Alle 7:42 di un martedì qualsiasi, il pronto soccorso è pieno come sempre. Le barelle occupano i corridoi, i monitor lampeggiano, le stampanti sfornano etichette per esami e cartelle. Poi, all’improvviso, tutto si ferma. Sullo schermo compare una schermata nera, una richiesta di denaro in criptovaluta e una frase agghiacciante: “I vostri dati sono stati cifrati”. In meno di cinque minuti un ransomware ha mandato in tilt il cuore digitale dell’ospedale.
Non è fantascienza. Attacchi simili hanno costretto ospedali reali a chiudere pronto soccorso, deviare ambulanze, cancellare migliaia di visite e interventi programmati. In alcuni casi si è parlato apertamente di “minaccia alla vita”, perché non si tratta più di file di un’azienda, ma di persone attaccate a un respiratore o in attesa di una diagnosi urgente.
Il cuore digitale dell’ospedale
Un ospedale moderno vive dentro i suoi sistemi informativi clinici: le cartelle cliniche elettroniche, i server che registrano esami, le applicazioni che gestiscono la terapia, le sale operatorie e i turni del personale. Quando un ransomware entra in rete e cifra tutto, non “spariscono” solo dei documenti: sparisce la memoria operativa dell’intera struttura. Non si sa più chi è ricoverato, con che diagnosi, quali farmaci assume, quali esami sono in corso.
In alcuni episodi documentati, i dipendenti hanno perso accesso per giorni alle cartelle cliniche elettroniche, ai sistemi di laboratorio, alla radiologia digitale e persino ai software per la radioterapia, costringendo i pazienti oncologici a spostarsi in altre strutture. Il lavoro torna improvvisamente alla carta e alla penna, ma in un contesto progettato per essere digitale: non esiste più la ridondanza di una volta, e la “modalità manuale” regge poche ore prima di andare in crisi.
Da una mail all’emergenza: come entra il ransomware
Nella maggior parte dei casi la storia inizia in modo banale: una mail di phishing, un allegato infetto, una password rubata o un sistema non aggiornato diventano la porta d’ingresso. Una volta dentro, il ransomware non colpisce subito. Si muove silenzioso nella rete interna, studia, si diffonde tra server, PC, dispositivi di laboratorio, finché non è ovunque. Quando scatta la cifratura, è già tardi: i file dei server, le cartelle cliniche elettroniche, i database dei laboratori e della radiologia sono resi illeggibili con una chiave che solo gli attaccanti possiedono.
Per massimizzare la pressione, molti gruppi criminali adottano una doppia o tripla estorsione: non solo bloccano i sistemi, ma copiano i dati e minacciano di pubblicare online informazioni sanitarie sensibili se l’ospedale non paga. In pratica, l’ospedale è stretto tra due fuochi: la paralisi operativa e il ricatto sulla privacy dei pazienti, con diagnosi, terapie e dati identificativi pronti a finire nel Dark Web.
Emergenza in ospedale Ph AI
Quando si spengono (anche) i macchinari
Spesso si pensa al ransomware come a un problema di “documenti”, ma la frontiera più inquietante è quella dell’Internet of Bodies: dispositivi medici connessi, indossabili, impiantabili che dialogano continuamente con la rete. Monitor multiparametrici, pompe di infusione, ventilatori, sistemi di somministrazione automatica dei farmaci, perfino alcuni pacemaker e defibrillatori comunicano con server centrali per trasmettere dati e ricevere aggiornamenti.
Se l’infrastruttura informatica dell’ospedale viene colpita, questi dispositivi possono non ricevere più configurazioni e ordini corretti, oppure rimanere bloccati in modalità degradate. Non serve nemmeno “hackerare” direttamente il singolo dispositivo: basta colpire il sistema che lo coordina per rallentare o interrompere trattamenti critici, ritardare infusioni, bloccare esami diagnostici, impedire il recupero veloce di parametri vitali storici. È una versione sanitaria dello scenario alla Stuxnet: non si distrugge fisicamente il macchinario, ma lo si rende instabile, inaffidabile o inutilizzabile nel momento peggiore.
