Nel panorama delle minacce cyber rivolte all’Italia emerge un nuovo episodio particolarmente delicato: la messa in vendita, su un noto forum underground russo, di un vasto archivio contenente dati sanitari di cittadini del Nord Italia. L’annuncio è stato pubblicato da un utente con nickname wizgun, già attivo in contesti legati al cybercrime internazionale.
Il venditore sostiene di possedere un database contenente prescrizioni mediche in PDF, certificati di esenzione, permessi di malattia e informazioni personali dettagliate, con documenti risalenti almeno al 2020. L’inserzione descrive un pacchetto di dati strutturato e molto ampio, potenzialmente riconducibile a sistemi utilizzati dai medici di base nelle regioni settentrionali.
Cosa contiene il database
Secondo le informazioni pubblicate nel forum, il dataset comprenderebbe:
- Oltre 350.000 record con dati anagrafici completi (nome, cognome, indirizzo di residenza, numero assicurativo).
- Circa 390.000 prescrizioni mediche in PDF.
- 90.000 pazienti identificati, di cui:
- 30.000 con indirizzo email associato
- 4.300 con numero di telefono (fisso o mobile).
L’annuncio mostra anche alcuni esempi di record completi, includendo informazioni estremamente sensibili come prescrizioni farmacologiche, visite specialistiche, indirizzi, recapiti e codici personali legati ai servizi sanitari.
Modalità di vendita e prezzi
Il venditore propone una vendita modulare, sia per singolo profilo sia per l’intero archivio, con possibilità di utilizzare un servizio di Escrow. I contatti vengono gestiti tramite messaggistica privata e tramite Session, piattaforma preferita per comunicazioni anonime.
I prezzi indicati sono:
- 25 euro per singolo profilo con prescrizioni
- 35 euro per profilo completo di dati personali, contatti, prescrizioni e documentazione legata ai permessi di malattia
- 1,84 BTC per l’intero database, al valore del Bitcoin al momento della pubblicazione.
Possibile origine della fuga di dati
Lo stesso venditore fa riferimento a due articoli di stampa che documentano un attacco informatico alla piattaforma sanitaria utilizzata dai medici di base lombardi. I contenuti descritti negli articoli e quelli riportati nell’annuncio presentano diverse corrispondenze, sia per tipologia dei documenti sottratti sia per le tempistiche:
- MilanoToday: Cyber attacco al portale dei medici di base
- Corriere della Sera: Violazione informatica sulla piattaforma sanitaria per le prescrizioni.
È plausibile che il database in vendita sia frutto della compromissione descritta dalle testate, sebbene non vi sia ancora una conferma ufficiale da parte delle autorità.
Perché questo incidente è particolarmente critico
Una fuga di dati sanitari di queste dimensioni costituisce uno dei peggiori scenari possibili in termini di impatto sulla privacy e sulla sicurezza delle persone. I dati medici, infatti, sono immutabili e difficili da contenere una volta pubblicati in ambienti criminali.
Un archivio come quello descritto può essere sfruttato per:
- estorsioni mirate
- truffe e frodi assicurative
- phishing altamente credibile
- furto di identità
- profilazioni illegali per finalità commerciali o discriminatorie.
La combinazione di dati sanitari, email, numeri di telefono e indirizzi rende questo set particolarmente appetibile per operatori malevoli.
Riflessioni finali
La comparsa di questo database su un forum russo conferma ancora una volta l’interesse crescente del cybercrime internazionale verso le infrastrutture sanitarie italiane. La vendita di centinaia di migliaia di prescrizioni e dati anagrafici pone nuovamente l’attenzione sui limiti strutturali dei sistemi digitali regionali e sulla necessità di un rafforzamento urgente delle misure di sicurezza.
Sarà fondamentale monitorare la diffusione del materiale, valutare l’autenticità dei dati e verificare se la fuga sia collegata all’attacco documentato sui media. Nel frattempo, l’episodio rappresenta uno dei casi più gravi degli ultimi anni nel settore sanitario italiano e richiede un’attenta riflessione sulla sicurezza digitale delle piattaforme mediche.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
