Attacchi informatici in crescita: la cybersicurezza che serve al non profit

In un contesto digitale senza frontiere, la cybersicurezza rappresenta il solo mezzo per proteggere l’attività online dei cittadini, delle aziende, delle istituzioni e del Terzo settore. Come evidenziato sul sito dell’Agenzia per la Cybersicurezza Nazionale, la cybersicurezza è l’insieme delle pratiche che permettono di difendere i propri dati online: per esempio la propria casella di posta elettronica, i dati che abbiamo sul cloud o i nostri messaggi sulla segreteria telefonica. Senza necessariamente essere un ingegnere, è possibile proteggere e tutelare la propria vita digitale.

L’avanzata inarrestabile e capillare dell’intelligenza artificiale ci ricorda quali sono le grandi opportunità, e dunque i rischi, associati alle nuove tecnologie. Secondo il rapporto annuale del CLUSIT sulla Cybersecurity in Italia e nel mondo, «negli ultimi cinque anni il numero degli attacchi digitali è cresciuto sensibilmente (…): la media mensile a livello globale è passata dai 156 del 2020 ai 295 del 2024». E l’Italia non ne esce indenne: «Pur rappresentando solo lo 0,7% della popolazione e l’1,8% del PIL mondiale, il nostro Paese, nel 2024, ha subito il 10% degli attacchi registrati a livello globale, mentre la Francia è al 4% e la Germania e il Regno Unito sono al 3%».

«L’Italia, come gran parte dell’Europa, sta vivendo un’escalation di cyber attacchi: tra le realtà più vulnerabili emergono anche molte organizzazioni del Terzo settore, che spesso non dispongono delle risorse e delle competenze necessarie per proteggersi. Con l’iniziativa Cyber for Good, vogliamo contribuire a colmare questo divario, offrendo supporto gratuito e costruendo una cultura della sicurezza accessibile, inclusiva e consapevole», evidenzia Cristina Mariano, Country Manager di Advens Italia, player europeo della cybersicurezza.

E il Terzo settore cosa c’entra?

Il 90% dei cyber attacchi è di matrice criminale. Ciò significa che l’obiettivo principale è quello di estorcere del denaro alle istituzioni o alle aziende che hanno subito un attacco. In questo ambito, la strategia principale è quella di prendere di mira le strutture più vulnerabili. Non sorprende quindi che la terza categoria più colpita al mondo – 13% del totale – sia proprio il settore socio-sanitario, che ha registrato un aumento del 18,9% nel 2024, secondo i dati Clusit del 2025. Non solo: il successo della stragrande maggioranza degli attacchi cyber è il risultato di errori umani, con una percentuale che va dal 74% al 95% secondo il report “Enisa Threat Landscape 2023”.

Ma perché attaccare proprio il settore socio-sanitario? Principalmente per tre ragioni:

1. La diffusione dei dati socio-sanitari mette potenzialmente a rischio la vita dei pazienti, come nel caso degli ospedali e di tutti gli enti che gestiscono dati personali così altamente sensibili. Questa vulnerabilità consente ai cyber criminali di avanzare richieste di riscatto;
2. La mancanza di adeguate misure di protezione tra gli operatori del socio-sanitario e del Terzo settore, dovuta spesso a risorse finanziarie limitate, fa sì che la cybersicurezza non sia una priorità;
3. Una cultura della sicurezza informatica ancora debole all’interno di queste realtà rappresenta un ulteriore rischio. Oltre alle misure adottate a livello globale, come, per esempio, l’integrazione di un antivirus nei sistemi informatici delle associazioni, è fondamentale che tutti i dipendenti e i volontari utilizzino correttamente gli strumenti digitali, evitando di divulgare involontariamente password o dati personali.
   

«Se parliamo di sicurezza informatica, si pensa subito ad un argomento per soli specialisti e che debba essere delegata a profili altamente tecnici. In realtà quello che facciamo ogni giorno come consulenti è passare il concetto di igiene informatica, che è l’insieme delle buone pratiche da adottare per scongiurare la maggior parte degli attacchi. Poche semplici accortezze alla portata di tutti che possono fare davvero la differenza sono: utilizzare password complesse, navigare nel web solo su siti affidabili, evitare l’uso di Wi-Fi pubbliche, utilizzare con molta cognizione strumenti di AI, tenere aggiornati i sistemi operativi e i programmi e verificare attentamente le email che ci chiedono di aprire link o allegati. Si tratta di cambiare approccio, si tratta appunto di creare una cultura della cybersecurity. Questo è il presupposto fondamentale per l’applicazione di una cybersicurezza efficace che si occupi di fornire una protezione completa» sottolinea Marco Scognamiglio, consulente di Advens Italia.

