MEAD: supportare le organizzazioni nella sicurezza, resilienza e conformità normativa
Molte e crescenti le sfide legate alla sicurezza, alla resilienza e alla conformità normativa che le organizzazioni pubbliche e private si trovano ad affrontare oggi e MEAD, System Integrator con un forte approccio consulenziale, è in grado di supportarle.
Grazie ad una esperienza di oltre 30 anni di attività, MEAD Informatica è oggi una realtà riconosciuta come specializzata nel settore sanitario.
Proprio da tale ambito parte l’intervista d’approfondimento oggetto della presente cover story del numero 80 di S News, che vede protagonisti Umberto Saccone, Presidente di IFI ADVISORY, Direttore del Corso Executive “Security Risk Management” alla LUISS Business School e Partner di MEAD Informatica, e Fabio Tolomelli, Marketing & Strategic Development Director MEAD Informatica.
Uno dei settori più colpiti da attacchi cyber a livello europeo è quello della sanità, come l’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, segnala da tempo. Quale il ruolo delle farmacie in tale scenario, professor Saccone?
Le farmacie sono diventate un nodo digitale cruciale del Servizio Sanitario Nazionale. Quasi tutte le prescrizioni dei farmaci rimborsati, il 98 per cento secondo Federfarma, viaggiano ormai in forma «dematerializzata» e, dal gennaio 2025, anche le ricette cosiddette “bianche” passano per canali elettronici. Ogni ricetta collega il gestionale del banco con il Fascicolo Sanitario Elettronico, con i sistemi di pagamento e con le piattaforme di tele-assistenza: un flusso continuo di dati anagrafici, clinici e finanziari che vale oro sul dark web. Secondo stime citate da Trustwave, un dossier sanitario completo si rivende a circa 250 dollari l’uno, mentre un numero di carta di credito rarefatto non supera i cinque dollari.Non sorprende, quindi, che i ransomware prendano sempre più di mira i distributori di farmaci. A dicembre 2024 il gruppo Embargo ha sottratto 1,4 terabyte di ricette e dati di pagamento alla cooperativa statunitense American Associated Pharmacies, chiedendo un riscatto da 1,3 milioni di dollari. Poche settimane prima, l’attacco di ALPHV/BlackCat alla piattaforma Change Healthcare, utilizzata da settantamila farmacie statunitensi, aveva paralizzato per giorni le procedure di rimborso, dimostrando quanto un singolo fornitore IT possa innescare un effetto domino sull’intero settore. L’Agenzia europea ENISA, nel suo Threat Landscape 2024, colloca proprio i ransomware e gli attacchi contro la disponibilità dei servizi in cima alla graduatoria delle minacce emergenti.
Con questo crescente aumento delle intrusioni, quale la risposta dell’Europa?
L’Europa ha alzato l’asticella delle responsabilità.
Il decreto legislativo 138/2024, che recepisce la direttiva NIS 2, estende l’etichetta di «fornitore di servizi sanitari» alle farmacie: sopra i 50 dipendenti o i 10 milioni di euro di fatturato sono classificate come «entità essenziali»; al di sotto di tali soglie, ma con attività d’interesse nazionale, possono diventare «entità importanti». Dal 1° dicembre 2024 al 28 febbraio 2025 i titolari hanno dovuto registrarsi sul portale dell’Agenzia per la Cybersicurezza Nazionale; l’ACN, con PEC individuali, ha poi notificato a ciascuno la qualifica definitiva e il pacchetto di obblighi. Il 14 aprile 2025 la determinazione ACN n. 164179 ha tradotto in dettagli tecnici la direttiva: nove mesi per definire le procedure di notifica degli incidenti, diciotto per completare le misure di sicurezza.
In pratica le farmacie devono costruire una governance formale, con un responsabile cyber interno o esterno, e garantire formazione annuale tracciabile a tutto il personale. Sul piano tecnico, l’allegato 2 della determinazione impone l’autenticazione multifattoriale per ogni accesso remoto, la cifratura end-to-end dei dati, la micro-segmentazione fra area vendita, retro-banco e dispositivi IoMT (dalle bilance smart ai frigoriferi intelligenti), backup immutabili custoditi off-site e un sistema di monitoraggio continuo capace di rilevare un’anomalia in meno di mezz’ora. Quando qualcosa va storto, bisogna inviare un «early warning» all’ACN entro ventiquattro ore, un rapporto preliminare entro settantadue e un’analisi definitiva entro trenta giorni.
