Digest Réseau Comment ça marche
Digest / Communiqué

Cybersecurity in sanità: l'importanza della comunicazione

Compatibilité
Sauvegarder(0)
partager

Nel 2025 gli attacchi noti al settore sanitario a livello globale sono stati 1.053. Un dato che da solo colpisce, ma che diventa ancora più eloquente se letto nella sua progressione: +30% rispetto al 2024 e +500% rispetto al 2020. In Italia, secondo i dati ACN 2025, gli eventi censiti rivolti al settore sanitario segnano un ulteriore +47,4%. La direzione è chiara: la sanità è sempre più esposta agli incidenti cyber, e non soltanto dal punto di vista tecnico.

Quando si parla di cybersecurity in sanità, il confronto si concentra quasi sempre sugli aspetti più evidenti: sistemi, governance, notifiche, continuità operativa, obblighi NIS2, rapporti con ACN, coordinamento con il DPO. Tutto corretto. Ma c’è un punto che molte strutture sanitarie continuano a scoprire troppo tardi: un incidente cyber non è mai solo una questione tecnica e normativa.

È anche un fatto organizzativo, reputazionale e relazionale. E spesso il danno più difficile da governare non nasce nel momento dell’attacco, ma subito dopo: quando le informazioni sono parziali, i tempi sono stretti, le responsabilità si intrecciano e la struttura non ha ancora deciso chi deve dire cosa, a chi e con quale tono.

In questo articolo spieghiamo perché, per cliniche, poliambulatori e strutture sanitarie private, la comunicazione debba entrare nella gestione dell’incidente cyber fin dalle prime ore, con l’obiettivo di proteggere continuità operativa, reputazione e fiducia dei pazienti.
E la fiducia, in sanità, non si gestisce improvvisando.

Perché un incidente cyber in sanità diventa subito anche un problema di comunicazione?

Perché in sanità continuità del servizio, protezione dei dati e affidabilità della struttura non vengono mai percepite come temi astratti. Appena emerge un’anomalia, le domande sono immediate, anche quando non vengono formulate apertamente: i sistemi stanno funzionando? i dati dei pazienti sono coinvolti? bisogna informare qualcuno? ci sono rischi per le prestazioni? chi è autorizzato a parlare?

Il punto è che la crisi comunicativa non inizia quando compare una notizia su una testata locale o sui social. Inizia molto prima. Spesso inizia dentro la struttura, nel momento in cui circola una voce non presidiata, un’ipotesi non verificata, una spiegazione data in buona fede ma fuori contesto, una risposta improvvisata da chi è in contatto con i pazienti e non ha ricevuto istruzioni chiare.

È qui che emerge il primo errore da evitare: pensare che l’ufficio comunicazione entri in scena solo dopo che IT e legale hanno “finito il loro lavoro”. In realtà, quando l’incidente prende forma, la comunicazione dovrebbe essere già nella war room, non per uscire subito all’esterno, ma per fare una cosa ancora più importante: mettere ordine, presidiare il perimetro informativo, prevenire messaggi incoerenti e preparare scenari credibili.

Cosa rischia davvero una struttura sanitaria se non presidia la comunicazione?

Quando la comunicazione non viene presidiata, l’impatto di un incidente cyber può amplificarsi su più livelli.

Il rischio reputazionale

Anche un evento contenuto può essere percepito come gravissimo se emerge in modo confuso, contraddittorio o incompleto. In sanità basta poco perché la narrazione scivoli dai fatti alla paura: “hanno bucato il sistema informatico”, “i dati dei pazienti sono online”, “nessuno sta spiegando nulla”, “stanno nascondendo qualcosa”.

Il rischio relazionale interno

Se la struttura non definisce subito un perimetro comunicativo chiaro, ogni funzione tende a reagire secondo il proprio linguaggio e la propria urgenza. L’IT ragiona per contenimento, il legale per qualificazione dell’incidente e obblighi, la direzione per continuità operativa, il front office per gestione del contatto, i professionisti sanitari per tutela del rapporto fiduciario con il paziente. Tutte priorità legittime, ma che senza coordinamento possono generare frizioni, sovrapposizioni e messaggi incoerenti.

Il rischio di esposizione non governata verso l’esterno

Se l’incidente evolve e compare una richiesta di riscatto, la situazione cambia di molto: non si è più soltanto davanti a un’anomalia tecnica o a una possibile perdita di riservatezza. Entra in gioco la minaccia reputazionale come leva di pressione. È lì che molte organizzazioni si scoprono fragili non perché non abbiano una posizione, ma perché non hanno un processo per costruirla rapidamente.

