La cybersicurezza è diventata il quinto dominio della guerra, dopo terra, mare, cielo e spazio. La sanità è il bersaglio preferito, i dati dei cittadini la merce. La direttiva europea NIS2 prova a costruire le difese. Ma al Sud le mura sono più fragili

di Francesco Giannetta, Giugno 2026

«Abbiamo modificato così radicalmente il nostro ambiente che ora dobbiamo modificare noi stessi per vivere in questo nuovo ambiente.» Norbert Wiener, padre della cibernetica

Una guerra che non fa rumore

C’è una guerra in corso che non produce esplosioni, non occupa territori, non lascia macerie visibili. Eppure può fermare un ospedale, bloccare un intervento chirurgico, mettere in vendita i dati sanitari di migliaia di cittadini al prezzo di un caffè. È la guerra cibernetica, e in Italia ha numeri che dovrebbero allarmarci molto più di quanto facciano.

Secondo l’Agenzia per la Cybersicurezza Nazionale, dal gennaio 2023 si registrano in media 3,5 attacchi al mese contro ospedali e aziende sanitarie italiane. In un solo anno gli eventi cyber nella sanità sono passati da 27 a 57, con un incremento del 111 per cento, e gli incidenti che hanno causato danni concreti sono saliti da 12 a 55. Circa la metà ha compromesso la disponibilità dei servizi o la riservatezza dei dati dei pazienti.

Un caso tra i tanti rende l’idea. Tra il 5 e il 6 giugno 2024, l’azienda sanitaria ASST Rhodense, in Lombardia, è stata colpita da un attacco ransomware del gruppo Cicada3301. I sistemi informatici sono stati bloccati, gli interventi chirurgici non urgenti e gli esami di laboratorio sospesi, e circa un terabyte di dati, inclusi referti medici e prescrizioni, è stato sottratto. Non è fantascienza. È accaduto, e accade ogni mese, da qualche parte in Italia.

Norbert Wiener, il matematico del MIT che negli anni Quaranta fondò la cibernetica, la disciplina da cui deriva il prefisso stesso della parola cybersicurezza, lo aveva previsto con lucidità: abbiamo cambiato così radicalmente il nostro ambiente che ora dobbiamo cambiare noi stessi per viverci. Abbiamo digitalizzato la sanità, la pubblica amministrazione, l’energia, i trasporti. Ora dobbiamo imparare a difenderli. E siamo in ritardo.

Il quinto dominio della guerra

Per capire la dimensione strategica del problema bisogna uscire dalla cronaca dei singoli attacchi e guardare il quadro. La NATO ha ufficialmente riconosciuto il cyberspazio come il quinto dominio operativo della guerra, dopo la terra, il mare, il cielo e lo spazio. Non è una formula retorica: significa che un attacco informatico a un’infrastruttura critica viene oggi considerato, a tutti gli effetti, un atto di guerra.

Le grandi potenze, Stati Uniti, Cina e Russia, investono massicciamente in capacità informatiche offensive e difensive. Questa rubrica ha già raccontato due fronti di questa stessa partita: i cavi sottomarini, le arterie fisiche attraverso cui passa il 99 per cento del traffico dati intercontinentale e che sono diventati bersaglio di sabotaggi, e il calcolo quantistico, che un giorno potrebbe rendere obsoleti tutti i sistemi di cifratura che proteggono oggi le nostre comunicazioni. La cybersicurezza è il terzo lato di questo triangolo: la difesa quotidiana, capillare, spesso invisibile, delle infrastrutture digitali da cui dipende la vita di un Paese.

C’è un dato che rende l’Italia un caso particolare. Mentre nel mondo la maggior parte degli attacchi ha movente economico, in Italia l’hacktivism, cioè gli attacchi a sfondo politico e ideologico, rappresenta circa il 54 per cento del totale, contro una media globale dell’8 per cento. Una quota abnorme, in larga parte legata alle tensioni geopolitiche e alla guerra in Ucraina, con ondate di attacchi dimostrativi che mandano in tilt i siti delle istituzioni. L’Italia, per la sua posizione e per il suo ruolo, è un bersaglio politico, non solo criminale.

Perché proprio la sanità

La scelta della sanità come bersaglio privilegiato non è casuale, e capirne le ragioni aiuta a capire la natura del problema.

