La sanità digitale è sotto attacco: cosa c’entrano i dispositivi medici
La cybersicurezza dei dispositivi medici è diventata una delle questioni più urgenti per il settore sanitario italiano. Ospedali, cliniche private e ambulatori si affidano ogni giorno a migliaia di apparecchiature connesse in rete — dai monitor per parametri vitali alle pompe di infusione, dai sistemi di imaging diagnostico ai dispositivi impiantabili. Ognuno di questi strumenti rappresenta, potenzialmente, una porta d’ingresso per un attacco informatico.
Il problema non è teorico. Secondo il rapporto Clusit 2025, la sanità si conferma tra i settori più colpiti a livello globale, con un incremento degli attacchi superiore al 30% rispetto all’anno precedente. In Italia il dato è ancora più preoccupante: le strutture sanitarie subiscono attacchi ransomware con frequenza crescente, e spesso la compromissione parte proprio da un dispositivo medico connesso alla rete e non adeguatamente protetto.
Per le PMI italiane che operano nella filiera sanitaria — fornitori di tecnologia, studi medici associati, laboratori di analisi — comprendere questo scenario non è più facoltativo. È una questione di sicurezza informatica in sanità, ma anche di continuità operativa e conformità normativa.
Perché i dispositivi medici connessi rappresentano un rischio concreto
I dispositivi medici connessi (noti anche come IoMT, Internet of Medical Things) sono progettati per svolgere funzioni cliniche, non per resistere a sofisticate minacce informatiche. Molti di essi girano su sistemi operativi obsoleti, non ricevono aggiornamenti di sicurezza regolari e utilizzano protocolli di comunicazione privi di crittografia.
Un panorama frammentato e difficile da governare
All’interno di una struttura sanitaria media convivono centinaia di dispositivi di produttori diversi, con cicli di vita che possono superare i 10-15 anni. Un’apparecchiatura di diagnostica per immagini acquistata nel 2012, ad esempio, potrebbe ancora funzionare su Windows 7, un sistema operativo che Microsoft non supporta più dal 2020. Aggiornarlo non è sempre possibile senza invalidare la certificazione del dispositivo come apparecchio medicale.
Questa frammentazione crea quello che gli esperti chiamano “superficie d’attacco estesa”: ogni dispositivo non aggiornato diventa un potenziale punto debole. Un criminale informatico che riesce a compromettere un singolo monitor paziente può, da lì, muoversi lateralmente nella rete ospedaliera fino a raggiungere i database con le cartelle cliniche, i sistemi di prenotazione o persino i dispositivi che erogano terapie.
I rischi vanno oltre il furto di dati
Quando si parla di cybersecurity in sanità, il primo pensiero va alla protezione dei dati sanitari. Ed è comprensibile: le informazioni mediche sono tra le più sensibili in assoluto e hanno un valore elevatissimo sul mercato nero (fino a 250 dollari per singolo record, secondo stime IBM). Ma il rischio non si ferma qui.
Un attacco a un dispositivo medico può avere conseguenze dirette sulla sicurezza fisica del paziente. Nel 2020, un attacco ransomware all’ospedale universitario di Düsseldorf costrinse al trasferimento di una paziente in emergenza, con esito fatale. Casi simili, seppur meno estremi, si verificano con regolarità crescente anche in Italia, dove diversi presidi ospedalieri hanno dovuto sospendere temporaneamente le attività chirurgiche e diagnostiche a causa di intrusioni informatiche.
Il quadro normativo europeo: NIS 2 e il regolamento MDR
L’Europa ha preso atto della gravità della situazione. Due strumenti normativi, in particolare, ridefiniscono gli obblighi per chi produce, distribuisce e utilizza dispositivi medici.
La direttiva NIS 2
La direttiva NIS 2 classifica la sanità come settore ad alta criticità. Le strutture sanitarie e i loro fornitori essenziali devono implementare misure di gestione del rischio cyber, notificare gli incidenti entro 24 ore e garantire la sicurezza dell’intera catena di approvvigionamento. Per le PMI che forniscono servizi o tecnologie al comparto sanitario, questo significa essere soggette a obblighi stringenti anche se non operano direttamente in ambito clinico.
