Attacco hacker alla piattaforma sanitaria “Paziente Consapevole”: rubati i dati sensibili di migliaia di pazienti lombardi
Un cyberattacco di vaste proporzioni ha colpito i server di Murex Software, società che gestisce il portale web Paziente Consapevole, utilizzato da migliaia di cittadini lombardi, medici di base e farmacie per la gestione di ricette, prenotazioni di esami e consultazione di referti.
Secondo le prime ricostruzioni, un gruppo hacker dell’Europa orientale si sarebbe introdotto nei sistemi informatici dell’azienda, sottraendo dati sensibili e sanitari di migliaia di utenti. Le informazioni trafugate – nomi, indirizzi, referti, prescrizioni – sono state poi usate per una sofisticata campagna di phishing mascherata da richieste di pagamento.
La truffa: mail da una finta società di recupero crediti – A seguito dll’attacco, centinaia di utenti hanno ricevuto e-mail da una presunta società di recupero crediti di Monza, denominata CreditLex srl, in realtà inesistente. Nel messaggio si sollecitava il pagamento di “prestazioni sanitarie non saldate”, con una cifra media di circa 40 euro, da versare su un conto corrente spagnolo.
Come spiega il Corriere della Sera, le mail apparivano credibili, riportavando dati personali e dettagli clinici reali, rubati dal portale, e rendendo quindi difficile riconoscere la frode. “Gentile cliente, dai nostri registri risulta il mancato pagamento di una o più prestazioni sanitarie…”, recitava il testo, invitando a cliccare su un "link sicuro” entro cinque giorni.
Indagini in corso e piattaforma offline - La Polizia Postale di Milano ha immediatamente bloccato la piattaforma e trasferito il sito su un indirizzo digitale più sicuro. La Procura di Milano ha aperto un fascicolo per truffa aggravata e accesso abusivo a sistema informatico, coordinando le indagini insieme agli esperti di cybersecurity.
La Direzione generale Welfare della Regione Lombardia ha chiarito che l’attacco ha riguardato esclusivamente i server di Murex Software, escludendo compromissioni ai sistemi regionali o delle Aziende sanitarie locali. Tuttavia, l’episodio ha sollevato forti preoccupazioni sul livello di sicurezza dei portali privati che trattano dati sanitari.
Un segnale d’allarme sulla sicurezza dei dati sanitari - Gli esperti di sicurezza informatica definiscono l’attacco un caso emblematico di cybercrime ibrido, dove il furto di dati viene immediatamente sfruttato per truffe mirate. La combinazione di informazioni autentiche e messaggi costruiti ad arte rende questi attacchi estremamente pericolosi.
Secondo un funzionario delle forze dell’ordine, l’obiettivo potrebbe essere stato quello di ottenere piccole somme da un gran numero di utenti, ma è “molto probabile che i dati sensibili siano già stati rivenduti nel dark web”.
L’attacco al portale Paziente Consapevole rappresenta una delle prime violazioni informatiche su larga scala di una piattaforma sanitaria privata in Lombardia, un campanello d’allarme per tutto il sistema sanitario digitale.
