Nel grande auditorium dell’ARNAS G. Brotzu di Cagliari, si parla di intelligenza artificiale, responsabilità e cybersicurezza nel sistema sanitario nazionale. Sul palco si alternano dirigenti pubblici, giuristi, esperti di compliance, rappresentanti istituzionali e figure di primo piano della sicurezza informatica italiana.
Un convegno importante per far diventare la cybersicurezza un tema per tutti
I temi sono quelli inevitabili del momento: AI generativa, governance del dato, regolamentazione europea, rischio cyber, continuità operativa, resilienza.
Il tono è solenne, spesso tecnico, quasi rassicurante. Si parla di protezione delle infrastrutture critiche, di necessità di regolamentare l’uso dell’intelligenza artificiale, di responsabilità giuridica e organizzativa. Ma mentre scorrono le slide e si susseguono gli interventi, emerge una sensazione difficile da ignorare: manca il protagonista principale di tutta questa discussione. Il dato sanitario reale. Quello che ogni giorno viene esposto, rubato, venduto, pubblicato o utilizzato senza controllo.
Il convegno è stato un momento di grande opportunità per innescare discussioni sul tema a me molto a cuore: la cybersicurezza nazionale. E gli interventi sono stati un momento importante per sentire punti di vista e situazione attuale nel campo della sanità. Ciò che mi piacerebbe introdurre con questo articolo, vista la qualità della discussione introdotta dal convegno, è la necessità come paese Italia di fare un passo indietro rispetto a ciò che attualmente occupa il maggior spazio nelle scrivanie decisionali, di vedere cosa davvero sta succedendo ai dati dei cittadini italiani.
Il mio intento con questo intervento è quello di farci porre delle domande affinché si possano innescare processi per migliorare eventuali situazioni quotidiane.
Il dato sanitario purtroppo è già ovunque
C’è un paradosso evidente. Tutti concordano sul fatto che il dato sanitario sia “speciale”, “sensibile”, “delicato”, “meritevole di protezione rafforzata”. Eppure quasi nessuno affronta davvero cosa accade quando questi dati finiscono fuori controllo. Nessuno racconta il destino concreto delle cartelle cliniche sottratte durante gli attacchi ransomware. Gli unici interventi che si sono avvicinati a centrare questo punto sono stati il brillante discorso introduttivo del Gen CdA Luciano Carta e quello del Gen CdA Leandro Cuzzocrea entrambi con una visione estramente strategica del mondo criminale dei dati. Che poi è esattamente ciò che occorre su questo tema al Paese Italia.
Nessuno spiega dove finiscono referti, analisi, documenti oncologici, dati psicologici, informazioni genetiche o amministrative una volta pubblicati sui leak site dei gruppi criminali. Nessuno sembra voler affrontare il fatto che, in Italia, gli attacchi contro strutture sanitarie non siano scenari ipotetici o eventualità remote, ma eventi ormai sistematici.
Basta osservare quanto monitorato negli ultimi anni da piattaforme indipendenti come quella sviluppata e mantenuta da me Ransomfeed, che da tempo traccia le rivendicazioni ransomware pubblicate dai gruppi criminali a livello globale. Nel database compaiono ASL, aziende ospedaliere universitarie, strutture territoriali, centri diagnostici e realtà sanitarie italiane finite nel mirino di operatori ransomware ovunque nel tempo: c’è Lazio Crea del 2020 ma dopo quello ce ne sono nel 2021, 2022, 2023, 2024, 2025. Non episodi isolati, ma una sequenza costante di compromissioni che racconta un fenomeno strutturale. Alcuni casi sono rimasti confinati ai disservizi temporanei; altri hanno comportato la sottrazione e pubblicazione di grandi quantità di documentazione sanitaria e amministrativa.
È assolutamente prioritario e strategico sapere e far sapere a tutti i cittadini che questi Terabyte di dati persi nell’Internet e nelle mani criminali, sono gli stessi dati alla base di altri attacchi personali ai cittadini. Sono spesso la risposta alla domanda che spesso ci poniamo su Come ha fatto questo numero sconosciuto dall’Africa a inviarmi un SMS/messaggio Whatsapp, con una truffa a tema bancario?