In primo luogo, i dati sanitari sono i più preziosi che esistano. Per il quattordicesimo anno consecutivo il settore sanitario detiene il primato del costo più elevato per violazione di dati, con una media, secondo il report IBM, di 9,77 milioni di dollari per ogni breach nel 2024. I dati clinici di una persona non si possono cambiare come una password: una volta rubati, valgono per sempre. Lo scorso dicembre i dati sanitari di migliaia di cittadini italiani sono stati trovati in vendita nel dark web a 25 euro l’uno.

In secondo luogo, la sanità eroga servizi vitali. Quando un ospedale viene bloccato da un ransomware, non può permettersi di aspettare: ci sono interventi da fare, pazienti da curare. Questo rende le strutture sanitarie più inclini a pagare il riscatto, e quindi bersagli più redditizi. È una forma di estorsione che usa la salute delle persone come leva.

In terzo luogo, e qui sta il punto più scomodo, molte strutture sanitarie sono tecnologicamente fragili. L’Agenzia per la Cybersicurezza Nazionale, analizzando cinquantamila indirizzi sanitari, ha rilevato che la maggior parte degli attacchi riesce non grazie a sofisticate tecniche di intrusione, ma a causa di vulnerabilità banali: software obsoleti e non aggiornati, servizi esposti su internet senza protezione, configurazioni errate, errori umani, scarsa formazione del personale. La porta, troppo spesso, è semplicemente lasciata aperta.

La risposta europea: difendersi con le regole

Di fronte a questa minaccia, l’Europa ha scelto la strada che conosce meglio e che questa rubrica ha raccontato a proposito del GDPR sulla privacy e dell’AI Act sull’intelligenza artificiale: difendersi attraverso la regolazione. Lo strumento si chiama direttiva NIS2.

La Direttiva UE 2022/2555, recepita in Italia con il decreto legislativo 138 del 2024 ed entrata in vigore il 16 ottobre 2024, estende gli obblighi di sicurezza informatica a diciotto settori essenziali, dalla sanità all’energia, dai trasporti alle pubbliche amministrazioni, queste ultime incluse a prescindere dalla loro dimensione. Affida all’Agenzia per la Cybersicurezza Nazionale il ruolo di autorità di riferimento. Impone misure tecniche precise: autenticazione a più fattori, backup, valutazione dei rischi, sicurezza della catena di fornitura. E introduce un principio nuovo e dirompente: la responsabilità diretta dei vertici. Non è più solo l’ufficio informatico a rispondere di un attacco, ma il consiglio di amministrazione, la dirigenza. Le sanzioni arrivano fino a 10 milioni di euro o al 2 per cento del fatturato per i soggetti essenziali.

Il 2026 è l’anno decisivo. Da gennaio è operativo l’obbligo di notificare gli incidenti significativi entro tempistiche serrate, ventiquattro ore per il preallarme, settantadue per la notifica completa. Entro ottobre 2026 tutti i soggetti obbligati dovranno aver adottato le misure di sicurezza di base e istituito gli organi di governance. È una scadenza che incombe, esattamente come quella del PNRR di cui abbiamo scritto.

Il nodo che lega cybersicurezza e divario territoriale

Ed è qui che il discorso torna, inevitabilmente, al Mezzogiorno, e si lega all’articolo che questa rubrica ha dedicato proprio ieri alla spesa dei fondi europei.

Abbiamo visto che i Comuni medio-piccoli del Sud faticano a spendere i fondi del PNRR per una fragilità strutturale: carenza di personale tecnico, competenze insufficienti, organici svuotati da decenni di tagli e di fuga dei cervelli. Ebbene, la stessa identica fragilità che rallenta la spesa rende quegli enti più vulnerabili agli attacchi informatici. Una ASL, un piccolo Comune, un ospedale di provincia che non ha un esperto di sicurezza informatica in organico, che usa software obsoleti perché non ha i fondi per aggiornarli, che non forma il personale perché non ha tempo né risorse, è una porta aperta.

