Martedi 07 Luglio 2026 02:03:11 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cybercrime

Sotto i Ferri: L’Industria Sanitaria Si Ribella Contro una Riforma HIPAA Affrettata

Pubblicato: 24 Dicembre 2025 00:09Categoria: CybercrimeArea: North AmericaAutore: AUDITWOLF

Sottotitolo: Ospedali e leader del settore avvertono che i nuovi obblighi di cybersicurezza potrebbero fare più danni che benefici se introdotti troppo in fretta.

È uno spettacolo raro: le principali organizzazioni sanitarie del paese, dagli ospedali d’élite alle maggiori associazioni mediche, sono unite-non nella ricerca di una cura, ma in una battaglia contro quella che definiscono una norma di cybersicurezza pericolosamente irrealistica. Mentre il Dipartimento della Salute e dei Servizi Umani (HHS) spinge per una revisione della HIPAA Security Rule in risposta all’aumento degli attacchi informatici, gli addetti ai lavori lanciano l’allarme: “Non così in fretta.”

L’aggiornamento proposto dall’HHS mira ad allineare i requisiti di sicurezza della HIPAA alle minacce informatiche odierne-si pensi a bande di ransomware che tengono in ostaggio i dati dei pazienti, o a violazioni devastanti come l’attacco a Change Healthcare, che ha compromesso i dati di 190 milioni di americani. Le nuove regole impongono tutto, dall’autenticazione a più fattori (MFA) alla segmentazione della rete, e richiedono una conformità rapida-solo 60 giorni dopo la pubblicazione, con piena attuazione entro 180 giorni.

La reazione è stata rapida e feroce. Una coalizione di oltre 100 organizzazioni, tra cui il College of Healthcare Information Management Executives (CHIME), il sistema sanitario Yale New Haven e l’American Medical Association, ha inviato una lettera all’HHS chiedendo il “ritiro immediato” della norma. Le principali preoccupazioni? Costi finanziari schiaccianti, disallineamento tecnico con le operazioni ospedaliere reali e scadenze definite “irragionevoli”.

“L’HHS stima che l’implementazione della MFA possa essere completata in un’ora e mezza,” afferma Chelsea Arnone, direttrice degli affari federali di CHIME. “Ma per gli ospedali, la MFA coinvolge ogni flusso di lavoro clinico e richiede mesi di riprogettazione-non ore.” Lo stesso divario si riscontra per altri requisiti: la segmentazione della rete, ad esempio, secondo l’HHS richiederebbe meno di cinque ore, mentre i responsabili della sicurezza informatica degli ospedali insistono che servono settimane di revisione architetturale e test.

La conformità non consiste semplicemente nello “schiacciare un interruttore”. I Business Associate Agreements (BAA)-i contratti che regolano la condivisione dei dati con i fornitori-dovrebbero essere rinegoziati in tutto il settore, un processo che potrebbe richiedere anche agli ospedali meglio attrezzati un anno o più. E nel frattempo, gli ospedali devono garantire l’assistenza ai pazienti 24 ore su 24, con una tolleranza minima per eventuali interruzioni dei sistemi.

Leader della cybersicurezza come Eran Barak, CEO di Mind, concordano sulle buone intenzioni ma avvertono che “controlli prescrittivi con tempistiche strette, soprattutto su sistemi legacy, non saranno realistici per molte organizzazioni.” Il rischio? Gli ospedali potrebbero subire interruzioni operative che mettono in pericolo l’assistenza ai pazienti-proprio ciò che la norma mira a proteggere.

Alcuni nel settore indicano l’Health Care Cybersecurity and Resilience Act del 2025 come una via più pratica, poiché abbina gli obblighi a finanziamenti per gli ospedali. Altri esortano l’HHS a introdurre gradualmente le regole, dare priorità ai rischi maggiori e offrire flessibilità per le esigenze cliniche reali.

Per ora, lo stallo continua. Il settore sanitario ha disperatamente bisogno di una cybersicurezza più solida, ma gli esperti avvertono che un approccio affrettato e standardizzato potrebbe lasciare i pazienti-e i loro dati-più vulnerabili che mai. I decisori politici ascolteranno l’appello all’equilibrio, o la cura si rivelerà peggiore della malattia?

WIKICROOK

  • HIPAA: HIPAA è una legge statunitense che tutela la privacy e la sicurezza dei dati sanitari, anche se potrebbe non coprire tutti i dati neurali raccolti nella ricerca.
  • Multi: Multi si riferisce all’uso combinato di diverse tecnologie o sistemi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.
  • Segmentazione della rete: La segmentazione della rete divide una rete in sezioni più piccole per controllare gli accessi, migliorare la sicurezza e contenere le minacce in caso di violazione.
  • Business Associate Agreement (BAA): Un BAA è un contratto previsto dalla HIPAA tra enti sanitari e fornitori per proteggere e gestire la privacy delle informazioni sanitarie dei pazienti.
  • Ransomware: Il ransomware è un software dannoso che cripta o blocca i dati, chiedendo un riscatto alle vittime per ripristinare l’accesso ai file o ai sistemi.