Nella sanità, la protezione dei dati non è un tema laterale: incide sulla fiducia del paziente, sulla continuità delle cure e sulla responsabilità di chi gestisce informazioni cliniche. Quando parlo di sicurezza informatica e privacy, penso soprattutto a cartelle, referti, prenotazioni, accessi al Fascicolo sanitario elettronico e comunicazioni che devono restare leggibili solo da chi ne ha titolo. In questo articolo chiarisco quali regole contano in Italia, dove nascono gli errori più frequenti e quali misure funzionano davvero in una struttura sanitaria, grande o piccola.
Tre cose da fissare prima di scendere nei dettagli
- I dati sanitari sono tra le informazioni più sensibili da proteggere: un incidente non produce solo un problema tecnico, ma anche un rischio legale e reputazionale.
- Nel quadro italiano ed europeo contano il GDPR, le regole nazionali sulla salute e i criteri di sicurezza che devono essere dimostrabili, non solo dichiarati.
- Le misure più efficaci sono quasi sempre le più concrete: autenticazione forte, backup testati, accessi profilati, log, formazione continua e gestione seria dei fornitori.
- FSE, dossier sanitario ed EHDS stanno ampliando l’uso dei dati, ma rendono ancora più importante il controllo di chi accede, per quanto tempo e con quale finalità.
- Molti incidenti nascono da errori quotidiani: account condivisi, invii impropri, password deboli, postazioni lasciate aperte e procedure poco chiare.
Perché nella sanità i dati contano più che in altri settori
In un ospedale, in una clinica o in uno studio medico, il dato non è mai neutro. Un referto, una diagnosi, una terapia o perfino un semplice promemoria appuntamento possono rivelare molto più di quanto sembri a prima vista: stato di salute, fragilità, percorsi di cura, abitudini e relazione con la struttura.
Il danno di una fuga di informazioni è quindi doppio. C’è il danno operativo, perché un blocco o una compromissione può rallentare l’assistenza, e c’è il danno personale, perché il paziente perde controllo su informazioni che meritano la massima riservatezza. L’ACN, nel 2025, ha segnalato un aumento del 40% degli attacchi contro il comparto sanitario: un dato che conferma quanto il settore sia esposto proprio mentre diventa sempre più digitale.
Io parto sempre da una distinzione semplice: la sicurezza non protegge solo i sistemi, protegge il percorso di cura. Da qui nasce la domanda decisiva, cioè quali regole rendano legittimo e sicuro questo trattamento dei dati.
Quali regole contano davvero in Italia
Il punto di partenza è il GDPR, ma nella sanità il ragionamento va subito oltre il livello generico. I dati sulla salute rientrano tra le categorie particolari di dati e richiedono una base giuridica solida, limiti chiari e misure di sicurezza adeguate al rischio. In pratica, non basta raccogliere e conservare: bisogna saper spiegare perché quel trattamento è necessario e come viene protetto.
| Ruolo | Cosa fa in pratica | Errore tipico |
|---|---|---|
| Titolare del trattamento | Decide finalità, mezzi e priorità del trattamento | Lasciare tutto all’IT senza una vera governance |
| Responsabile del trattamento | Tratta i dati per conto del titolare seguendo istruzioni precise | Lavorare con fornitori non allineati o senza accordi solidi |
| DPO | Consiglia, sorveglia e fa da punto di contatto con l’autorità | Coinvolgerlo solo quando il problema è già esploso |
Qui entra in gioco l’accountability: non si tratta di promettere sicurezza, ma di poterla dimostrare con scelte documentate, controlli periodici e procedure aggiornate. Quando cambiano software, fornitori, reparti o modelli organizzativi, il sistema di protezione deve essere rivisto di conseguenza.
Quando serve la DPIA
La DPIA, cioè la valutazione d’impatto sulla protezione dei dati, non è un formalismo. Serve quando un trattamento può presentare rischi elevati per le persone, e in sanità questa soglia si raggiunge spesso: telemedicina, portali paziente, integrazioni tra sistemi, uso di nuovi software, intelligenza artificiale applicata ai flussi clinici. Io la considero una verifica preventiva: costringe a vedere i punti deboli prima del go-live, quando correggere è ancora possibile.
Cosa succede in caso di violazione
Se si verifica una violazione dei dati personali, il titolare deve notificare il Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza, salvo che sia improbabile un rischio per i diritti e le libertà delle persone. Se il ritardo supera le 72 ore, va spiegato. Le sanzioni previste dal GDPR possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, a seconda della violazione e del soggetto coinvolto.
Chiarito questo perimetro, il problema diventa più concreto: dove si rompe davvero la sicurezza nella routine quotidiana?
Dove si rompe la sicurezza nella pratica quotidiana
Nella mia esperienza, gli incidenti seri raramente nascono da un attacco spettacolare. Molto più spesso partono da una mail credibile, da una password condivisa, da una postazione lasciata aperta o da un canale usato con troppa leggerezza. La vulnerabilità vera, spesso, è organizzativa prima ancora che tecnica.
