Un maxi furto di dati sanitari ha fatto scattare l’allarme in tutta Italia, dopo che migliaia di cittadini e medici di base hanno ricevuto email truffa con richieste di pagamento per presunte prestazioni sanitarie. Le comunicazioni fraudolente, apparentemente inviate da una società di recupero crediti chiamata CreditLex srl con sede a Monza, in realtà provengono da gruppi di hacker dell’Est Europa, già noti alle forze dell’ordine per operazioni simili.
Al centro dell’attacco c’è il portale “Paziente consapevole”, gestito dalla società Murex Software, che fornisce servizi digitali per medici e pazienti nell’ambito del Servizio Sanitario Nazionale. La piattaforma, utilizzata quotidianamente per prescrizioni, esami e farmaci, è stata violata nei suoi server, consentendo agli hacker di accedere a informazioni estremamente sensibili e personali dei cittadini.
Le email fraudolente sono arrivate “a pioggia” a centinaia di utenti, contenendo dati veri estratti dal fascicolo sanitario elettronico, tra cui nome, indirizzo, email, codice fiscale e, soprattutto, elenco di esami e farmaci realmente prescritti dai medici nei mesi precedenti. Una violazione gravissima, non solo per la privacy ma anche per la potenziale strumentalizzazione dei dati sanitari a fini estorsivi.
Il messaggio, redatto in modo formale e apparentemente credibile, invita i destinatari a cliccare su un link per “regolarizzare la propria posizione debitoria entro 5 giorni”. Si tratta ovviamente di un tentativo di phishing, con l’obiettivo di rubare ulteriori dati sensibili o indurre il cittadino a pagare somme di denaro non dovute. Il link è stato già bloccato dalla polizia postale, che ha avviato immediatamente un’indagine.
A seguito dell’accaduto, Murex Software ha sospeso il portale Paziente consapevole, che al momento risulta in manutenzione. La società ha presentato denuncia formale alle autorità competenti e sta collaborando con gli investigatori per ricostruire la dinamica dell’attacco e individuare eventuali vulnerabilità nei propri sistemi.
L’invito delle forze dell’ordine e delle autorità sanitarie è non cliccare sul link contenuto nella mail, non fornire alcun dato personale o bancario e cancellare immediatamente il messaggio. In caso di dubbi, è consigliato contattare direttamente il medico di base o il proprio servizio sanitario regionale.
Secondo le prime ricostruzioni investigative, le tracce digitali degli autori dell’attacco porterebbero in Paesi dell’Est Europa, dove operano organizzazioni strutturate di cybercriminali, spesso già coinvolte in altri furti di dati a livello internazionale. Si sospetta che questi gruppi abbiano agito con una tecnica nota come “data scraping mirato”, sfruttando falle nella sicurezza del portale sanitario.
L’episodio ha aperto un nuovo fronte di preoccupazione sul tema della sicurezza informatica in ambito sanitario, in un momento in cui la digitalizzazione della sanità si sta estendendo in modo sempre più capillare. I dati sanitari, per la loro delicatezza, rappresentano una merce di enorme valore sul dark web, ed episodi come questo mostrano l’urgenza di investimenti in cybersicurezza e crittografia dei dati.
Intanto, la Procura di Milano ha aperto un fascicolo contro ignoti per accesso abusivo a sistemi informatici e violazione della privacy, mentre il Garante per la protezione dei dati personali ha richiesto alla Murex una relazione dettagliata sull’accaduto e sulle misure adottate per contenere la violazione. In arrivo, molto probabilmente, anche sanzioni amministrative nei confronti della società per le carenze nei sistemi di protezione.