Un database contenente informazioni personali di un numero compreso tra 11 e 15 milioni di cittadini è stato compromesso in seguito a un attacco informatico condotto a fine 2025 ai danni di Cegedim, società specializzata in software per la gestione degli studi medici.
La compromissione, confermata dalla stessa azienda, ha investito un ecosistema digitale capillare che serve oltre 25.000 studi medici e 500 centri sanitari in tutto il territorio francese, sollevando interrogativi urgenti sulla sicurezza delle infrastrutture digitali sanitarie e sulle responsabilità nella protezione dei dati dei pazienti.
Fra le vittime dell’attacco emergerebbero potenziali candidati alle prissime presidenziali francesi del 2027, oltre a funzionari del settore sicurezza.
Indice degli argomenti
Anche in Francia sotto attacco la sanità
Il vettore dell’attacco è stato il software MonLogicielMedical, sviluppato e distribuito da Cegedim, strumento adottato da molti medici per la gestione dei dossier dei pazienti e delle funzionalità di studio.
Secondo quanto dichiarato dall’azienda, i dati dei pazienti sono stati “accessibili o estratti”, una formulazione che nella pratica significa che soggetti non autorizzati hanno potuto consultare e potenzialmente esfiltrare informazioni riservate.
Cegedim ha tuttavia precisato che quanto compromesso riguarderebbe “esclusivamente il dossier amministrativo del paziente”, sostenendo che i dossier medici strutturati sarebbero rimasti integri.
Si tratta però di una posizione che contrasta con quanto emerso dall’inchiesta giornalistica di France 2 e France Info, secondo cui l’hacker che ha rivendicato la responsabilità dell’attacco ha indicato Cegedim come fonte dei dati, e campioni del materiale visionati da giornalisti ed esperti di sicurezza conterrebbero annotazioni di natura clinica e personale più sensibili di semplici dati amministrativi.
A rendere la vicenda particolarmente grave, secondo quanto riportato dai media e da campioni del dataset analizzati da esperti indipendenti, è proprio la natura delle informazioni che sarebbero presenti nelle cartelle compromesse: riferimenti a sieropositività/HIV, annotazioni su orientamento sessuale, religione, contesto familiare.
Inoltre la presenza di tali contenuti è oggetto di contestazione da parte di Cegedim, ma qualora fosse confermata, questi dati rientrerebbero nelle categorie particolari previste dal Regolamento Generale sulla Protezione dei Dati (GDPR), per le quali è richiesto un livello di protezione rafforzato.
Queste annotazioni, una volta digitalizzate e aggregate, diventano un vettore di rischio moltiplicato.
Fino a 65 milioni di dati sanitari coinvolti
L’esperto di sicurezza informatica noto come SaxX, che da mesi monitora pubblicamente le violazioni di dati in Francia, ha dichiarato di aver avuto accesso a un campione del materiale trafugato e di aver individuato, secondo le sue stime, fino a 65 milioni di dati sanitari ipersensibili coinvolti, nonché “informazioni di diverse personalità di spicco, tra cui politici ancora in carica”.
È opportuno precisare che le affermazioni di SaxX rappresentano valutazioni basate sull’analisi di campioni e non costituiscono conferme istituzionali. Tra le vittime dell’attacco figurerebbero potenziali candidati alle elezioni presidenziali francesi del 2027 e funzionari del settore sicurezza.
Questo elemento può assumere rilievo anche sul piano democratico, poiché informazioni sanitarie di figure pubbliche possono essere usate per pressione o delegittimazione.
Il rischio di un uso strumentale di informazioni riservate è ampiamente discusso nella letteratura su disinformazione e influence operations, e la disponibilità di dati sanitari sensibili su figure politiche rappresenta un caso particolarmente critico in tale prospettiva.
Sul piano istituzionale, la vicenda potrebbe chiamare in causa le autorità competenti in materia di protezione dati e cybersicurezza – la CNIL (Commission Nationale de l’Informatique et des Libertés), e, per i profili di sicurezza nazionale, l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Sulla base del GDPR, Cegedim era obbligata a notificare la violazione all’autorità competente entro 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza e, nei casi in cui il rischio per gli
interessati è elevato, a informare direttamente le persone coinvolte.
La tempistica tra l’attacco, avvenuto a fine 2025, e la divulgazione pubblica della notizia, avvenuta a febbraio 2026, è un aspetto che le autorità competenti potrebbero essere chiamate a valutare, sebbene al momento non risultino annunci formali di indagini specifiche sulla questione.
Altri casi in Francia
L’episodio non è isolato nel contesto francese. A metà febbraio 2026 era già emersa la notizia di accessi e consultazioni illecite su FICOBA, il file nazionale dei conti bancari, con dati anagrafici e IBAN relativi a 1,2 milioni di posizioni. La sequenza ravvicinata di questi eventi suggerisce la presenza di vulnerabilità strutturali che travalicano il singolo fornitore tecnologico e riguardano più in generale le modalità con cui le organizzazioni, pubbliche e private, progettano e gestiscono le proprie architetture di sicurezza.
Il governo francese ha riconosciuto indirettamente la gravità della situazione, richiamando la necessità di maggiore vigilanza e trasparenza, pur senza entrare nel merito delle misure tecniche adottate o da adottare.
Le criticità degli ecosistemi di software sanitario
Sul piano tecnico, episodi di questa portata riportano al centro del dibattito alcune criticità strutturali tipiche degli ecosistemi di software sanitario distribuiti su larga scala: la concentrazione di dati altamente sensibili in ambienti che richiedono una governance della sicurezza particolarmente rigorosa, la complessità di garantire la cifratura robusta dei dati a riposo e in transito, la difficoltà di monitorare accessi anomali in contesti molto frammentati come quello degli studi medici di piccole dimensioni.
La supply chain del software sanitario rappresenta dunque un perimetro di attacco ampio, che può risultare meno presidiato rispetto alle infrastrutture ospedaliere di grandi dimensioni.
È opportuno precisare che, allo stato attuale, non sono disponibili dettagli tecnici verificati e resi pubblici sulle specifiche vulnerabilità sfruttate nell’attacco a Cegedim.
In Francia e in tutta Europa la sanità è sotto attacco
La vicenda francese offre spunti di riflessione estendibili a tutti i sistemi sanitari digitali europei.
La transizione verso la cartella clinica elettronica diffusa e l’interoperabilità dei dati clinici sono processi in forte accelerazione, portatori di benefici reali per la qualità delle cure.
Affinché questa transizione avvenga in sicurezza, è necessario che la protezione dei dati non sia trattata come un adempimento normativo, ma come un requisito architetturale fondamentale, integrato sin dalla fase di progettazione dei sistemi, secondo il principio del privacy by design sancito dallo stesso GDPR.
