1,8 milioni di cartelle mediche rubate a New York: il furto che espone i limiti della sanità digitale

Quando accedi al portale del tuo ospedale per controllare i risultati degli esami, pensi che i tuoi dati siano al sicuro dietro sistemi di protezione robusti. NYC Health + Hospitals, il principale fornitore pubblico di assistenza sanitaria a New York, ha scoperto che non è così: una violazione durata mesi ha esposto i dati medici, i documenti personali e le impronte digitali di almeno 1,8 milioni di persone. Non è un incidente isolato, ma la punta di un iceberg che rivela vulnerabilità strutturali nei sistemi sanitari digitali, sia negli Stati Uniti che in Italia.

Cosa è successo

La violazione scoperta da NYC Health + Hospitals rappresenta uno dei furti di dati sanitari più gravi degli ultimi anni. Gli attaccanti hanno avuto accesso prolungato ai sistemi dell'organizzazione, riuscendo a estrarre informazioni estremamente sensibili: cartelle cliniche complete, documenti di identità, e dati biometrici come le impronte digitali. La violazione è rimasta attiva per un periodo esteso prima di essere rilevata, il che significa che i criminali hanno avuto il tempo di copiare e trasferire grandi volumi di dati.

Ciò che rende questo caso particolarmente grave è la natura dei dati compromessi. Non si tratta di indirizzi email o numeri di telefono, ma di informazioni che toccano la sfera più intima della privacy: diagnosi mediche, trattamenti, storia clinica personale, e identificativi biometrici. Secondo quanto emerso dalle inchieste parallele negli Stati Uniti, alcuni di questi dati finiscono in canali criminali ben organizzati. Una ricerca approfondita ha rivelato che diverse società avrebbero utilizzato false credenziali per accreditarsi presso i network nazionali di scambio di dati medici, fingendosi fornitori legittimi di assistenza sanitaria. Una volta ottenuto l'accesso, scaricavano massicciamente le informazioni mediche protette di milioni di pazienti per rivenderle a studi legali specializzati in class action, fornendo loro elenchi dettagliati di potenziali clienti basati su diagnosi e trattamenti specifici.

Ancora più inquietante: per non destare sospetti, questi criminali inviavano indietro ai sistemi ospedalieri false note di trattamento, creando una copertura per i loro download massicci.

Perché è importante

Questo caso scuote le fondamenta della fiducia nel sistema sanitario digitale. Quando un paziente condivide i propri dati medici con un ospedale, lo fa con l'aspettativa che siano protetti da rigorosi protocolli di sicurezza e da regolamenti come l'HIPAA negli Stati Uniti. La violazione di NYC Health + Hospitals dimostra che questa protezione non è garantita, nemmeno nelle grandi organizzazioni pubbliche.

L'impatto è duplice. Da un lato, i 1,8 milioni di persone coinvolte rischiano di diventare vittime di frodi sanitarie, furti d'identità, e ricatti basati su informazioni mediche sensibili. Dall'altro, la fiducia nei sistemi sanitari digitali viene minata proprio nel momento in cui la digitalizzazione della sanità è diventata essenziale per il coordinamento delle cure e l'efficienza amministrativa.

In Italia, il problema non è teorico. Negli ultimi anni il paese ha registrato numerosi data breach nel settore sanitario. Nel 2023, la Asl 1 dell'Aquila ha subito un attacco del "Collettivo Monti" che ha esposto centinaia di gigabyte di documenti sanitari nel dark web. Più recentemente, a Milano, la piattaforma "Paziente consapevole" della società Murex software è stata compromessa, e gli attaccanti hanno utilizzato i dati rubati per inviare email di phishing fasulle che chiedevano il pagamento di prestazioni sanitarie arretrate, utilizzando informazioni reali estratte dalle cartelle cliniche. Questi attacchi non sono eccezioni, ma parte di un trend crescente: secondo le analisi del settore, l'impatto economico della cybercriminalità è aumentato di cinque volte tra il 2013 e il 2017, e il settore sanitario rimane uno dei bersagli preferiti perché i dati medici hanno un valore commerciale molto alto nei mercati criminali.

La questione diventa ancora più complessa quando si considera il ruolo di piattaforme come Epic, il più grande fornitore di software per la gestione di dati sanitari negli Stati Uniti. Epic ha avviato azioni legali senza precedenti contro le società che hanno abusato dei network di scambio di dati medici, ma il danno è già fatto: il sistema di condivisione dei dati sanitari, nato per migliorare il coordinamento delle cure, si è trasformato in un varco per un lucroso mercato occulto.

Cosa aspettarsi

Nei prossimi mesi, gli indicatori da osservare sono molteplici. Innanzitutto, le azioni legali contro i responsabili della violazione di NYC Health + Hospitals: le autorità federali e locali stanno indagando, e è probabile che emergano dettagli sulla catena di responsabilità, dalle vulnerabilità tecniche alle scelte organizzative che le hanno permesse.

In secondo luogo, le reazioni normative. È probabile che il Congresso e le autorità federali americane accelerino su nuove regolamentazioni per proteggere i dati biometrici e medici, specialmente nei network di scambio dati. Allo stesso modo, in Europa e in Italia, le autorità garanti della privacy potrebbero intensificare i controlli e le sanzioni nei confronti delle strutture sanitarie che non rispettano adeguatamente il GDPR.

Terzo aspetto: le scelte tecniche. Le organizzazioni sanitarie dovranno investire in autenticazione multi-fattore più robusta, crittografia end-to-end, e sistemi di monitoraggio in tempo reale degli accessi ai dati sensibili. Il modello attuale, dove un accesso legittimo può essere ottenuto con false credenziali, è chiaramente insufficiente.

Infine, la domanda di fondo rimane aperta: come proteggere i benefici della sanità digitale senza esporre i pazienti a rischi inaccettabili? Questa violazione suggerisce che la risposta non è semplice, e che il costo della negligenza è misurato in milioni di vite potenzialmente compromesse.