Ventinove Stati tra quelli Uniti d’America nel mirino, 206 strutture sanitarie colpite e affondate in una impietosa battaglia navale virtuale, 4 milioni e mezzo di cartelle sanitarie sottratte nel più sbalorditivo arrembaggio digitale degli ultimi tempi: questi i numeri di quel che è accaduto oltreoceano tra aprile e giugno scorsi. L’azienda Community Health Systems, che gestisce una ciclopica architettura informatica al servizio di strutture medico-ospedaliere, ha ammesso lunedì di aver subito lo scacco matto, dando comunicazione formale alla Securities and Exchange Commission (SEC). Si tratta di una clamorosa breccia nei sistemi di sicurezza, quella che i tecnici chiamano “data breach” e che molti Paesi evoluti ritengono debba innescare una serie di segnalazioni alle Autorità per rendere noto l’accaduto e allertare chi possa essere danneggiato da un incidente del genere. In Italia, ad esempio, l’obbligo di far sapere episodi di questo genere grava sulle società di telecomunicazioni ma non interessa affatto né chi tratta dati sanitari, né le banche o le assicurazioni, né la Pubblica Amministrazione o chiunque altro possa custodire ingenti quantità di dati la cui diffusione può esser deleteria per le persone cui le informazioni medesime si possono riferire.

Mentre dalle nostre parti la sicurezza informatica rimane argomento da bar e gli interlocutori restano al livello degli avventori dei predetti esercizi di somministrazione di bevande, altrove si guarda con ragionevole terrore all’accaduto e si cerca di scoprire chi possa essere stato e come possa esserci riuscito. Lo spaventoso incidente sarebbe opera di pirati informatici cinesi, che avrebbero rubato informazioni delicatissime relative a milioni di pazienti. La comunicazione della Community Health Systems, prima visibile via Internet e poi non più raggiungibile per presumibili attività di manutenzione del sito web chs.net, spiegava che “chi ha sferrato l’attacco è stato capace di bypassare le misure di sicurezza dell’azienda e di copiare e trasferire con successo un grande volume di dati”. La nota cerca di rassicurare chi legge continuando con la precisazione secondo la quale “fin dal primo momento in cui si è appreso dell’attacco, la società CHS ha lavorato alacremente in stretta connessione con le Autorità giudiziarie impegnate nelle indagini e nella possibile individuazione dei responsabili”.

Secondo la CHS gli hacker sarebbero entrati in possesso “solo” di nomi, cognomi, indirizzi, numeri telefonici, “social security numbers”, ma non informazioni medico/cliniche o dati finanziari come carte di credito o conti bancari. L’affermazione consola i più distratti, ma inquieta il resto degli osservatori della situazione. Gli hacker non hanno “sottratto” nulla, perché a differenza di quanto accade con i furti materiali il maltolto resta nella disponibilità del depredato: è difficile dire cosa abbiano rubato i criminali, visto che apparentemente non manca nulla.

La scorribanda in questione salta in vetta alla graduatoria del colpo più clamoroso almeno nel settore sanitario, dove il precedente record negativo spettava al Dipartimento della Salute dello Stato del Montana cui erano stati scippati i dati di un milione e 100 mila pazienti. A questo punto viene da chiedersi quale sia l’interesse ad entrare in possesso di informazioni mediche o di cartelle cliniche.

I più maligni vedono interessata ad un simile bottino una platea ben determinata e nel tracciare l’ipotetico identikit mescolano i connotati di assicuratori (assillati dal pensiero di stipulare polizze vita con persone in condizioni…inaffidabili) e di imprenditori farmaceutici (alle prese con scelte industriali che richiedono la conoscenza dell’effettiva situazione sanitaria del mercato).

I più lungimiranti, invece, si preoccupano non tanto del furto dei dati, quanto di altre possibilità nelle mani di chi riesce a squarciare le blindature dei sistemi di protezione. Che succede, infatti, se qualche delinquente con capacità tecnologiche evolute (scusatemi ma gli hacker sono un’altra cosa!) riesce ad insinuarsi in un sistema informatico di una azienda sanitaria locale o di una struttura medica e poi procede alla modifica delle informazioni di cui il bersaglio dispone? Possibile? Abituato a veder tutti che copiano, per una volta lo faccio anch’io. E per non dovermene vergognare, visto che non rientra affatto nelle mie abitudini, copio me stesso.

A pagina 16 del Fatto Quotidiano cartaceo, il 25 febbraio 2014 ho scritto il pezzo “La fine del mondo in un blackout”. E questa ne era la chiusura. “Ospedale Gradenigo, Corso Regina Margherita 8 a Torino. E’ il 20 gennaio appena passato. Un morto risulta prenotato per un esame medico, molti pazienti hanno cambiato il loro cognome con quello di altri, parecchi registrati nel database sono incredibilmente ringiovaniti di vent’anni o adesso hanno una patologia differente da quella originariamente diagnosticata. Il direttore amministrativo del nosocomio, Ilaria Siboni, dichiara che ‘i dati dei pazienti ci sono ma sono in disordine…'”

Certe cose non succedono solo nei film (si pensi a Die Hard 4.0) o dall’altra parte del mondo, ma possono capitare (e sono già capitate) anche da noi….

Twitter @Umberto_Rapetto