Ospedali, giustizia e imprese nel mirino dei cybercriminali

Redazione RHC : 29 Maggio 2025 18:46

Il Sottosegretario alla Presidenza del Consiglio, Alfredo Mantovano, ha partecipato questa mattina, alla Loggia dei Mercanti di Ancona, all’incontro “La cybersicurezza per lo sviluppo sociale ed economico del Paese: prevenire, proteggere, contrastare”.

L’evento fa parte della serie di incontri che il Sottosegretario Mantovano e l’Agenzia per la Cybersicurezza Nazionale hanno avviato con le amministrazioni regionali allo scopo di rafforzare la sicurezza cibernetica in Italia, in particolare nel settore della sanità.

Erano presenti il Presidente della Regione Marche Francesco Acquaroli e il Vice Presidente e assessore alla sanità Filippo Saltamartini, il Direttore generale dell’Agenzia per la Cybersicurezza Nazionale Bruno Frattasi e il Vice Direttore Nunzia Ciardi, il Presidente della Camera di Commercio delle Marche Gino Sabatini, il Prefetto di Ancona Maurizio Valiante e il Procuratore Generale della Repubblica presso la Corte d’Appello di Ancona Roberto Rossi.

L’intervento del Sottosegretario Mantovano

Il titolo dell’evento di oggi – “La cybersicurezza per lo sviluppo sociale ed economico del Paese” – è una sfida a un’opinione tuttora diffusa, non solo nel mondo privato ma anche in quello della pubblica amministrazione: l’idea, cioè, che la cybersicurezza in fondo è un costo, un freno, il contrario di una risorsa capace di promuovere lo sviluppo. I dati suggeriscono una prospettiva differente.

Secondo un Report pubblicato da IBM a luglio 2024, il costo medio degli incidenti informatici per i quali vi sia stata violazione di dati è in Italia di 4,37 milioni di euro all’anno, rispetto ad una media di 4,88 milioni a livello mondiale: la quantificazione comprende non solo i costi per la perdita dei dati, ma pure quelli delle interruzioni operative, i danni alla reputazione e le possibili sanzioni legali (questi ultimi sono tanto onerosi quanto assolutamente improduttivi).

E questo senza considerare le conseguenze sociali degli attacchi informatici. Pensiamo ai danni nel settore della sanità e, per esempio, a quello che accadde in Irlanda durante la pandemia: l’incauta apertura di un allegato a una mail malevola nel 2021 comportò la paralisi di larga parte del sistema sanitario irlandese, e obbligò gli operatori a riscoprire “carta e penna” e a rallentare di molto l’erogazione di servizi essenziali.
Solo nella Regione Marche le prestazioni sono 6 milioni all’anno. Immaginate le possibili conseguenze.
L’Italia comunque non è immune. Nel solo 2024, si sono verificati 57 incidenti nel settore sanitario, rispetto ai 12 dell’anno precedente. Gli attacchi hanno interessato decine di strutture, presidi ospedalieri e servizi medici sul territorio.

Non si tratta solo di numeri. Sono vite umane vulnerabili, che questi attacchi vulnerano ancora di più.
Certamente l’impennata del numero di incidenti conosciuti è legata anche alla migliorata capacità di monitoraggio dell’ACN. Su questo un paragone possiamo farlo col numero di procedimenti che vengono aperti ogni anno in Italia per reati di corruzione: quello che emerge se si guarda attentamente è che in quel campo l’Italia ha la miglior capacità di reazione sul piano giudiziario e di polizia giudiziaria, quindi non è che ci sia più corruzione, c’è una maggiore capacità di individuare e scoprire i reati di corruzione. Lo stesso accade ultimamente con i reati informatici e gli accessi abusivi, grazie a una migliorata capacità operativa di ACN e a un migliore coordinamento tra i soggetti pubblici che se ne occupano. Il fenomeno comunque è in aumento. E non solo in Italia.

La Commissione europea ha pubblicato pochi mesi fa un “Piano di azione” specificamente dedicato alla cybersicurezza degli ospedali e dei fornitori di servizi sanitari. Il Procuratore Rossi ha fatto cenno agli attacchi cyber nel settore della Giustizia. Vi riporto su questo un esempio di un fatto realmente accaduto, ormai di dominio pubblico: un giovane di 20 anni di Agrigento viene a sapere per caso di essere indagato e cerca di entrare nel sistema informatico del tribunale per verificare. Questo giovane è riuscito a entrare in tutto il sistema informatico del Ministero. Per fortuna ha tenuto i dati per sé e grazie a un’accurata indagine è stato scoperto e i danni sono stati riparati, ma sono intuibili le conseguenze delle violazioni a danno delle infrastrutture digitali nel settore della Giustizia, poiché esse contengono una mole incalcolabile di dati sensibili (decreti ingiuntivi, fallimenti, procedimenti penali…).

In questo caso c’era stato un attacco esterno, in altri casi c’è l’infedeltà degli operatori interni, ma anche in quei casi le conseguenze possono essere ridimensionate se ci sono meccanismi, anche semplici come quelli di accesso personale ai conti correnti bancari, a difesa dei dati sensibili.

Proprio per questo al Governo c’è un tavolo di lavoro interministeriale per arrivare a una organizzazione omogenea della difesa dei sistemi informatici pubblici nazionali.

Gli attacchi sono sempre più pervasivi ed efficaci, grazie all’impiego di nuove tecnologie – come l’intelligenza artificiale – e a un’organizzazione degli hacker sempre più strutturata. Appena la settimana scorsa – dal 19 al 22 maggio –con il coordinamento di Europol e di Eurojust, è stata smantellata una rete globale di infrastrutture chiave per lanciare attacchi ransomware: sono stati chiusi circa 300 server in tutto il mondo, neutralizzati 650 domini ed emessi mandati di arresto internazionali nei confronti di 20 persone.