Qual è il ruolo dell’ufficio comunicazione nelle prime ore di un incidente cyber?

Il suo primo compito non è “comunicare di più”. È presidiare meglio.

Nelle prime ore di un incidente cyber, l’ufficio comunicazione deve aiutare la struttura a distinguere con precisione ciò che è accertato, ciò che è probabile e ciò che è ancora ignoto. Deve impedire che l’incertezza venga riempita con interpretazioni personali, rassicurazioni premature o iniziative individuali. Deve presidiare i flussi informativi interni ed esterni, definire chi può parlare e chi no, attivare il monitoraggio di media, social, fonti di settore e segnali reputazionali, preparare messaggi essenziali per eventuali richieste impreviste.

È un lavoro meno visibile di un comunicato stampa, ma molto più strategico. Perché evita che la struttura perda il controllo del racconto nel momento in cui il quadro è ancora incompleto. E c’è un aspetto spesso sottovalutato: in questa fase la comunicazione non serve solo fuori. Serve moltissimo dentro.

Perché la comunicazione interna è decisiva quanto quella verso l’esterno?

Perché una struttura sanitaria è un’organizzazione ad alta intensità relazionale. Ogni giorno decine di persone entrano in contatto con pazienti, familiari, professionisti, fornitori e interlocutori esterni. In un contesto del genere, la tenuta interna fa la differenza.
Se il personale non sa cosa sta succedendo, se riceve informazioni spezzate o se percepisce che manca una regia, il rischio di rumore cresce rapidamente. E il rumore, in una situazione di crisi, è già un danno.

La comunicazione interna in caso di incidente cyber non può quindi ridursi a una circolare generica. Deve diventare un sistema di allineamento operativo. Vuol dire chiarire chi deve sapere cosa, con quale linguaggio, in quale momento e con quali istruzioni pratiche. Vuol dire proteggere le persone più esposte dal dover improvvisare una risposta. Vuol dire evitare che un dettaglio non verificato venga trasformato in certezza o che una certezza parziale venga raccontata male.

In pratica, la comunicazione interna deve trasformare il personale da potenziale punto di vulnerabilità a parte attiva del contenimento reputazionale.

Cosa cambia quando arriva una richiesta di riscatto?

Cambia la pressione. E cambia la postura che la struttura deve assumere.

Quando compare una richiesta di riscatto, soprattutto se accompagnata da minacce di pubblicazione o da riferimenti a dati dei pazienti, la struttura entra in una fase diversa. L’attaccante non sta cercando soltanto di colpire i sistemi: sta cercando di orientare il comportamento dell’organizzazione usando la reputazione come leva.

Da quel momento l’ufficio comunicazione deve passare da una logica di presidio a una logica di crisis management reputazionale, già descritta in questo articolo. Significa stabilire che nessuna risposta autonoma partirà fuori dalla war room, verificare subito se la minaccia è già emersa all’esterno, controllare se circolano leak, screenshot, menzioni o rivendicazioni, pianificare scenari diversi e preparare materiali per pazienti, front office e management.

In sanità questo passaggio è ancora più delicato, perché la risposta pubblica non è sempre la prima strada da percorrere. In molti casi, se la platea dei soggetti coinvolti è identificabile, la soluzione più corretta è una comunicazione diretta agli interessati, costruita con linguaggio chiaro, tono sobrio e contenuti utili.

Come dovrebbe essere una comunicazione ai pazienti dopo un incidente cyber?

Questo è uno dei punti più sensibili. E anche uno di quelli che, più spesso, vengono affrontati troppo tardi.
Quando una struttura sanitaria deve informare i pazienti di un incidente cyber, non basta “mandare una mail”. Serve una comunicazione che tenga insieme trasparenza, semplicità, precisione e responsabilità. Deve spiegare che cosa è accaduto, quali dati potrebbero essere coinvolti, quali possono essere le conseguenze, che cosa sta facendo la struttura per gestire l’evento e quali precauzioni può adottare il paziente.

Nel modello che abbiamo elaborato, ad esempio, la comunicazione si apre con un oggetto molto chiaro — “Comunicazione importante sulla protezione dei Suoi dati personali” — e prosegue con una spiegazione lineare dell’accaduto, l’indicazione delle possibili categorie di dati coinvolti, le misure di contenimento adottate, i consigli pratici da seguire e un punto di contatto dedicato per richieste di chiarimento.