La cybersicurezza, in altre parole, rischia di diventare l’ennesima frontiera del divario tra Nord e Sud. Le strutture meglio attrezzate, mediamente più presenti al Centro-Nord, costruiscono le loro difese. Quelle più fragili, mediamente più diffuse al Sud, restano esposte. E i dati dei cittadini meridionali, le loro cartelle cliniche, le loro informazioni personali, valgono sul dark web esattamente quanto quelle di tutti gli altri. La vulnerabilità digitale non è democratica: colpisce di più chi ha meno strumenti per difendersi.

Quello che serve davvero: competenze, non solo tecnologia

La buona notizia, se così si può dire, è che il problema non è prima di tutto tecnologico, e quindi non è prima di tutto una questione di soldi. Lo dice l’ACN: la maggior parte degli attacchi sfrutta vulnerabilità banali, evitabili. Aggiornare i software, imporre password robuste e autenticazione a più fattori, formare il personale a riconoscere una email di phishing, fare backup regolari: sono misure che hanno un costo contenuto e un’efficacia enorme. La differenza la fanno le competenze e l’organizzazione, non gli investimenti faraonici.

Questo significa che il divario si può colmare, se lo si vuole. La NIS2, con i suoi obblighi, è un’occasione: costringe anche gli enti più riluttanti a prendere sul serio la sicurezza. Ma perché funzioni al Sud, dove le strutture sono più fragili, serve un accompagnamento attivo, non solo l’imposizione di un obbligo che i piccoli enti non hanno gli strumenti per rispettare.

Quello che la Regione Puglia può costruire

La Regione Puglia ha qui un terreno d’azione preciso. Può costruire un piano regionale di cybersicurezza per la sanità e gli enti locali, mettendo a disposizione dei piccoli Comuni e delle ASL competenze tecniche condivise, esattamente come servirebbe per la spesa dei fondi europei. Un nucleo regionale di esperti di sicurezza informatica, capace di affiancare gli enti più piccoli nella valutazione dei rischi, negli aggiornamenti, nella formazione del personale, varrebbe più di qualsiasi singolo investimento tecnologico isolato.

Significa investire nella formazione: tecnici della sicurezza informatica formati nelle università pugliesi, a partire da quelle competenze digitali che il territorio già possiede e che questa rubrica ha raccontato parlando della ricerca salentina. Significa fare della protezione dei dati dei cittadini una priorità, perché la fiducia nella sanità digitale, nei servizi pubblici online, nell’intera transizione digitale dipende dalla capacità di tenere quei dati al sicuro. Una digitalizzazione che non protegge è una digitalizzazione che tradisce.

Salento Dinamico e la sovranità che si difende

Wiener aveva ragione: abbiamo trasformato il nostro mondo e ora dobbiamo trasformare noi stessi per abitarlo. La cybersicurezza non è una questione tecnica per informatici. È la condizione perché tutto il resto, la sanità digitale, i servizi pubblici online, l’euro digitale di cui abbiamo scritto, l’intera vita digitalizzata di un Paese, possa funzionare senza tradire chi vi si affida.

Salento Dinamico ha sempre sostenuto che la sovranità di un territorio si misura nella sua capacità di proteggere ciò che ha di più prezioso. Un tempo erano i confini fisici. Oggi sono anche i dati, le reti, le infrastrutture digitali. Un Mezzogiorno che digitalizza senza difendersi costruisce case bellissime senza serrature. La guerra invisibile è già cominciata, e si combatte anche nelle sale server di un ospedale di provincia. Attrezzarsi per non perderla, anche e soprattutto dove le mura sono più fragili, è una delle sfide più concrete e meno raccontate dei prossimi anni.

Fonti: Agenzia per la Cybersicurezza Nazionale (ACN), Relazione annuale al Parlamento 2024 e Report “La minaccia cibernetica al settore sanitario” gennaio 2023-maggio 2025; Clusit, Rapporto 2025; Il Sole 24 Ore, maggio 2025 (dati ACN sugli ospedali); ICT Security Magazine, settembre 2025 (caso ASST Rhodense, dati IBM Cost of a Data Breach 2024); Cybersecurity360, marzo 2026 (NIS2, obblighi e scadenze); Agenda Digitale, marzo 2026 (NIS2 e PA); AboutPharma, settembre 2025 (dati Clusit Healthcare); Federprivacy, dicembre 2025 (dati sanitari nel dark web); decreto legislativo 138/2024; Direttiva UE 2022/2555 (NIS2)