Il regolamento MDR (Medical Device Regulation)
Il regolamento europeo 2017/745 sui dispositivi medici, pienamente operativo dal 2021, introduce requisiti espliciti di cybersicurezza per i produttori. Ogni dispositivo medico connesso deve essere progettato tenendo conto dei rischi informatici lungo tutto il ciclo di vita. Le verifiche di conformità includono valutazioni sulla sicurezza del software, sulla protezione dei dati trasmessi e sulla capacità di ricevere aggiornamenti di sicurezza.
Questi due pilastri normativi convergono su un punto: la cybersicurezza dei dispositivi medici non è più una best practice volontaria, ma un obbligo di legge con sanzioni significative per chi non si adegua.
Le implicazioni pratiche per le PMI italiane
Se la tua azienda opera nella filiera sanitaria — anche in modo indiretto — le implicazioni sono concrete e immediate.
Fornitori di tecnologia e servizi IT
Le PMI che forniscono software, hardware o servizi di assistenza tecnica a strutture sanitarie rientrano nel perimetro della NIS 2 come parte della supply chain. Questo comporta l’obbligo di adottare politiche di sicurezza documentate, effettuare assessment periodici dei rischi e dimostrare la conformità ai propri clienti. Chi non si adegua rischia di perdere contratti e, nei casi più gravi, di incorrere in sanzioni amministrative.
Studi medici, poliambulatori e laboratori
Anche le realtà sanitarie più piccole non sono esenti. Un poliambulatorio con dispositivi diagnostici connessi alla rete — ecografi, elettrocardiografi digitali, sistemi di archiviazione immagini PACS — è esposto agli stessi rischi di una struttura più grande, spesso con minori risorse per difendersi. La differenza la fa un approccio strutturato alla cybersecurity, che parte dalla mappatura dei dispositivi in rete e arriva alla segmentazione della rete stessa.
La protezione dei dati sanitari come obbligo GDPR
Non va dimenticato che i dati sanitari godono di una tutela rafforzata sotto il GDPR. Una violazione che coinvolge cartelle cliniche, referti o dati biometrici può comportare sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale. Per una PMI, anche una sanzione minima può avere effetti devastanti.
Come proteggersi: un approccio pragmatico
Non servono budget milionari per iniziare a ridurre il rischio. Servono metodo, consapevolezza e le giuste priorità.
Inventario e visibilità. Il primo passo è sapere esattamente quali dispositivi medici sono connessi alla rete aziendale. Sembra banale, ma molte strutture non hanno un inventario aggiornato. Senza visibilità non c’è protezione.
Segmentazione della rete. I dispositivi medici dovrebbero operare su segmenti di rete isolati dal resto dell’infrastruttura IT. In questo modo, anche se un dispositivo viene compromesso, l’attaccante non può raggiungere facilmente i sistemi critici.
Aggiornamenti e patch management. Dove possibile, i dispositivi devono essere aggiornati. Dove non è possibile (apparecchiature legacy), occorre compensare con controlli di rete aggiuntivi, monitoraggio del traffico anomalo e soluzioni di protezione endpoint adeguate.
Monitoraggio continuo. Un sistema di rilevamento delle minacce attivo 24/7 è essenziale per identificare comportamenti sospetti prima che si trasformino in incidenti. Le soluzioni MDR (Managed Detection and Response) sono particolarmente adatte alle PMI che non dispongono di un SOC interno.
Formazione del personale. Il fattore umano resta il vettore d’attacco più sfruttato. Medici, infermieri e personale amministrativo devono essere formati per riconoscere tentativi di phishing e social engineering, soprattutto quando utilizzano dispositivi connessi alla rete clinica.
Un settore che non può permettersi di restare indietro
La trasformazione digitale della sanità è irreversibile. Telemedicina, cartelle cliniche elettroniche, dispositivi indossabili per il monitoraggio remoto dei pazienti: sono innovazioni che migliorano la qualità delle cure e l’efficienza del sistema. Ma ogni nuova connessione è anche una nuova responsabilità.
Per le PMI italiane, il messaggio è chiaro: la sicurezza informatica in sanità non riguarda solo i grandi ospedali. Riguarda ogni anello della catena, dal produttore del software gestionale al tecnico che configura l’ecografo, dal laboratorio di analisi al fornitore di servizi cloud. La cybersicurezza dei dispositivi medici è un tema che tocca trasversalmente chi sviluppa, chi installa, chi utilizza e chi manutiene queste tecnologie.
Investire oggi in prevenzione significa evitare domani costi ben più elevati — in termini economici, reputazionali e, soprattutto, di sicurezza per i pazienti.