Phishing, smishing e vishing
Il phishing imita una comunicazione ufficiale per convincere l’utente a cliccare, inserire credenziali o aprire un allegato. Lo smishing usa gli SMS, il vishing la telefonata. In sanità funzionano bene perché sfruttano urgenza, autorevolezza e abitudine a gestire messaggi rapidi tra turni, referti e prenotazioni. Basta un clic nel momento sbagliato per aprire la porta a un malware o a un furto di credenziali.
Account condivisi e postazioni lasciate aperte
Un account condiviso tra più operatori è comodo solo all’apparenza. In realtà impedisce di sapere chi ha fatto cosa, quando e da quale terminale. Lo stesso vale per le postazioni non bloccate o per i profili con privilegi eccessivi: se tutti vedono tutto, il controllo sparisce. Io considero questa una delle forme più sottovalutate di esposizione al rischio, perché non genera allarme finché non succede l’errore.
Canali di comunicazione non governati
Email non cifrate, chat non autorizzate, file inviati al destinatario sbagliato, referti caricati su dispositivi personali: sono scelte che sembrano minori ma possono trasformarsi in violazioni rilevanti. Anche la comunicazione con il paziente va progettata con attenzione. Nel 2026 il Garante ha adottato linee guida specifiche sull’uso dei recapiti telefonici già presenti negli archivi delle aziende sanitarie per gli SMS informativi sulle campagne di screening: un segnale chiaro che perfino un messaggio utile deve stare dentro regole precise.
Da qui il passo successivo è inevitabile: capire quali misure riducono davvero il rischio e quali, invece, danno solo una sensazione di controllo.

Le misure che riducono davvero il rischio
La misura più sopravvalutata è pensare che basti comprare tecnologia. Nella pratica, il salto di qualità arriva quasi sempre dalla gestione delle identità, dei privilegi e dei comportamenti. Se devo scegliere dove investire per primo, guardo a ciò che blocca accessi abusivi, limita il danno e rende recuperabile il servizio dopo un incidente.
- Autenticazione forte per tutti gli accessi critici. L’autenticazione a due o più fattori, cioè MFA, riduce in modo netto il rischio legato al furto di password. È particolarmente importante per accessi remoti, sistemi clinici e account amministrativi.
- Backup 3-2-1 con test di ripristino. La regola 3-2-1 significa avere 3 copie dei dati, su 2 supporti diversi, con 1 copia offline o comunque isolata. Il backup senza prova di restore non è una garanzia: è solo un file salvato da qualche parte.
- Privilegi minimi e revisione periodica. Ogni operatore deve vedere solo ciò che serve al suo ruolo. Questa è la sostanza del principio del least privilege, cioè del privilegio minimo necessario. Meno accessi inutili ci sono, meno danni può fare un errore o un abuso.
- Cifratura dei dispositivi e dei dati sensibili. Portatili, tablet e supporti rimovibili vanno protetti. La cifratura rende molto più difficile l’accesso ai dati in caso di furto o smarrimento del dispositivo.
- Patch management serio. Gli aggiornamenti non sono una formalità tecnica. Servono a chiudere vulnerabilità già note, spesso sfruttate proprio perché le strutture rimandano gli interventi più del necessario.
- Formazione breve ma ricorrente. Un corso una tantum non basta. Funziona meglio una formazione pratica, breve e ripetuta, con esempi di phishing reali, simulazioni e indicazioni chiare su cosa fare quando qualcosa sembra sospetto.
Se una struttura sanitaria vuole partire in modo realistico, io suggerisco di mettere subito a terra tre cose: MFA, backup testati e revisione degli accessi. Sono misure concrete, relativamente rapide da introdurre e capaci di ridurre subito l’impatto di un incidente.
FSE, dossier sanitario ed EHDS stanno alzando l’asticella
Il Fascicolo sanitario elettronico raccoglie dati e documenti digitali di tipo sanitario e socio-sanitario generati dagli eventi clinici dell’assistito. Il dossier sanitario, invece, serve a ricostruire in modo più organico la presa in carico all’interno di una specifica struttura. In entrambi i casi il punto non è archiviare di più, ma controllare meglio chi accede, per quale finalità e con quali tracce di audit.
Il Garante ricorda che i dati contenuti nel FSE e nel dossier non devono essere diffusi in modo indiscriminato. È un passaggio importante, perché nella pratica si tende a confondere condivisione interna e circolazione libera: sono due livelli diversi, con conseguenze molto diverse.
Il cambio di passo dell’EHDS
Nel 2026 siamo nel pieno della transizione dello Spazio europeo dei dati sanitari. Il regolamento europeo è entrato in vigore nel marzo 2025 e il percorso di attuazione prosegue fino al 2027, con passaggi progressivi verso una maggiore interoperabilità e verso nuovi diritti per gli interessati. In prospettiva, il paziente potrà accedere più facilmente ai propri dati, scaricarli, condividerli, vedere chi li ha consultati e limitare o negare l’accesso in determinate condizioni.