Già nel gennaio 2012, gli hacker non hanno esitato ad attaccare i server del Comitato Internazionale della Croce Rossa (CIRC) che contenevano i dati personali di 515mila persone che hanno ricorso al servizio di riunificazione delle famiglie, il programma di Croce Rossa che permette di rintracciare i familiari separati a causa di conflitti armati, disastri o percorsi migratori.

Più di recente, la ong tedesca Deutsche Welthungerhilfe (WHH), specializzata nella distribuzione alimentare, è stata vittima di un attacco ransomware,un tipo di virus informatico che blocca o cripta i file del computer e chiede un riscatto per farli tornare accessibili. Nel 2023, l’ong aveva sostenuto 16,4 milioni di persone, fornendo aiuti d’emergenza a Gaza, in Ucraina e Sudan. Un gruppo cybercriminale specializzato in ransomware ha attaccato l’organizzazione, pubblicando i dati sul darknet e chiedendo un riscatto di circa 2,1 milioni di dollari.

Anche le strutture socio-sanitarie italiane sono prese di mira. Dal gennaio 2023, si registra una media di 3,5 attacchi informatici al mese. Circa la metà di questi episodi provoca conseguenze gravi, compromettendo l’operatività dei servizi e mettendo a rischio la privacy dei pazienti. Malgrado attacchi sempre più sofisticati, le cause principali sono spesso «le pratiche di sicurezza inadeguate o ignorate, derivanti da scarsa formazione del personale e dalla gestione decentralizzata dei sistemi informatici, senza politiche di sicurezza centralizzate», come evidenziato nel rapporto La minaccia cibernetica nel settore sanitario dell’Agenzia per la Cybersicurezza Nazionale.

Un caso emblematico è quello dell’Azienda ospedaliera universitaria integrata di Verona che, nell’ottobre 2023, è stata vittima di un importante databreach – ovvero una violazione dei dati, in cui soggetti non autorizzati accedono, copiano o utilizzano informazioni riservate, come referti o analisi cliniche. In quell’occasione, gli hacker hanno sottratto oltre 900mila file, per un totale di 612 Gb di dati sensibili, messi in vendita sul dark web per circa 350mila euro.

Una responsabilità morale… e legale

Se proteggere i dati di pazienti, volontari, migranti e persone vulnerabili rappresenta una responsabilità morale, non bisogna dimenticare l’obbligo legale e il quadro giuridico italiano (ed europeo).

«Il Gdpr, già in vigore dal 2018, offre linee guida per tutelare i dati e definisce le sanzioni per i responsabili del trattamento che non mettono in campo le misure necessarie per tutelarli. Ma la difesa dei dati è un impegno che ci deve coinvolgere tutti, come dimostra l’adozione a livello europeo nel 2024 della Direttiva NIS2, recepita in Italia con il cosiddetto Decreto NIS (dlgs 138/2024). La NIS introduce una cybersicurezza che sia il risultato di un impegno di tutte le realtà che trattano i dati, che copra tutta la supply chain, perché anche un solo soggetto debole può compromettere la difesa di tutto il sistema. Sono state quindi definite nuove categorie di soggetti coinvolti, ulteriori requisiti minimi necessari da adottare e sono state istituite sanzioni per garantire che nessuno sottovaluti l’importanza di rispettare le regole. Inoltre, per garantire che questo si verifichi, il legislatore responsabilizza gli organi amministrativi e direttivi con sanzioni economiche e disciplinari fino addirittura alla sospensione dal proprio incarico. Però ricordiamoci, lo scopo non è punire, ma tutelarci tutti mettendoci in regola» sottolinea Cristina Mariano, Country Manager di Advens Italia.

Al fine di sensibilizzare e accompagnare i responsabili associativi, i dipendenti e i volontari del Terzo settore, la fondazione Advens for People and Planet ha lanciato l’iniziativa Cyber for Good. «È possibile evitare una grande numero di attacchi attraverso un utilizzo attento e delle pratiche preventive in materia cyber. Ogni volontario e dipendente può giocare un ruolo determinante nella protezione dei dati e dei sistemi informatici della propria associazione o struttura» conclude Giulio Zucchini, responsabile Democrazia e digitale di Advens for People and Planet.

Foto di Adi Goldstein su Unsplash