sicuro e affidabile.