Bucata la piattaforma dei medici di base: cosa bisogna fare subito

Bucata la piattaforma dei medici di base: cosa bisogna fare subito

Un attacco informatico ha colpito la piattaforma “Paziente Consapevole” utilizzata da molti medici di base per la gestione delle prescrizioni. Secondo le prime ricostruzioni, migliaia di dati sensibili sono stati sottratti e usati in una truffa che ha già mietuto vittime. 

Cosa è successo

  • La violazione ha compromesso i server della società Murex Software, che gestisce il portale per le prescrizioni utilizzato da molti studi medici. 
  • Gli hacker hanno utilizzato i dati trafugati per inviare email fraudolente: con mittente fasullo (CreditLex Srl, con sede a Monza), si richiedevano pagamenti per “prestazioni sanitarie arretrate”. Le email contenevano dati reali dei cittadini — tra cui residenza, prescrizioni passate, esami effettuati — per persuadere le vittime. 
  • A seguito della scoperta, il portale è stato temporaneamente sospeso per manutenzione, e la polizia Postale è intervenuta per bloccare i link malevoli e avviare indagini. 

Perché questo caso è particolarmente grave

I dati sottratti riguardano direttamente la salute dei pazienti, una categoria di dati “particolarmente sensibili” secondo il GDPR. La loro esposizione rischia di causare danni profondi: discriminazioni, stigma sociale, usi impropri da parte di soggetti malevoli.

Inoltre, il fatto che i dati siano stati usati per una truffa basata su informazioni reali amplifica la fiducia che le vittime potrebbero avere nei confronti del messaggio fraudolento, rendendo ancora più pericolosa la manipolazione.

Se pensi di essere a rischio contattaci subito

Le responsabilità in gioco

  • Responsabili del trattamento e titolari del servizio: la società che gestisce la piattaforma ha l’obbligo di proteggere i dati e segnalare tempestivamente l’incidente al Garante per la protezione dei dati.
  • Obbligo di notifica alle autorità: in caso di data breach con dati sensibili, il titolare deve comunicare l’incidente entro 72 ore dalla scoperta, salvo che sia improbabile che il rischio per i diritti e le libertà delle persone sia basso (art. 33 GDPR).
  • Obbligo di informare gli interessati: se il rischio è elevato, va anche informato l’interessato stesso (art. 34 GDPR).

Cosa fare ora (per pazienti e strutture sanitarie)

  • Se hai ricevuto la mail sospetta, non cliccare nessun link e cancella la comunicazione.
  • Verifica se hai attivato modalità di notifica per accessi sospetti ai tuoi servizi sanitari digitali.
  • Le strutture sanitarie coinvolte (o potenzialmente vulnerabili) devono attivare subito un piano di reazione agli incidenti (incident response plan), valutare la quantità e la gravità dei dati sottratti, e collaborare con forze dell’ordine e autorità competenti.
  • È fondamentale riesaminare le misure tecniche e organizzative in uso: cifratura, controlli sugli accessi, segmentazione dei dati, logging degli eventi e formazione del personale.

Un monito per il settore sanitario

Questo episodio conferma che la sanità è un target privilegiato per i cybercriminali. Ogni struttura che gestisce dati di salute — ospedali, cliniche, laboratori, studi medici — è esposta. Ogni falla può trasformarsi in un danno reputazionale e legale serio.

Come OKPrivacy può assisterti

Se gestisci dati sanitari o amministri una struttura che opera con prescrizioni digitali, non aspettare che succeda l’irreparabile. OKPrivacy mette a disposizione:

  • valutazioni preventive del rischio (audit privacy e security);
  • consulenza per la risposta a incidenti informatici;
  • supporto nella redazione delle notifiche obbligatorie (Garante, interessati, autorità competenti);
  • training specializzato per il personale sanitario sull’uso sicuro dei sistemi e sulla gestione delle emergenze.

Vuoi verificare se i tuoi processi sono a rischio? Fai subito una simulazione gratuita con il nostro Sanzionometro su OKPrivacy e ricevi un report con le vulnerabilità più critiche.

Torna al blog