Negli ultimi tempi, la sanità pubblica italiana, dalle ASL agli ospedali, è diventata un bersaglio sempre più frequente di hacker e truffatori. Il settore sanitario, con i suoi dati sensibili e la fragilità dei pazienti, offre un terreno fertile per chi vuole lucrare o rubare informazioni.

Dagli SMS ingannevoli che invitano a richiamare numeri truffa (spesso spacciandosi per gli “uffici CUP”) per sottrarre denaro alle false email sul Fascicolo Sanitario Elettronico (FSE) o per presunti “rimborsi per importo in eccesso”, le segnalazioni si moltiplicano in quasi tutte le Regioni. Questo fenomeno non solo causa danni economici agli utenti ma mina anche la fiducia nell’interfaccia che il CUP e il FSE rappresentano per il cittadino.

Strategie per la Cyber-Resilienza delle ASL e degli Ospedali

Il rischio zero non esiste, ma il sistema sanitario si sta attivando per mitigare le minacce. Le aziende sanitarie e ospedaliere devono adottare una strategia di cybersecurity robusta e continua.

Rafforzare la Sicurezza Informatica (Cybersecurity)

• Aggiornamento e Formazione Continua: Seguire protocolli, garantire un aggiornamento continuo dei sistemi e organizzare corsi di formazione sulla cybersecurity per gli operatori.
• Gestione di Identità e Accessi (IAM): Adottare policy di password complesse e implementare l’autenticazione a più fattori (MFA) per tutti gli accessi critici, soprattutto per il personale sanitario che accede a dati sensibili.
• Segmentazione della Rete: Isolare i sistemi critici (come quelli che gestiscono dati sanitari) e i dispositivi medici (IoT) in segmenti di rete separati, utilizzando firewall interni per controllare il traffico.
• Strategia di Backup 3-2-1: Mantenere tre copie dei dati, su due tipi di supporti diversi, con una copia off-site. È fondamentale testare regolarmente il ripristino dei backup per garantire una rapida ripresa in caso di attacco ransomware.
• Monitoraggio e Risposta agli Incidenti: Implementare sistemi di rilevamento e risposta (EDR/XDR) per monitorare continuamente attività sospette e reagire rapidamente a un incidente di sicurezza.
• Vulnerability Assessment: Effettuare regolarmente valutazioni di vulnerabilità e penetration testing per identificare e correggere proattivamente le debolezze prima che vengano sfruttate dagli hacker.

Promuovere la Consapevolezza e la Comunicazione

• Campagne di Sensibilizzazione Pubblica: Utilizzare i social network, incontri pubblici, e volantini per informare attivamente i cittadini sui tentativi di truffa, come i falsi SMS o email.
• Comunicazioni Ufficiali Chiare: Inserire un messaggio di attenzione sulle truffe negli SMS di conferma di prenotazione inviati dalle ASL. Regola fondamentale: le ASL non chiedono mai soldi via SMS o email.
• Collaborazione Istituzionale: Lavorare con le Forze dell’Ordine, i Comuni e le associazioni per amplificare il messaggio di prevenzione.

Come gli Utenti Possono Proteggersi da SMS e Email Truffa

Di fronte all’aumento delle truffe via SMS (smishing) e email (phishing) che sfruttano il nome delle ASL o del Ministero della Salute, i cittadini hanno un ruolo cruciale nella difesa dei propri dati e del proprio denaro.

Riconoscere un Messaggio o un’Email Truffa

• Richieste di Pagamento/Dati Urgente: Le ASL non chiederanno mai pagamenti o dati sensibili (come credenziali del Fascicolo Sanitario Elettronico o coordinate bancarie) tramite SMS o email non sollecitati. Qualsiasi messaggio che lo faccia è quasi certamente una truffa.
• Numeri e Mittenti Sconosciuti: Diffidare degli SMS o delle chiamate da numeri che non sono i canali ufficiali (Numeri Verdi o numeri con prefissi regionali). I numeri “ufficio CUP” che richiedono di essere richiamati per una comunicazione urgente sono spesso numeri truffa a pagamento.
• Errori e Richieste Anomale: Prestare attenzione a errori grammaticali, loghi sbiaditi, o richieste che sembrano troppo generiche o anomale (es. un “rimborso per importo in eccesso” non atteso).

Cosa Fare Immediatamente

• Non Richiamare o Rispondere: Non richiamare i numeri di telefono suggeriti dagli SMS sospetti e non rispondere alle email di phishing.
• Non Cliccare sui Link: Non cliccare su alcun link o aprire allegati presenti in comunicazioni sospette.
• Verifica Ufficiale: In caso di minimo dubbio, contattare direttamente la propria ASL/Ospedale tramite i canali ufficiali (numero di telefono del CUP o sito web istituzionale) per verificare la veridicità della comunicazione, prima di intraprendere qualsiasi azione.
• Segnala: Segnalare immediatamente l’accaduto alle Forze dell’Ordine (Polizia Postale) e all’ASL di riferimento. L’imperativo è non restare indifferenti di fronte a questi reati.

La battaglia contro i cyberattacchi è una responsabilità condivisa: richiede investimenti in tecnologia e formazione da parte delle istituzioni e un elevato livello di consapevolezza e cautela da parte dei cittadini.

Posso cercare le indicazioni specifiche della tua Regione o ASL su come segnalare truffe o messaggi sospetti.