Per le strutture sanitarie questo significa una cosa molto semplice: i sistemi dovranno essere più aperti verso l’esterno, ma anche più rigorosi nella gestione interna. Più interoperabilità non può voler dire meno controllo. Anzi, spesso succede l’opposto.Leggi anche: Bonus psicologo INPS - Guida completa per non sbagliare
Lo scambio utile non è mai scambio libero
Un buon esempio è quello delle campagne di screening, dove il dato di contatto può essere utile, ma non per questo può essere trattato senza regole. Le linee guida del Garante sui recapiti telefonici per gli SMS informativi mostrano bene il criterio da seguire: finalità determinata, canali appropriati, dati pertinenti e nessuna scorciatoia organizzativa. È il tipo di dettaglio che fa la differenza tra un processo utile e un trattamento mal costruito.
Quando questo passaggio è chiaro, diventano più facili anche gli errori da evitare nella gestione di tutti i giorni.
Gli errori che portano più spesso a incidenti e sanzioni
Le criticità che vedo più spesso nelle strutture sanitarie non sono sofisticate. Sono ripetitive, prevedibili e proprio per questo pericolose. Qui sotto elenco quelle che, più di altre, trasformano un problema tecnico in un problema legale.
- Account condivisi tra più operatori: eliminano la tracciabilità e rendono impossibile ricostruire chi ha fatto cosa.
- Password deboli o riutilizzate: facilitano l’accesso illecito soprattutto quando un account è già stato compromesso altrove.
- Invio di referti o dati clinici su canali non protetti: basta il destinatario sbagliato per creare un data breach serio.
- Archivi locali non controllati: file salvati su desktop, chiavette o dispositivi personali sfuggono alla governance centrale.
- Fornitori gestiti senza regole chiare: il rischio aumenta quando il rapporto con software house, cloud provider o manutentori è lasciato in una zona grigia.
- Formazione episodica: un richiamo all’anno non basta a difendere chi lavora sotto pressione e con procedure complesse.
- Nuovi servizi digitali avviati senza DPIA o test: telemedicina, portali e integrazioni vanno valutati prima, non dopo l’avvio.
Il filo comune è sempre lo stesso: si sottovaluta il comportamento umano e si sopravvaluta lo strumento tecnico. Io vedo spesso strutture ben dotate che però non hanno ancora risolto i problemi base di governance.
Come impostare un piano realistico in una struttura sanitaria
Non serve un progetto gigantesco per migliorare davvero. Serve un piano coerente, proporzionato al rischio e sostenibile nel tempo. Quando lavoro su un’impostazione di questo tipo, parto da sei mosse essenziali.
- Mappare dati, sistemi e flussi. Prima di proteggere qualcosa, bisogna sapere dove si trova: referti, immagini, prenotazioni, FSE, telemedicina, archivi amministrativi e soggetti esterni coinvolti.
- Definire ruoli e responsabilità. Chi decide? Chi esegue? Chi controlla? Se queste tre domande restano senza risposta, il rischio si sposta da un reparto all’altro senza mai essere davvero preso in carico.
- Classificare i trattamenti per livello di rischio. Non tutti i processi hanno lo stesso peso. La cura diretta, l’amministrazione, la ricerca e la comunicazione ai pazienti non richiedono lo stesso livello di attenzione, anche se i dati possono sovrapporsi.
- Mettere in sicurezza accessi e dispositivi. Qui rientrano MFA, cifratura, gestione centralizzata di smartphone e tablet, aggiornamenti e revisione periodica dei privilegi.
- Scrivere e provare il piano di risposta agli incidenti. Se succede un data breach, devono essere chiari i passaggi: chi avvisa chi, chi raccoglie le informazioni, chi decide la notifica al Garante e in che tempi.
- Governare i fornitori. Ogni contratto con un soggetto esterno dovrebbe chiarire istruzioni, misure, subresponsabili, log, tempi di conservazione e gestione delle violazioni.
Io aggiungo sempre un controllo finale: testare il ripristino e simulare un piccolo incidente prima che arrivi quello vero. In sanità il tempo di reazione vale quasi quanto la prevenzione.
Proteggere la cura significa tenere insieme accessi, continuità e responsabilità
La lezione più utile, alla fine, è semplice: nella sanità sicurezza informatica e privacy devono essere progettate insieme, non corrette in corsa. Se accessi, backup, log, ruoli e formazione sono allineati, il rischio scende in modo reale; se uno solo di questi anelli salta, il problema diventa subito clinico, organizzativo e giuridico insieme.
- Verifica se gli accessi sono davvero profilati per ruolo.
- Controlla se i backup vengono anche ripristinati, non solo creati.
- Rivedi i canali usati per referti, promemoria e screening.
- Coinvolgi DPO e IT prima di lanciare nuovi servizi digitali.
Quando valuto un progetto sanitario, parto sempre dalla stessa domanda: cosa succede se domani un accesso va storto? Se la risposta è chiara, il sistema è già più solido. Se non lo è, il lavoro vero comincia prima della tecnologia e riguarda processi, persone e responsabilità.