Per rafforzare il contrasto alle nuove minacce cyber nel giugno 2024 il Parlamento, su proposta del Governo, ha approvato la Legge sulla cybersicurezza – la L. 90/2024 –: essa ha esteso gli obblighi di segnalazione degli incidenti a soggetti pubblici fino a quel momento non considerati dalla normativa di settore; e ha imposto, per tali nuovi soggetti, importanti obblighi organizzativi, come quello di dotarsi di una struttura e di un referente specificamente dedicati alla sicurezza cibernetica.

Questa legge non offre una bacchetta magica ma garantisce un equilibrio e un coordinamento tra tutti i soggetti che devono intervenire. Anche perché la rapidità d’intervento è fondamentale ma c’è ancora una sorta di ritrosia, di pudore, soprattutto nella p.a., nel segnalare e denunciare gli attacchi subiti. Altre norme sono allo studio. A tal proposito, ricordo che all’inizio degli anni ’90 in Italia c’erano ancora i sequestri di persona a scopo di riscatto. Sono terminati nel giro di poco quando il Parlamento approvò una legge sul blocco dei beni, dolorosissima ma che è servita. È in discussione qualche intervento altrettanto drastico e non entro nella discussione, ma voglio dire che è fuori da ogni logica – sia da parte di un operatore privato e ancora di più pubblico – a fronte di una richiesta di riscatto, seguita all’acquisizione di dati sensibili, prendere solo in considerazione l’idea di pagare il riscatto. Ciò significa aumentare le potenzialità criminali e consentire a chi ha fatto l’aggressione di dotarsi di strumenti ancora più efficaci.

Detto questo, la sicurezza non si crea per legge. Anche le migliori norme sono destinate a fallire se non vengono fatte proprie da chi è tenuto a darne attuazione. Eventi come quello di oggi qui ad Ancona sono importanti, poiché “accorciano le distanze”, aumentano la reciproca conoscenza e fiducia tra i destinatari delle norme – le imprese, le ASL, le altre pp.aa. – e chi, come l’ACN, è chiamato a farle rispettare.
L’occasione è importante anche per le PMI, che – stando al recente Cyber Index PMI 2024, frutto della collaborazione tra ACN, Confindustria e Generali, pubblicato poche settimane fa – spesso non conoscono le opportunità che hanno per rafforzare la propria cybersicurezza: il 30% del campione considerato, pur dichiarandosi interessato, non è a conoscenza di progetti e di bandi che mettono a disposizione le risorse pubbliche per la cybersicurezza; solo il 10% ha beneficiato di fondi pubblici per migliorare la propria sicurezza digitale.

La collaborazione con l’ACN è decisiva. Anche per rendersi conto di come un miglioramento delle capacità di protezione delle infrastrutture digitali possa essere ottenuto adottando misure talvolta anche semplici, e non necessariamente onerose: un Report di Microsoft del 2022 ha sottolineato come l’adozione di misure elementari di cybersicurezza – per es. tenere aggiornati i sistemi e le password, svolgere regolari backup, ecc. – può proteggere fino al 98% degli attacchi.

Anche lo studio di IBM che ho citato inizialmente mostra quanto sia determinante il fattore umano: secondo il report, la misura dimostratasi più influente nella riduzione dei costi legati alle violazioni di dati avvenute tra marzo 2023 e febbraio 2024 è stata la formazione dei dipendenti. L’efficacia di questa misura è superiore persino all’impiego di software di cybersicurezza basati sull’intelligenza artificiale. In modo speculare, la scarsità di competenze in cybersicurezza ha rappresentato il secondo fattore (dopo la “complessità del sistema di sicurezza”) che più ha contribuito a far lievitare i costi delle violazioni.

La Regione Marche si sta muovendo lungo queste direttrici: da un lato investe sulla qualità delle proprie infrastrutture digitali, e questo le ha permesso di entrare nel catalogo di AgID dei fornitori di servizi cloud e dei servizi digitali evoluti; dall’altro interviene sul piano organizzativo, con l’istituzione dell’ “l’Unità per la Cybersicurezza” e mette in campo iniziative di formazione cyber, a cominciare da quella dei dipendenti della Giunta regionale e del Servizio Sanitario Regionale. Progetti rilevanti di rafforzamento della cybersicurezza sono in corso da parte del Ministero della Giustizia, per la protezione delle proprie delicate infrastrutture.

Torna alla mente una pagina di un ufficiale della marina inglese del XVII secolo, in cui si legge: “Questa nave è perfetta. Il legname con cui è stata costruita è di prim’ordine. Un vero miracolo dell’ingegneria dei cantieri di Sua Maestà (…). [Ma] per vincere i venti che sfideranno le robuste vele di questo naviglio il legno e la tela non basteranno, (…) perché laddove il mare è in bonaccia, oppure è in tempesta, può più la volontà dei migliori uomini che la resistenza del miglior legno contro le forze della natura!”

400 anni dopo questo ufficiale di marina continua ad avere ragione: il “fattore umano” è insostituibile. La sicurezza non può essere garantita affidandoci in automatico soltanto a soluzioni tecnologiche e ingegneristiche: cammina sulle gambe delle donne e degli uomini che ne sono responsabili, e sulla loro determinazione nel proteggere la propria comunità, a cominciare dai suoi componenti più fragili.
Ringrazio la Regione Marche per gli sforzi che sta facendo in questo senso e garantisco che avrà sempre il Governo nazionale al proprio fianco.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull’informatica in generale.

Lista degli articoli