Il giorno dopo: fogli, telefoni e paura
Quando un ospedale è “giù per ransomware”, la priorità immediata è garantire la sicurezza dei pazienti. Questo significa chiudere o limitare il pronto soccorso, deviare le ambulanze, rimandare gli interventi programmati e concentrarsi solo sulle emergenze che non possono essere rinviate. Gli operatori si organizzano con liste scritte a mano, telefonate continue tra reparti, fogli attaccati ovunque per ricordare chi deve fare cosa.
Ma più passano le ore, più emergono effetti meno visibili e altrettanto gravi: esami duplicati perché non si trovano i risultati precedenti, errori di trascrizione, difficoltà a ricostruire la storia clinica di pazienti complessi, ritardi nel triage e nelle terapie salvavita. Studi e testimonianze hanno iniziato a collegare i periodi di downtime causati da ransomware a possibili aumenti di mortalità e complicanze, proprio perché ogni minuto perso a cercare dati “spariti” è un minuto in meno dedicato alla cura.
Pagare o resistere?
Di fronte alla paralisi, molti ospedali si trovano davanti a una scelta eticamente insopportabile: pagare il riscatto o tentare di ripristinare tutto dai backup, accettando giorni o settimane di caos. Ci sono casi in cui gli amministratori hanno deciso di pagare, dichiarando che la priorità assoluta era tornare a curare i pazienti il prima possibile; altre strutture, invece, hanno rifiutato per non alimentare il business criminale, affrontando lunghi periodi di disservizi.
La reazione corretta, tecnicamente, sarebbe avere backup isolati, piani di continuità operativa e procedure di emergenza testate regolarmente. Ma la realtà, specie in sistemi sanitari sottofinanziati, è spesso diversa: sistemi vecchi, mancanza di personale IT dedicato, aggiornamenti rimandati, reti interne cresciute in modo disordinato per anni. In questo contesto, l’ospedale diventa il bersaglio perfetto: non può “chiudere per manutenzione” come un e‑commerce, e ha una leva emotiva enorme, perché ogni minuto di fermo fa notizia e aumenta la pressione a cedere al ricatto.
Internet of Bodies: quando il cyber è dentro di noi
L’Internet of Bodies porta il problema a un altro livello: non si tratta più solo di server in una sala CED, ma dei nostri corpi connessi. Dispositivi impiantati, sensori sottocutanei, pompe d’insulina intelligenti, neurostimolatori, tutti collegati — direttamente o tramite sistemi ospedalieri — a piattaforme software che li monitorano e li regolano.
Esperti di sicurezza avvertono che, in uno scenario estremo, un attacco informatico potrebbe interferire con questi sistemi, alterando dosaggi, frequenze, parametri vitali in modo impercettibile ma potenzialmente letale. Oggi la maggior parte degli incidenti documentati riguarda ancora la paralisi dei servizi e il furto di dati, ma è evidente che la superficie d’attacco sta diventando letteralmente “sotto pelle”. Il caso Stuxnet, che ha mostrato come un malware possa sabotare in modo chirurgico infrastrutture fisiche, è il precedente concettuale che dovrebbe far capire quanto fragile possa essere un ecosistema sanitario iperconnesso se non viene progettato con la cybersicurezza al centro.
In questo quadro, un ospedale fermo per ransomware non è solo una storia di computer “bucati”, ma il simbolo di una sanità che ha delegato sempre più funzioni vitali al software senza dare alla sicurezza lo stesso peso dato alla tecnologia. Quando la cartella clinica, il monitor, la pompa di infusione e il pacemaker diventano nodi della stessa rete, ogni vulnerabilità si traduce in una domanda brutale: chi controlla davvero il confine tra cura e pericolo, tra terapia e ricatto? E quanto vale, in bitcoin, la possibilità di non spegnere mai quel confine?
A cura di Davide Cannata
Leggi anche: Pericoli in rete: il tuo vicino di casa ti sta spiando?