Come anche le comunità per minori sono esposte a minacce cyberIn un’epoca segnata dall’acuirsi delle fragilità sociali e dalla pervasività del
digitale, le Comunità terapeutiche per minori (CTM) si trovano ad affrontare non
solo la cronica carenza di risorse, ma anche un pericolo invisibile: la minaccia
cyber. Queste realtà, che accolgono soggetti in situazioni di allontanamento
temporaneo dalla famiglia, sono oggi definite dagli esperti come l’incarnazione
perfetta di “soft target” – obiettivi considerati un facile bersaglio dai
cybercriminali – nel settore sociosanitario italiano, a causa delle risorse
limitate e della scarsa percezione della minaccia informatica.
L’intersezione tra la vulnerabilità dei minorenni accolti e la fragilità dei
sistemi digitali sanitari solleva preoccupazioni acute: i dati psichiatrici e
clinici dei minori – che includono storia clinica, traumi e vulnerabilità
psicologiche – hanno infatti un valore economico altissimo nel mercato
criminale, aumentando la vulnerabilità dei ragazzi e delle ragazze a
sfruttamento e abuso, ricattabilità e compromissione della privacy.
DATI SENSIBILI E RICATTO DIGITALE: IL DILEMMA DELLA CYBERSICUREZZA NEI CTM
Secondo quanto riporta il 12° rapporto del Gruppo di lavoro per la Convenzione
sui diritti dell’Infanzia e dell’Adolescenza, in Italia ci sono circa 70 CTM
distribuiti sul territorio nazionale (con l’eccezione di Friuli-Venezia Giulia,
Molise, Basilicata e Calabria). Queste strutture, che faticano a soddisfare una
domanda in continuo aumento, sono chiamate a gestire minorenni sempre più
segnati da molteplici problematicità e da disagio psichico, un deterioramento
serio della condizione giovanile che fatica a diventare una priorità nell’agenda
politica.
I CTM, oltre a dover affrontare difficili e cruciali sfide cliniche – e a fare i
conti . con una preoccupante carenza di personale sanitario specializzato, come
neuropsichiatri, psicologi ed educatori – si trovano così di fronte alla
cruciale e inattesa sfida della sicurezza digitale. Walter Pisci, direttore
clinico della comunità Inus, ha fornito una fotografia dettagliata delle
difficoltà che queste piccole e medie imprese incontrano nel proteggere i dati
sensibili dei minori.
Pisci ha sottolineato come la figura di un esperto di cybersicurezza sarebbe
“utile e necessaria” all’interno di una comunità terapeutica. Ma c’è un
problema, che Pisci riassume così: “Chi paga l’esperto?”. La gestione del
bilancio, già focalizzata sulle figure professionali cliniche e terapeutiche
richieste dai requisiti regionali (medici, psicologi, infermieri, educatori),
non è in grado di assorbire facilmente questi costi aggiuntivi.
I costi per adeguarsi alla normativa europea GDPR, che regolamenta la gestione
dei dati sensibili, non sono computati nel calcolo della retta giornaliera, ma
sono extra. “La comunità paga da 4 a 5mila euro ogni anno solo per l’adeguamento
alla normativa GDPR con formazione specifica e consulenze tecnico-informatiche
legate alla protezione dei dati, escluse le spese di manutenzione ordinaria”.
Nel frattempo, l’ombra delle minacce informatiche è sempre dietro l’angolo:
“Cinque anni fa abbiamo subito un grave attacco informatico”, spiega Pisci. “Un
software malevolo aveva permesso un accesso esterno e la cifratura di tutti i
dati contenuti nelle cartelle condivise”. Tra questi dati erano presenti
informazioni sensibili dei pazienti. “È stato chiesto un riscatto di 50mila euro
in Bitcoin”, ricorda Pisci. I cybercriminali non erano riusciti ad acquisire i
dati, ma solo a criptarli nel sistema. Grazie alla denuncia al DPO (Data
Protection Officer) e all’uso dei backup, i dati sono stati poi recuperati.
A seguito di questo evento, la procedura di sicurezza è cambiata. La comunità ha
abbandonato il NAS, giudicato più esposto, Tuttavia, ha anche deciso di portare
tutti i dati su piattaforme cloud esterne private, affidandoli ai sistemi di
grandi multinazionali. Questa soluzione, che richiede comunque attenzione nella
gestione e protezione dei dati, viene utilizzata con successo da cinque anni.
