Gli hacker puntano i dossier sanitari: la Pa rischia di essere l’anello debole

Come annunciato durante il Covid, l’Ue aggiunge un altro tassello al portafoglio digitale. Intanto gli attacchi informatici crescono: nel mirino il settore salute. E per gli esperti l’Italia è indietro nella prevenzione.«Ogni volta che una app o un sito Web ci chiedono di creare una nuova identità digitale, non abbiamo idea di cosa ne sia veramente dei nostri dati», ha dichiarato Ursula von der Leyen in occasione del discorso programmatico del settembre 2020. «Per questo motivo, la Commissione proporrà presto un’identità digitale europea sicura. Che ogni cittadino potrà usare ovunque per fare qualsiasi cosa, da pagare le tasse a prendere a noleggio una bicicletta. Una tecnologia sicura». Una dichiarazione di intenti, a onor del vero, già contenuta nel documento di riforma digitale dell’Unione datato febbraio 2020, poco prima che scoppiasse la pandemia. La tecnologia auspicata dal presidente della Commissione adesso non solo esiste ma è stata messa a terra su larga scala e si chiama blockchain, la stessa che la Von der Leyen ha richiamato a gennaio 2022, ricordando che «presto sarà attivo in tutta l’Unione il passaporto sanitario vaccinale». Dalle parole ai fatti anche grazie al governo Draghi che per mano di Vittorio Colao ha dato il via al portafoglio digitale, un contenitore che nelle dichiarazioni ufficiali di luglio 2022 dovrà contenere la tessera elettorale, la patente e tutte le connessioni sanitarie. Compresa la tessera sanitaria elettronica, la stessa che dal 30 giugno (senza esplicito diniego) acquisirà tutti i dati del cittadino italiano prima del maggio 2020. È chiaro che ai fini delle cure e pure della ricerca (statistiche e studi) sarà un enorme passo avanti. Ciò che non è mai stato chiarito sta nelle potenzialità laterali. Alla fine del 2021, un emendamento alla finanziaria ha previsto quella che in gergo tecnico si chiama interoperabilità dei silos dati. Cioè la possibilità che i dati acquisiti da una amministrazione dello Stato (vedi Sanità) possano essere utilizzati anche da altra istituzione. Vedi Fisco piuttosto che i Comuni. Non si tratta di fare alcun tipo di complottismo ma semplicemente di avanzare una questione democratica. Fino a dove si si vuole spingere lo Stato nel tracciare le abitudini e le attività digitali dei cittadini? Questa è la domanda di fondo. L’impressione è invece che i tecnici e i consulenti dei governi procedano su una strada senza interrogarsi sull’evoluzione sociale. Secondo l’Ue i governi dovranno diventare piattaforme digitali, ma nessuno ci ha spiegato come funzioneranno i Parlamenti in questo scenario evolutivo. Il tema dovrebbe essere tutti i giorni sulla bocca dei politici. Purtroppo a occuparsene sono invece pochi. Troppo pochi. Così come il rischio sicurezza è un tema che finisce sulla prime pagine dei giornali solo quando scoppia il bubbone ma mai per discutere delle capacità di tenuta effettive delle piattaforme. E parliamo di cose concrete. Lo scorso anno gli attacchi cyber al settore sanitario mondiale sono stati 624, oltre il doppio di quanto avvenuto nel 2022. Negli ultimi due mesi del 2023, in Italia sarebbero stati esfiltrati e diffusi oltre 1,5 terabyte di dati sanitari (circa 2 milioni di file). A dirlo è l’ultimo rapporto Clusit, che il prossimo anno dovrà ricordare come solo nel mese di giugno ci siano stati tre attacchi ad aziende sanitarie. L’ultimo ha paralizzato l’Asst Rhodense, che comprende gli ospedali di Garbagnate, Bollate e Rho. L’attacco informatico ha compromesso i sistemi informativi, costringendo alla sospensione di interventi chirurgici e di altre prestazioni sanitarie. Non ci sono state rivendicazioni, ma può anche darsi che i criminal hacker siano entrati per poi farsi sentire più avanti, magari dopo aver saccheggiato preziosi dati sanitari. A fine maggio erano state colpite l’azienda sanitaria di Potenza e quella di Matera, per non parlare di Synlab, attaccata a metà del mese scorso dalla cybergang Black Basta, con tanto di richiesta di riscatto. «L’obbligatorietà del fascicolo sanitario elettronico e la prevista futura sostituzione dello Spid per il gennaio 2026 con una nuova identità digitale è un ulteriore passo verso la completa digitalizzazione di molti aspetti burocratici; ma questa transizione trascina dietro anche delle possibili problematiche, soprattutto per quelle aree del Paese con infrastrutture digitali meno sviluppate», spiega Pierguido Iezzi, strategic business director di Tinexta cyber. «La protezione dei dati sensibili potrebbe essere compromessa, aumentando la vulnerabilità agli attacchi informatici». Le reti informatiche del settore sanitario sono spesso comunicanti tra loro e le aziende sanitarie italiane dispongono ancora oggi di ridotte capacità di reazione. Gli hacker possono tentare di ottenere l’accesso non autorizzato ai sistemi informatici della sanità per rubare informazioni o i dati dei pazienti. Da un’indagine svolta durante il primo semestre 2023 da Netconsulting cube 3 emerge che nel 46% dei casi manca una persona responsabile interamente dedicata alla cybersecurity, con percentuali che peggiorano nella sanità pubblica (52%), in Centro Italia (67%) e al Sud e Isole (63%). «L’approvazione di ddl Cyber e direttiva Nis2 forniscono un quadro normativo importante per migliorare la sicurezza informatica, ma è fondamentale investire in infrastrutture», continua Iezzi. «Basti pensare che il team di verifica di Tinexta cyber, tramite il suo osservatorio privilegiato, ha rilevato a gennaio 2024 la presenza di 2.420 email e 4.565 credenziali compromesse da Infostealer, oltre a 117 vulnerabilità potenziali». Secondo Iezzi, il «dato delle credenziali potrebbe riverberarsi in maniera negativa anche sugli utenti finali del Sistema sanitario; in quanto quei dati - se compromessi - potrebbero essere usati per attacchi come il phishing». Adesso la transizione digitale sicura deve essere gestita con cura. Esiste un rischio: la mancanza di risorse dedicate e la complessità normativa potrebbero infatti compromettere l’efficacia delle misure, rischiando di lasciare le Pa come l’anello debole del sistema. Altro che le promesse della Von der Leyen.