La trasformazione digitale della sanità sta ridisegnando il rapporto tra dati, tecnologie e cure, rendendo inscindibili sicurezza informatica e sicurezza del paziente. La digitalizzazione dei processi clinici, l’adozione della telemedicina e la diffusione di dispositivi medici connessi offrono straordinarie opportunità di cura, ma ampliano la superficie di attacco esposta a minacce informatiche sempre più insidiose.
A confermare la gravità del contesto sono i dati del rapporto "La minaccia cibernetica al settore sanitario" dell’Agenzia per la Cybersicurezza Nazionale (ACN): nel 2025 gli eventi cyber nel comparto sanitario sono aumentati del 40% rispetto all’anno precedente. Il documento evidenzia come tali incidenti minaccino direttamente la disponibilità dei servizi sanitari e la tutela dei dati sensibili, rendendo urgente il rafforzamento della resilienza digitale contro attacchi critici come i ransomware.
In questo scenario, il webinar “Cyber health: sicurezza digitale per biomedicina e biotecnologie” ha offerto un confronto organico lungo tutta la filiera del settore. Promosso dal Ministero delle Imprese e del Made in Italy (MIMIT) con Cyber 4.0 e la Scuola Superiore di Specializzazione in Telecomunicazioni (SSST), l’incontro si inserisce in un percorso di approfondimento dedicato alle trasformazioni della sicurezza informatica in un quadro tecnologico e normativo in rapida evoluzione.
Ad aprire i lavori è stato Matteo Lucchetti, Direttore Operativo di Cyber 4.0, che ha richiamato l’importanza di affrontare la sicurezza digitale come componente strutturale dei processi di innovazione biologica e medica per garantire affidabilità e continuità operativa alle strutture e ai cittadini.
Sanità digitale, dati e resilienza: le sfide tra Italia ed Europa
Giulia Veltro, Funzionario Tecnico del MIMIT, ha illustrato il quadro normativo europeo di riferimento per la tutela della salute pubblica in ambito digitale, sottolineando come la protezione dei dati sanitari richieda oggi un approccio integrato tra strumenti complementari: dal Regolamento Generale sulla Protezione dei Dati (GDPR) allo European Health Data Space (EHDS), fino alla Direttiva NIS2, al Cyber Resilience Act (CRA) e ai Regolamenti sui dispositivi medici (MDR/IVDR).
In questo contesto, l’intelligenza artificiale rappresenta una leva di innovazione ad alto potenziale per il sistema salute: secondo uno studio di MedTech Europe citato durante l’incontro, l’AI potrebbe contribuire a salvare centinaia di migliaia di vite ogni anno, migliorando l’efficienza sistemica.
Tuttavia, come confermato dal report “Deployment of AI in Healthcare” della DG SANTE della Commissione Europea, il reale dispiegamento di queste soluzioni dipende dalla capacità di governare nodi cruciali come la qualità, la sicurezza e l’interoperabilità dei dati.
Governare il rischio per garantire la sicurezza delle cure
Il passaggio dalle regole europee alla gestione sul territorio richiede modelli di governance capaci di tradurre i requisiti in pratiche quotidiane. Camillo Odio, Direttore del Dipartimento Sanità della Regione Abruzzo, ha approfondito la protezione dei dati clinici, evidenziando come la data governance sia il presupposto per l’adozione di ogni nuova tecnologia.
Impostare una governance efficace significa integrare nativamente la gestione del rischio cyber con il rischio clinico. In sanità, il blocco di un sistema informativo o di una cartella clinica non è un semplice disservizio informatico, ma un evento che impatta sulla tempestività delle terapie e sulla sicurezza delle cure. La cybersecurity diventa così un elemento di valore strategico nei processi decisionali della sanità pubblica.
Dispositivi intelligenti e vulnerabilità cyber-fisiche
Una delle frontiere più delicate è la dimensione "cyber-fisica", che sposta il focus dalla rete all’interazione tra mondo digitale e corpo umano. Gaetano Marrocco, Professore Ordinario di Campi Elettromagnetici presso l’Università La Sapienza di Roma, ha analizzato le vulnerabilità intrinseche ai dispositivi medici impiantabili e dotati di interfacce wireless.
Attraverso casi applicativi, è stato illustrato come attacchi informatici o interferenze elettromagnetiche possano produrre conseguenze fisiche dirette sul paziente, configurando un rischio clinico immediato. Accanto a questo, l’approccio cyber-fisico evidenzia minacce legate alla riservatezza, come il rischio di identificazione del dispositivo e di inferenza indiretta delle abitudini del paziente tramite i segnali wireless. Su questo fronte, un ruolo chiave di monitoraggio è svolto dalle attività dell’Osservatorio Cyber4Health (C4H), impegnato nella mappatura di queste vulnerabilità per definire nuovi standard di protezione.
Quando una protesi inizia a generare dati
Gli oggetti terapeutici stanno subendo una metamorfosi radicale, come spiegato nell’intervento congiunto di Nicoletta Panunzio ed Anita Casterini, rispettivamente Project Manager & System Engineer e Legal Regulatory Expert per Radio6ense. Strumenti e protesi tradizionalmente meccanici e passivi vengono oggi integrati con sensori e capacità di comunicazione, trasformandosi in generatori continui di dati sullo stato del dispositivo e sulle condizioni cliniche del paziente.
Se da un lato queste soluzioni aprono scenari avanzati di personalizzazione delle cure e manutenzione predittiva, dall’altro generano una forte complessità regolatoria dovuta alla convergenza tra hardware e software. Per tutelare cybersecurity e privacy, diventa fondamentale applicare i principi di privacy by design e security by design attraverso il co-design: un approccio multidisciplinare che veda collaborare fin dall’inizio competenze ingegneristiche, legali e regolatorie.
Dal dato all’azione: l’IA a supporto della prevenzione
La centralizzazione e l’elaborazione intelligente di questa mole di dati abilita finalmente il passaggio da una medicina reattiva a una sanità preventiva. Alessandro Campi, Ricercatore presso il Politecnico di Milano, ha illustrato l’impiego di architetture software reattive e tecniche di machine learning per supportare il monitoraggio e l’intervento tempestivo.
A differenza dei sistemi tradizionali a soglie statiche, i sistemi intelligenti analizzano i flussi di dati in tempo reale per identificare anomalie e riconoscere situazioni non predeterminate. Un caso applicativo di rilievo è il monitoraggio non invasivo delle persone anziane tramite sensori ambientali che, senza violare la privacy con telecamere, apprendono la routine e isolano "segnali deboli" prima dell’emergenza.
Conclusioni
Il webinar ha confermato che la transizione digitale della sanità è una sfida soprattutto culturale e organizzativa. Se in passato la cybersecurity doveva solo proteggere i perimetri informatici, nella sanità moderna è chiamata a garantire l’affidabilità dei dispositivi, la continuità delle cure e la fiducia stessa dei cittadini nell’innovazione scientifica.
Prossimi appuntamenti
Il ciclo di seminari sulla cybersicurezza proseguirà a settembre con il webinar “Cognitive warfare: disinformazione, social engineering e minacce cyber”, dedicato all’analisi delle nuove forme di manipolazione dell’informazione e delle minacce che sfruttano il fattore umano come vettore di attacco.
Ulteriori dettagli su data e programma saranno disponibili nei prossimi mesi sul sito istituzionale e sui canali social di Cyber 4.0 e del Ministero delle Imprese e del Made in Italy.