Introduzione
L’attacco informatico che, nell’ottobre 2025, ha colpito la piattaforma “Paziente Consapevole” ha riportato al centro dell’attenzione un tema cruciale: la sicurezza dei dati sanitari digitali. La piattaforma, utilizzata da medici e strutture sanitarie private per gestire prenotazioni, referti e prescrizioni, è stata vittima di un grave data breach che ha consentito a hacker di accedere a dati reali di cittadini — nomi, codici fiscali e informazioni su visite ed esami — poi usati per inviare e-mail fraudolente di pagamento.
L’episodio, su cui sono intervenuti la Polizia Postale e la Procura di Milano, rappresenta un caso emblematico di vulnerabilità delle infrastrutture digitali sanitarie, dove la protezione dei dati coincide direttamente con la tutela della salute e della fiducia pubblica.
Ruoli e responsabilità nel trattamento dei dati
Da un punto di vista giuridico, l’attacco ha messo in luce l’importanza di distinguere con chiarezza i ruoli e le responsabilità nel trattamento dei dati. Secondo le regole del GDPR, il medico o la struttura sanitaria che utilizza la piattaforma è il titolare del trattamento, cioè colui che decide finalità e modalità d’uso dei dati. La piattaforma, invece, agisce come responsabile del trattamento, gestendo i dati per conto del titolare.
Fa eccezione la gestione dei dati di registrazione e sicurezza del servizio, di cui la piattaforma resta titolare autonoma. Questa distinzione, apparentemente tecnica, ha conseguenze concrete: in caso di violazione, la piattaforma deve avvisare tempestivamente il titolare, che a sua volta deve notificare il Garante e informare gli interessati. La trasparenza e la tempestività diventano così non solo obblighi legali, ma anche strumenti di responsabilità e fiducia verso gli utenti.
Rischi strutturali e criticità di sistema
L’attacco a “Paziente Consapevole” ha evidenziato anche i rischi strutturali che caratterizzano le piattaforme sanitarie digitali. Questi sistemi raccolgono enormi quantità di dati sensibili provenienti da fonti diverse – referti, dispositivi medici, sistemi regionali – e li gestiscono in ambienti cloud complessi.
Ciò aumenta la superficie di rischio: intrusioni, furti di dati, manipolazioni dei referti, interruzioni dei servizi essenziali. In ambito sanitario, un incidente informatico non è solo una questione tecnica: può compromettere diagnosi, cure e, in ultima analisi, la fiducia dei cittadini nel sistema sanitario digitale.
Per questo, la sicurezza informatica deve essere progettata by design, cioè integrata fin dall’origine dei sistemi, e continuamente monitorata con audit, test e aggiornamenti.
La sicurezza come responsabilità condivisa
La sicurezza non è solo una responsabilità tecnica. È anche un dovere etico e organizzativo. Le piattaforme e i professionisti devono collaborare in modo trasparente, documentando processi, ruoli e flussi informativi. L’adozione di misure di sicurezza adeguate non serve solo a prevenire sanzioni, ma a proteggere un bene collettivo: il diritto alla salute digitale.
In questa prospettiva, l’episodio di “Paziente Consapevole” diventa un campanello d’allarme e un’occasione per rafforzare la cultura della cybersecurity nel settore sanitario.
Conclusioni
In un’epoca in cui l’innovazione corre più veloce delle regole, la fiducia diventa la vera infrastruttura del sistema. La protezione dei dati sanitari non è un costo, ma un investimento nella credibilità della sanità digitale e nella dignità delle persone che ne fanno parte.
