Una suoneria in sala d’attesa, lo sguardo che cerca il mittente: basta un Sms per interrompere la routine di un paziente e aprire una porta sulla truffa. Negli sportelli e nei centralini delle strutture sanitarie si moltiplicano segnalazioni di messaggi e chiamate ingannevoli che imitano il servizio di prenotazione. Allo stesso tempo, negli archivi informatici di alcune aziende sanitarie si registra il rischio — mai del tutto azzerabile — di intrusioni informatiche che possono bloccare servizi o compromettere informazioni. Asl e ospedali in Italia si trovano così a convivere con minacce che colpiscono sia l’interfaccia con il cittadino sia l’infrastruttura digitale interna.
Lo conferma chi lavora sul fronte organizzativo: c’è un impegno diffuso per il governo clinico e per mettere in campo misure che riducano la vulnerabilità. I responsabili sottolineano però che l’aggressione non è solo tecnica, ma anche sociale: gli attori fraudolenti sfruttano la fiducia verso la sanità pubblica e la fragilità di persone anziane o in cura. Il risultato è doppio: danno economico per chi cade nella trappola e un’erosione della fiducia nel servizio che il Cup rappresenta per il cittadino. Un dettaglio che molti sottovalutano è proprio questo legame tra accesso ai servizi e rischio di esfiltrazione di dati sensibili, una debolezza che i malintenzionati studiano e sfruttano.
Le tecniche dei truffatori
Le strategie individuate dagli esperti non sono sofisticate quanto si potrebbe pensare, ma sono efficaci perché mirano al comportamento quotidiano delle persone. Chi organizza i raggiri usa il numero del servizio di prenotazione come leva: il messaggio chiede una comunicazione urgente, invita al pagamento, richiede informazioni personali o propone falsi accessi al Fascicolo sanitario elettronico. In pratica, quattro vie d’attacco che puntano a ottenere credenziali, carte o l’accesso alla sfera privata del paziente.
Accanto agli Sms, diventano frequenti le email mascherate da comunicazioni istituzionali che rimandano a pagine costruite ad arte. Su quelle pagine si chiede l’inserimento di codici o dati bancari tramite link fraudolenti, con la scusa di riattivare un profilo o confermare un appuntamento. Il Ministero della Salute ha più volte segnalato questi tentativi, descrivendo la sequenza classica: email che contiene un codice, clic sul link, richiesta di dati. In queste operazioni prosperano truffe che colpiscono in diverse regioni: segnalazioni arrivano da Liguria, Piemonte, Veneto e Friuli, così come da Toscana, Abruzzo, Umbria, Marche, Emilia Romagna e dal Lazio fino al Sud.
Un fenomeno che in molti notano solo in determinati periodi dell’anno è la recrudescenza delle mail truffa in coincidenza con campagne di vaccinazione o aperture di sportelli online: il motivo per cui è importante mantenere alta l’attenzione è proprio questo, la correlazione con fasi in cui il cittadino cerca attivamente informazioni sulla propria salute.
Come si difendono le aziende sanitarie
Le risposte sul territorio sono multiple e spesso semplici: volantini, comunicazioni nelle sale d’attesa, messaggi Sms di conferma che contengono anche avvisi sulle truffe. Le aziende organizzano incontri pubblici con le forze dell’ordine, coinvolgono i Comuni e le associazioni, e usano i social per raggiungere fasce di popolazione diverse. Parallelamente vengono intensificati i corsi di formazione per gli operatori che ricevono le chiamate, perché riconoscere un tentativo di frode spesso dipende da un gesto pratico in tempo reale.
Strumenti tradizionali come i volantini convivono con interventi tecnologici: conferme automatiche, sistemi di monitoraggio e procedure di aggiornamento continuo. La cybersecurity è entrata nelle agende delle aziende sanitarie con protocolli verificati e controlli regolari; non si tratta solo di firewall, ma di politiche organizzative e di formazione. Un aneddoto che gira nel settore — il furto in un grande museo dove i sistemi erano obsoleti e la password era banale — serve da monito: non basta la buona intenzione, servono standard e applicazione costante.
Dal punto di vista pratico, una regola ribadita a più riprese è netta: le Asl non richiedono pagamenti via Sms o mail. Questo messaggio, ripetuto nelle comunicazioni ufficiali, mira a ridurre le trappole più diffuse. Restano comunque sfide aperte: il danno all’interfaccia con il cittadino e la perdita di fiducia sono conseguenze reali, e la necessità è di mantenere misure e informazione attive nel corso dell’anno. Alla fine resta l’immagine concreta della sala d’attesa: chi riceve un messaggio ora esita prima di cliccare, e quel gesto di prudenza è già una piccola difesa che molti italiani stanno imparando a praticare.