Eppure, durante il convegno, il tema dominante sembra essere soprattutto la resilienza operativa. Il backup. Il ripristino rapido. La continuità del servizio. Elementi certamente fondamentali, ma che spesso finiscono per ridurre il problema cyber a una semplice questione di disponibilità dei sistemi. Come se il vero obiettivo fosse soltanto “riaccendere tutto il prima possibile”. Come se la perdita definitiva del controllo sui dati fosse un danno secondario.
Ma nel settore sanitario il problema non è soltanto il downtime. È la persistenza del danno. Un referto medico pubblicato online non può essere “ripristinato” da un backup. Una diagnosi oncologica esfiltrata non può essere annullata. Una banca dati sanitaria sottratta e venduta può continuare a circolare per anni in forum criminali, marketplace underground, archivi privati o circuiti di estorsione. E questo aspetto sembra quasi assente dal dibattito istituzionale.
Dico quasi perché effettivamente mi sono ritrovato molto nel discorso conclusivo del Prof. UNICAL Mario Caligiuri, che in qualche modo ha tracciato una “strada del pericolo” di quello che realmente sta già accadendo da anni.
Anche l’AI non è nemica, il problema è caricarci dentro dati sensibili
Lo stesso discorso vale per l’intelligenza artificiale. Sul palco si discute di AI Act, governance, responsabilità dell’algoritmo, supervisione umana. Ma raramente emerge una domanda molto più concreta: cosa accade quando personale sanitario, amministrativo o tecnico inizia a utilizzare chatbot di AI generativa caricando documenti clinici, referti o informazioni dei pazienti? Dove finiscono quei dati? Come vengono trattati? Vengono conservati? Utilizzati per training? Processati da terze parti? Quali controlli esistono realmente nelle strutture pubbliche?
È una questione enorme, eppure ancora affrontata in modo marginale. In molte realtà sanitarie italiane manca completamente una cultura operativa capace di gestire questi strumenti. Il rischio non è teorico. È quotidiano.
Basta osservare cosa accade negli ospedali: porte USB liberamente utilizzabili, workstation condivise, installazione incontrollata di software terzi, accessi a servizi cloud esterni, credenziali riutilizzate, navigazione senza restrizioni, segmentazione di rete insufficiente. In alcuni casi persino software obsoleti e dispositivi medicali non aggiornabili continuano a convivere con infrastrutture moderne.
Tutto questo è sicuramente governance, ma non che sia ancora da normare. È tutto perfettamente normato, ma l’attuale infrastruttura non ne permette la precisa attuazione, purtroppo, all’interno della pubblica amministrazione, come invece avviene da decenni nelle grandi aziende private (come giustamente indicato dal responsabile della sicurezza informatica di Poste Italiane, Rocco Mammoliti).
Il contrasto tra il linguaggio istituzionale del convegno e la realtà operativa percepibile sul campo è netto. Da una parte la narrazione strategica, fatta di regolamenti, framework e governance. Dall’altra la quotidianità di strutture spesso prive di risorse adeguate, personale insufficiente, processi fragili e superfici di attacco enormi. E soprattutto una mancanza cronica di trasparenza pubblica su ciò che avviene dopo un incidente.
Anche il post incidente è una questione di sicurezza
Perché il vero nodo è anche questo: in Italia si parla pochissimo delle conseguenze concrete degli attacchi cyber sulla sanità. Quando una struttura viene colpita, il dibattito si concentra sul blocco dei servizi, sulle prenotazioni sospese, sui disagi temporanei. Molto meno sulla sorte dei dati sottratti. Raramente i cittadini vengono informati in modo chiaro su cosa sia stato realmente esfiltrato, dove quei dati possano finire o quali rischi futuri possano derivarne.
Ed è forse proprio qui che emerge il limite più evidente di molti eventi istituzionali sul tema cybersecurity: la distanza tra il racconto teorico della sicurezza e la realtà pratica delle compromissioni. La cybersicurezza sanitaria non può essere ridotta a compliance normativa o disaster recovery. Richiede una presa di coscienza molto più dura: i dati sanitari italiani sono già oggi un bersaglio costante del cybercrime internazionale, e in molti casi sono già stati sottratti.
Continuare a trattare questi temi come eccezioni anziché come parte di una crisi strutturale rischia di produrre soltanto altra burocrazia, altra documentazione e altri tavoli tecnici. Mentre fuori dalle sale conferenze, nel mondo reale, i leak site ransomware continuano ad aggiornarsi. Ogni settimana. Anche con nomi italiani.