L’ALLARME ROSSO DELLE COMUNITÀ “SOFT TARGET”
Secondo gli ultimi dati dell’Agenzia per la Cybersicurezza Nazionale, tra
gennaio e settembre di quest’anno il settore sanitario ha registrato un +40% di
attacchi cyber rispetto al 2024. “E le comunità terapeutiche per minori sono tra
quelle maggiormente a rischio, perché incarnano perfettamente il profilo di soft
target nel settore sociosanitario italiano”, spiega l’esperto di sicurezza
Pierluigi Paganini. “Sono piccole strutture con risorse limitate, spesso prive
di presidi cyber basilari e soprattutto con scarsa percezione della minaccia
informatica”.
In queste strutture, le vulnerabilità tipiche includono l’assenza di reti
segmentate (che aumentano la sicurezza della rete suddividendola in reti
minori), software obsoleti, assenza di soluzioni di sicurezza, mancanza di un
sistema di registrazione centralizzato e soprattutto nessuna formazione per il
personale socioeducativo.
Tra le misure minime e urgenti che possono proteggere le comunità ci sono la
cifratura dei dati archiviati (at-rest, ovvero database, file e dispositivi
portatili come hard disk o chiavette USB) e dei dati in transito (tramite
protocolli sicuri come HTTPS, SFTP o reti VPN), l’adozione di backup cifrati e
separati dalla rete principale (regolarmente testati per il ripristino), la
gestione degli accessi tramite l’autenticazione multi-fattore e il principio di
least privilege.
È poi necessario utilizzare software di sicurezza, mantenere aggiornati software
ed applicazioni ed eseguire revisioni periodiche con verifica delle procedure,
oltre a implementare politiche per la gestione dei sistemi di sicurezza delle
informazioni e lavorando sulla formazione del personale, organizzando
simulazioni di crisi in un ambiente controllato, senza impatto reale sui
sistemi.
L’IMPORTANZA DEL FATTORE UMANO
Secondo Emanuela Urban, Head of ICT Project & Function della società di
consulenza informatica Ipsoft, la vulnerabilità più significativa in queste
strutture è rappresentata proprio dal fattore umano. Gran parte del rischio
deriva da un utilizzo talvolta inconsapevole degli strumenti di servizio. La
poca consapevolezza degli operatori è la causa scatenante di molte frodi
informatiche, come il banale errore di cliccare su un link malevolo ricevuto via
email, che può portare alla diffusione di dati sensibili.
“È fondamentale che le aziende e i gruppi di lavoro sottolineino la necessità di
una maggiore consapevolezza per il trattamento dei dati”, spiega Urban, che
aggiunge un secondo fattore: l’anzianità degli strumenti utilizzati. “Il ritardo
nell’evoluzione tecnologica, che impedisce la messa in sicurezza necessaria, è
spesso attribuibile alla difficoltà di sostenere economicamente le operazioni di
ammodernamento”.
Secondo Urban, sono due le tipologie di attacchi informatici che mettono
maggiormente a rischio i dati sensibili: il furto di credenziali, che
costituisce la base da cui gli aggressori possono avviare l’escalation per
accedere ai dati, e la sicurezza dei sistemi perimetrali: “Se questi sistemi non
sono ben mantenuti, non sono presidiati in modo efficace o non dispongono di
policy chiare e aggiornate diventano importanti vie di accesso per intromissioni
esterne”.
Per aumentare il livello di sicurezza, Urban evidenzia la necessità di un
approccio su più fronti. Il primo è la formazione operativa e la consapevolezza:
l’operatore deve essere cosciente del rischio potenziale anche quando i sistemi
automatici non hanno ancora tracciato una minaccia, come un link non verificato.
Intervenire con l’informazione può prevenire azioni rischiose, come cliccare su
mittenti o contenuti sospetti.
Il secondo approccio riguarda l’adozione di strumenti che aiutino ad arginare
gli attacchi alla base, in particolare contro il furto di credenziali. Terzo
fattore, il supporto legislativo e l’audit: le istituzioni dovrebbero supportare
le strutture sanitarie medio-piccole per contrastare gli attacchi informatici.
In questo contesto, l’ACN svolge un ruolo informativo tramite newsletter e
comunicazioni sul potenziale rischio o sulle violazioni in corso relative a
specifici strumenti. Infine, Urban sottolinea l’importanza di investire in
strumenti di sicurezza ma, soprattutto, nell’aumento della consapevolezza degli
operatori: “Questo non rappresenta per l’azienda un costo, ma un vantaggio
competitivo”.
L'articolo Come anche le comunità per minori sono esposte a minacce cyber
proviene da Guerre di Rete.