È un esempio utile perché mostra bene un punto essenziale: la comunicazione ai pazienti non può essere né un testo burocratico né un messaggio vagamente rassicurante. Deve essere comprensibile, concreta e coerente con il quadro tecnico e con la valutazione normativa. Proprio per questo è un contenuto che andrebbe preparato prima, insieme a template, criteri di adattamento e flussi approvativi, non scritto da zero nel pieno dell’emergenza.

Cosa dovrebbe avere già pronto una struttura sanitaria soggetta a NIS2?

Qui sta il vero spartiacque tra reazione improvvisata e gestione matura.

Una struttura sanitaria soggetta a NIS2 non dovrebbe avere soltanto misure tecniche, ruoli formalizzati e procedure di notifica. Dovrebbe avere anche una vera procedura di comunicazione di crisi cyber, integrata con il piano di risposta all’incidente.

Questo significa avere già definito:

  • portavoce e sostituti
  • flussi autorizzativi
  • criteri di escalation
  • template di comunicazione
  • istruzioni per front office e reception
  • Q&A per il management
  • logiche di monitoraggi
  • template per eventuali comunicazioni ai pazienti (scaricabile qui)
  • raccordo tra gli “attori”: comunicazione, IT, direzione e legal.

Il punto non è produrre documenti “per essere a posto”. Il punto è essere in grado di reagire in modo coerente quando le informazioni sono ancora incomplete e il tempo non basta mai. È proprio in quel momento che si vede la differenza tra una struttura che subisce la crisi e una struttura che riesce a governarla.

Perché oggi IT, compliance e comunicazione devono lavorare insieme?

Perché gli incidenti reali non rispettano i confini organizzativi. Nelle prime 24, 48, 72 ore tutto si muove in parallelo: contenimento tecnico, raccolta di evidenze, qualificazione dell’incidente, continuità operativa, notifiche, valutazioni privacy, gestione interna e presidio reputazionale.

Pensare che ogni funzione lavori per conto proprio è uno degli errori più pericolosi. Soprattutto in sanità, dove il contesto è più delicato, i dati sono più sensibili e il rapporto con l’utenza è più esposto.
Serve un approccio più integrato: tecnico, normativo e comunicativo insieme. Un approccio in cui direzione, compliance, IT, DPO, partner legali e comunicazione non si passino il dossier a staffetta, ma lavorino sullo stesso scenario fin dall’inizio.

È su questo terreno che si misura anche il valore di una consulenza efficace. Per Noetica, che da anni lavora nella comunicazione sanitaria, significa affiancare strutture, brand e organizzazioni del settore non solo nel posizionamento e nella reputazione ordinaria, ma anche nella costruzione di processi di comunicazione che reggano nei momenti di maggiore esposizione. E farlo in dialogo con competenze legali specialistiche, perché in uno scenario NIS2 la comunicazione non può essere trattata come un’aggiunta finale: deve essere progettata per essere chiara, sostenibile, coerente e utile quando serve davvero.

Per questo, affrontare un incidente cyber richiede un approccio multidisciplinare, capace di integrare competenze tecniche, comunicative, reputazionali e legali. È l’approccio che Noetica porta avanti nei progetti dedicati al marketing sanitario e alla comunicazione per il settore salute, affiancando cliniche, poliambulatori, strutture sanitarie private e organizzazioni healthcare nella costruzione di strategie solide, coerenti e sostenibili.

Un lavoro che si rafforza anche grazie alla collaborazione con lo Studio Legale Delli Ponti, partner specializzato negli aspetti normativi, privacy e digitali. Perché, soprattutto in sanità, marketing, comunicazione e profili legali non possono procedere su binari separati: devono dialogare fin dall’inizio per proteggere reputazione, relazione con i pazienti e fiducia nel brand, anche nei momenti di maggiore esposizione.

Vuoi costruire una strategia di comunicazione sanitaria più solida, integrata e pronta a gestire anche gli scenari più critici? Contatta Noetica.

Source: https://www.noetica.it/cyber-sicurezza-in-sanita/
Coordonnées
Simona Bonciani

Communiqués connexes

25/11/2025
Web et Réseaux Sociaux
Santé
Santé Publique
Sanità privata e comunicazione: il gap è culturale
Source
NOETICA DI SIMONA BONCIANI
Découvrez les affinités
0
Press Release cover image
04/11/2024
Musique
Santé
Cybersecurity, cosa è emerso all’Innovation Lab di FORUM Sanità
Source
FORUM PA
Découvrez les affinités
0
Press Release cover image
14/11/2025
Web et Réseaux Sociaux
Cosmétique
Santé
Comunicare la salute: tante opportunità senza rischi legali - Noetica
Source
NOETICA DI SIMONA BONCIANI
Découvrez les affinités
0