Quando un fornitore di software gestisce le cartelle cliniche dell’80% degli ospedali di un intero paese, un attacco ransomware diventa un problema di salute pubblica. È quello che sta accadendo nei Paesi Bassi, dove due giorni fa ChipSoft (azienda olandese specializzata in soluzioni per la gestione delle cartelle cliniche ospedaliere) è finita nel mirino di un gruppo criminale non ancora identificato.

Il sito dell’azienda è andato offline lo stesso giorno dell’attacco e risulta irraggiungibile ancora oggi. La conferma ufficiale della natura ransomware dell’incidente è arrivata da Z-CERT, il computer emergency response team dedicato al settore sanitario nei Paesi Bassi, che ha dichiarato di essere in contatto diretto con ChipSoft, con le strutture ospedaliere coinvolte e con i propri partner tecnici per valutare l’entità del danno.

Un sistema critico, un’esposizione altrettanto critica

La portata del problema dipende in larga misura da come i singoli ospedali hanno integrato il software di ChipSoft nei propri flussi operativi. Alcuni lo impiegano come strumento primario di gestione delle cartelle cliniche, altri in modo più marginale e proprio questa differenza ha determinato risposte differenti all’incidente. Stando a un’indagine condotta dal media olandese NOS, undici ospedali hanno scelto di portare offline i sistemi ChipSoft in via precauzionale, nove dei quali appartengono alla categoria delle strutture che ne fanno un uso più estensivo. La maggioranza, tuttavia, ha mantenuto operativi i portali per i pazienti, segno che l’impatto diretto sull’erogazione delle cure è stato, almeno per ora, contenuto.

Z-CERT ha raccomandato agli ospedali e ai partner sanitari di monitorare attivamente i sistemi ChipSoft alla ricerca di traffico anomalo, invitando a segnalare qualsiasi attività sospetta attraverso i canali ufficiali. Si tratta di una risposta standard in questo tipo di incidenti, ma che presuppone capacità di analisi interna che non tutte le strutture sanitarie possiedono in egual misura.

Ransomware ChipSoft

Un settore già nel mirino

L’attacco a ChipSoft non è un caso isolato. Già nel suo rapporto annuale sullo scenario delle minacce, Z-CERT aveva infatti indicato ransomware ed estorsioni digitali come le preoccupazioni prioritarie per le organizzazioni sanitarie olandesi. Il riferimento più doloroso è all’attacco ransomware Nova, che nel 2025 ha colpito Clinical Diagnostics, un laboratorio di screening oncologico controllato da Eurofins.

In quell’occasione, quasi un milione di pazienti hanno visto i propri dati esfiltrati tra informazioni anagrafiche di base, referti di Pap test, analisi cutanee e risultati delle urine. Dati di altissima sensibilità, il cui furto, come è facile capire, comporta conseguenze che vanno ben oltre il danno economico immediato.

Un precedente ancora più recente è quello che ha coinvolto il network ospedaliero belga AZ Monica, colpito da ransomware nel gennaio 2026. Gli ospedali di Anversa e Deurne sono rimasti bloccati per giorni, costretti a rifiutare pazienti in arrivo con ambulanza e a trasferire casi critici verso strutture vicine. L’immagine di un pronto soccorso che devia ambulanze per un attacco informatico restituisce con precisione chirurgica ciò che Wim Hafkamp, direttore di Z-CERT, intende quando afferma che un’interruzione digitale non è un problema IT astratto, ma qualcosa che riguarda persone che hanno bisogno di cure.

La preparazione come unica vera difesa

Il caso belga è diventato per Z-CERT un punto di riferimento nella comunicazione pubblica sul rischio cyber in ambito sanitario, nonché un esempio concreto da citare per spingere ospedali e strutture sanitarie a dotarsi di piani di disaster recovery seri e testati, in modo da sapere cosa fare quando i sistemi smettono di funzionare, avere procedure alternative pronte e formare il personale a operare anche in assenza di infrastruttura digitale.

Il fatto che l’identità del gruppo responsabile dell’attacco a ChipSoft sia ancora ignota è indicativo di quanto queste operazioni siano diventate rapide ed efficaci. La catena di attacco (accesso iniziale, movimento laterale, cifratura e negoziazione) si consuma infatti in finestre temporali sempre più strette, lasciando alle vittime sempre meno margine di reazione.