Il legislatore ha scelto la linea dura: per le entità essenziali le sanzioni salgono fino a dieci milioni di euro o al due per cento del fatturato mondiale; per le “importanti” il tetto è sette milioni o l’1,4 per cento. In caso di inosservanza reiterata, l’ACN può sospendere temporaneamente dall’incarico i componenti degli organi direttivi. La combinazione di multe, interdittive personali e azioni di responsabilità espone i titolari di farmacia a un rischio che oggi non è più soltanto economico ma anche penale, specie se un’interruzione del servizio compromette l’accesso a farmaci salvavita.
Le cronache d’oltreoceano offrono lezioni preziose. Nel caso AAP, la mancanza di backup isolati e la cifratura debole dei database hanno alimentato l’estorsione. L’incidente Change Healthcare ha mostrato come un unico nodo della supply chain possa bloccare oltre la metà delle farmacie statunitensi. Nel frattempo, ENISA continua a segnalare che la sanità è fra i settori più colpiti a livello europeo, con ransomware che mirano sempre più alla «rottura» operativa della catena del farmaco.
Cosa deve fare quindi, oggi, un titolare di farmacia per evitare lo scenario peggiore?
Prima di tutto completare o, se necessario, correggere la registrazione ACN, perché da quella data partono i cronometri ufficiali. Poi occorre fotografare lo stato dei controlli esistenti rispetto ai requisiti di legge, nominare formalmente un responsabile cyber, rivedere i contratti con i fornitori IT inserendo livelli di servizio su patching, MFA e audit, creare backup immutabili testati con ripristini trimestrali, attivare la micro-segmentazione di rete, obbligare il doppio fattore per ogni accesso esterno, perfezionare il piano di notifica incidenti e accendere un programma stabile di simulazioni di phishing e di drilling operativo. Infine, perché privacy e sicurezza camminano insieme, bisogna aggiornare il DPIA GDPR e integrare la cyber-resilienza nel fascicolo farmaceutico elettronico.
La direttiva NIS 2, recepita dal decreto 138/2024 e resa operativa dalla determinazione 164179, non è un adempimento di facciata. Per le farmacie, presidio di prossimità per milioni di cittadini, la continuità digitale equivale alla continuità terapeutica. In gioco non c’è soltanto l’entità delle sanzioni, ma la fiducia del paziente e la sostenibilità di un servizio che, senza protezioni adeguate, può essere mandato in tilt da un allegato di posta elettronica. Il conto alla rovescia è già iniziato: investire adesso in resilienza cyber significa garantire domani l’accesso sicuro ai farmaci e la solidità del proprio esercizio.
Quello che ci ha appena descritto il professor Saccone è uno scenario molto chiaro e altrettanto delicato e impegnativo. Quale il ruolo di MEAD Informatica in tutto questo, dottor Tolomelli?
Otto anni fa, MEAD ha intrapreso un importante percorso di evoluzione, passando da reseller a realtà a valore aggiunto, trasformandosi in un System Integrator con un forte approccio consulenziale. In questo processo, oltre 20 ingegneri MEAD hanno completato percorsi di formazione per diventare Lead Auditor su standard e direttive fondamentali come ISO 27001, ISO 22301, ISO 31000, tra gli altri.
Queste competenze verticali, unite ad una profonda conoscenza delle tecnologie, ci hanno permesso di diventare un partner capace di supportare le organizzazioni nell’affrontare le sfide legate alla sicurezza, alla resilienza e alla conformità normativa, adottando un approccio metodologico solido e strutturato.
Abbiamo sviluppato soluzioni e servizi specializzati in ambito Cybersecurity e Compliance, come il ClinicalSOC®, un Security Operation Center dedicato al settore sanitario, e HGS®, un’applicazione progettata per il governo della resilienza nelle strutture sanitarie.
È risaputo che scenari simili sono in costante e veloce evoluzione. Dal vostro privilegiato punto d’osservazione, quali i possibili sviluppi a breve/medio periodo e, quindi, quali le necessarie risposte alle future esigenze e sfide?
Osserviamo una crescente convergenza tra il mondo della Safety e quello della Security: due ambiti che, sempre più spesso, corrono su un binario comune. Le aziende dovranno essere pronte ad affrontare questa integrazione, e sarà fondamentale supportarle nel raggiungimento dei propri obiettivi in un contesto così dinamico.
Registriamo inoltre un aumento significativo delle richieste legate alle attività di Incident Response. Non è più sufficiente concentrarsi solo sulla prevenzione: oggi è essenziale essere in grado di riavviare rapidamente le attività dopo un’interruzione. Questo scenario impone la necessità di disporre di competenze trasversali e specialistiche che coprano tutte le aree dell’ICT, con un approccio flessibile e tempestivo.
Questa nostra caratteristica ci consente di potere offrire le nostre competenze ed i nostri servizi ad ogni tipologia di azienda appartenete sia al settore pubblico che privato.
