Un allarme che riguarda direttamente la tua privacy
Se sei un paziente in Lombardia o un medico di base che utilizza la piattaforma Paziente consapevole, devi sapere che i tuoi dati sensibili potrebbero essere stati compromessi. Nel mese di ottobre 2025, un grave attacco hacker ha colpito i server di Murex Software, la società che gestisce questa piattaforma utilizzata da circa 180.000 utenti tra medici e pazienti per condividere cartelle cliniche, prescrizioni e documenti personali.
Il danno è già fatto: circa 90.000 pazienti lombardi sono stati identificati nei dati trafugati. Peggio ancora, i cybercriminali stanno vendendo questi dati sul dark web a prezzi irrisori, a partire da soli 25 euro per profilo. Questo significa che chiunque abbia accesso ai forum criminali online può acquistare le tue informazioni mediche personali.
Cosa è stato rubato esattamente?
Il database trafugato contiene informazioni estremamente sensibili e difficili da sostituire una volta compromesse. Tra i dati esposti figurano:
– Prescrizioni mediche in formato PDF
– Certificati di esenzione dal ticket
– Permessi di malattia e certificati di malattia
– Nomi completi e codici fiscali
– Indirizzi residenziali (per 90.000 pazienti)
– Indirizzi email (per 30.000 pazienti)
– Numeri di telefono fisso e cellulare (per 4.300 pazienti)
– Dettagli su visite mediche, esami e terapie
– Informazioni assicurative e sanitarie
I documenti nel database risalgono almeno al 2020, il che significa che i dati compromessi coprono un arco temporale di diversi anni. In totale, il venditore offre pacchetti che includono oltre 390.000 prescrizioni PDF e più di 350.000 record anagrafici completi.
I rischi concreti per te
I dati sanitari hanno un valore molto superiore a quello delle carte di credito sul mercato nero. Mentre una carta di credito può valere pochi euro, i dati medici personali possono raggiungere valori tra 300 e 1.000 dollari per profilo. Questo perché sono immutabili e difficili da contenere una volta pubblicati in ambienti criminali.
I rischi specifici a cui sei esposto includono:
– Truffe assicurative: i criminali possono utilizzare i tuoi dati per presentare false rivendicazioni alle compagnie assicurative
– Ricatti e estorsioni mirate: i tuoi dati medici sensibili possono essere usati per estorcere denaro
– Furti di identità: le informazioni personali e finanziarie possono essere utilizzate per aprire conti fraudolenti
– Profilazioni illegali: i tuoi dati possono essere usati per discriminazione commerciale o finalità illegittime
– Frodi di pagamento: i criminali possono inviare email fraudolente fingendosi strutture sanitarie e chiedendo pagamenti
– Attacchi mirati alle aziende: i tuoi datori di lavoro potrebbero essere bersaglio di attacchi basati sulle informazioni sulla tua salute
Azioni immediate da intraprendere
Non aspettare: agisci oggi stesso. Ecco cosa devi fare subito:
- Monitora il tuo conto bancario e le tue email: controlla regolarmente i tuoi estratti conto e la cartella spam/phishing delle tue email per attività sospette
- Segnala l’incidente: contatta il Garante per la Protezione dei Dati Personali (GPDP) e la Polizia Postale per denunciare l’accaduto
- Cambia le tue password: se hai utilizzato password identiche su altri servizi, cambiale immediatamente
- Attiva il monitoraggio del credito: considera di richiedere un servizio di monitoraggio del credito per rilevare eventuali tentativi di frode
- Contatta il tuo medico: informalo dell’accaduto e chiedi se ha adottato misure di sicurezza aggiuntive
- Documenta tutto: conserva una copia di tutte le comunicazioni relative all’incidente
- Zero-trust architecture: verificare ogni accesso, sia interno che esterno
- Crittografia AES-256: applicare a tutti i dati sensibili, sia a riposo che in transito
- Monitoraggio SIEM avanzato: implementare sistemi di rilevamento delle intrusioni con threat intelligence in tempo reale
- Audit API regolari: verificare costantemente la sicurezza di tutte le interfacce di programmazione
- Backup immutabili: mantenere copie di backup offline non modificabili
- Autenticazione multi-fattore: obbligare MFA per tutti gli accessi amministrativi
- Threat hunting proattivo: ricercare attivamente segni di compromissione
Lo stato della cybersicurezza nel settore sanitario italiano
Questa non è un’eccezione isolata. L’Italia è il terzo paese in Europa per numero di attacchi informatici contro strutture sanitarie. In Lombardia, negli ultimi due anni e mezzo, sono stati registrati 25 attacchi ransomware. Questo trend ha spinto la Regione Lombardia a aumentare il budget per la cybersicurezza da 1 milione a 18 milioni di euro entro il 2025.
Una ricerca della Regione ha inoltre rivelato un problema strutturale: su 22 piattaforme simili a Paziente consapevole in uso in Lombardia, solo 5 risultano conformi alle regole sulla sicurezza informatica. Questo significa che molti altri sistemi potrebbero presentare vulnerabilità simili.
Cosa sappiamo sul venditore e sui prezzi
Il venditore dei dati, noto come ‘wizgun’ su forum cybercriminali russi, ha pubblicato anteprime dei dati per dimostrarne l’autenticità. Analisi forensi condotte da esperti di cybersecurity confermano che i dati mostrati sono reali e corrispondono effettivamente ai database della piattaforma Paziente consapevole.
I prezzi offerti sono allarmantemente bassi:
– 25 euro per pacchetti contenenti prescrizioni mediche
– 35 euro per profili completi di pazienti
– 1,84 bitcoin (circa 80.000 euro) per l’intero database di oltre 350.000 record
Questi prezzi rendono i dati accessibili a un’ampia gamma di criminali, non solo a sofisticati gruppi di hacker.
Technical Deep Dive
Analisi tecnica dell’attacco
L’attacco del 10 ottobre 2025 a Murex Software rappresenta un classico esempio di breach post-ransomware con exfiltrazione dati. I cybercriminali hanno prima trafugato i dati dal database, poi hanno crittografato i sistemi con ransomware, costringendo l’azienda a sospendere il servizio.
L’architettura compromessa includeva:
– Database MySQL/PostgreSQL non sufficientemente segmentato
– Credenziali di accesso deboli o compromesse
– Assenza di segmentazione di rete (zero-trust architecture)
– Insufficiente crittografia end-to-end dei dati sensibili
– Monitoraggio SIEM inadeguato per rilevare attività anomale
Raccomandazioni tecniche per la mitigazione
Per prevenire incidenti simili, le piattaforme sanitarie dovrebbero implementare:
Il contesto dei ransomware moderni
L’aumento del 148% degli eventi cyber in Lombardia nel 2024 suggerisce che le organizzazioni sanitarie devono adottare rilevamento guidato dall’intelligenza artificiale per identificare rapidamente ransomware come LockBit, Conti e altre varianti emergenti.
La sicurezza informatica in ambito sanitario non deve essere aggiunta in seguito (security by addition), ma deve essere progettata fin dall’origine dei sistemi (security by design). Questo significa che ogni componente, ogni API, ogni database deve essere costruito con la sicurezza come requisito fondamentale, non come una considerazione secondaria.
