I dati sanitari di novantamila pazienti lombardi sono in vendita sul dark web

Un utente di nome wizgun ha messo in vendita sul dark web migliaia di dati rubati lo scorso ottobre dalla piattaforma “Paziente Consapevole”, usata da molti medici di medicina generale della Lombardia per inviare le prescrizioni ai pazienti. Secondo un’analisi di Cyberoo, azienda che si occupa di sicurezza informatica, sono in vendita dati di novantamila pazienti. Nei file si trovano dati sanitari come prescrizioni mediche, permessi di malattia e certificati di esenzione, oltre a tutta una serie di informazioni personali come mail, numeri di telefono e indirizzi. Ogni profilo completo costa 35 euro, l’intero database costa invece 1,84 bitcoin, circa 140mila euro al valore attuale.

I dati erano stati rubati a ottobre in un attacco informatico organizzato contro i server dell’azienda Murex, che gestisce il portale “Paziente Consapevole”. L’attacco era stato scoperto dopo le segnalazioni inviate da molti pazienti che avevano iniziato a ricevere mail da una finta società di Monza, Credilex srl. Nelle mail veniva chiesto ai pazienti di pagare somme arretrate per prestazioni sanitarie a cui non si erano mai sottoposti. Venivano dati cinque giorni di tempo per cliccare sul link del pagamento e mettersi in regola.

Dopo le segnalazioni il portale è stato messo offline e la Murex ha presentato una denuncia alla polizia postale. Nel sito compare solo una schermata bianca con un avviso: «Gentile utente, ti invitiamo a porre la massima attenzione su eventuali richieste di pagamento per prestazioni sanitarie provenienti da soggetti terzi a voi sconosciuti in quanto potrebbe trattarsi di azioni di fishing [sic] (frode informatica)».

Questi attacchi informatici sono ormai molto ricorrenti perché negli ultimi anni aziende sanitarie, ospedali, centri diagnostici, ambulatori pubblici e medici sono diventati il bersaglio preferito dai criminali informatici. Dipende da diverse ragioni, ma principalmente perché sono più vulnerabili rispetto alle aziende private: custodiscono dati essenziali per curare le persone e non possono permettersi di bloccare i servizi per molto tempo.

La direzione Welfare della Regione Lombardia ha assicurato che l’attacco non aveva coinvolto i server delle aziende sanitarie, ma l’attacco ha coinvolto medici convenzionati con il servizio sanitario nazionale e soprattutto dati sanitari che la Regione dovrebbe proteggere. Negli ultimi anni in Lombardia ci sono stati attacchi informatici simili, altrettanto gravi, come il blocco dei sistemi e degli interventi dell’azienda socio sanitaria di Rho, Garbagnate e Bollate, o l’attacco che nel 2022 costrinse gli ospedali milanesi Sacco, Fatebenefratelli, Buzzi e Macedonio Melloni a limitare gli accessi al pronto soccorso e a rimandare esami e visite.

Dopo l’attacco a “Paziente Consapevole” la Regione ha controllato tutte le altre piattaforme simili usate dai medici. Dalle verifiche è emerso che solo 4 su 22 hanno adeguate misure di sicurezza contro gli attacchi informatici.

L’assessore al Welfare Guido Bertolaso ha rimproverato i medici dicendo che da tempo la Regione aveva suggerito a tutti gli operatori sanitari di usare strutture informatiche istituzionali: «Se vogliono fare in modo diverso allora poi se la devono vedere sia con i cittadini che hanno visto violati i loro dati, sia con il Garante della privacy». Da tempo i medici di medicina generale della Lombardia lamentano i disservizi e le lentezze delle piattaforme istituzionali, che spesso bloccano l’invio delle prescrizioni o dei dati relativi alle vaccinazioni.

– Leggi anche: Gli attacchi informatici possono far male alla salute