Argomenti trattati
Il mondo della salute digitale ha costruito strumenti che ormai governano servizi nazionali: DHIS2 è impiegato in più di 80 paesi e piattaforme come CommCare assistono operatori sanitari a livello comunitario. Questi risultati sono indiscutibili, ma la loro estensione comporta una nuova responsabilità. Ogni ampia diffusione aumenta la attack surface e mette intere popolazioni nelle mani di pratiche operative e di finanziamento che spesso non prevedono requisiti minimi di protezione.
Le conseguenze sono reali e misurabili. Nel campo dei dati sanitari, una falla non è solo un problema tecnico: è un evento che può compromettere la sicurezza personale, l’accesso al lavoro e la fiducia nel sistema sanitario. In molti casi le vittime delle violazioni non hanno ricevuto notifiche, risarcimenti o percorsi legali efficaci. Questo deficit di tutela è tanto importante quanto la vulnerabilità tecnica che lo ha generato.
Incidenti emblematici e cosa rivelano
Alcuni episodi recenti illustrano la portata del problema. A ottobre 2026 un attore malevolo ha dichiarato di aver sottratto oltre 2,15 terabyte di dati dai server di M-Tiba, incluse informazioni sensibili come nomi, numeri di documento nazionale, date di nascita, recapiti telefonici, diagnosi mediche e fatturazione, con un impatto stimato fino a 4,8 milioni di utenti. La segnalazione ha suscitato un’indagine da parte dell’ufficio di protezione dei dati del Kenya, nonostante l’operatore avesse annunciato di aver ottenuto la certificazione ISO 27001 pochi mesi prima.
Un altro esempio: l’interruzione dei laboratori
A giugno 2026 il gruppo ransomware BlackSuit ha paralizzato il National Health Laboratory Service (NHLS) del Sudafrica dopo che un dipendente ha cliccato un link di phishing. L’NHLS gestisce 265 laboratori e serve circa l’80% della popolazione nazionale: l’attacco ha ritardato circa 6,3 milioni di esami di laboratorio, rallentando diagnostiche cruciali per HIV, TB e mpox. Gli operatori hanno riconosciuto che i sistemi non erano «in grado di contrastare» quell’attacco, nonostante il quadro normativo locale e la presenza di autorità per la protezione dei dati.
Un contesto noto e non affrontato
Le istituzioni internazionali non ignorano la questione. USAID ha riconosciuto la cybersicurezza nel 2026 come una sfida di sviluppo e nelle sue pubblicazioni del 2026 ha ribadito che ogni attività deve considerare la sicurezza come elemento strategico e operativo. Anche i Principles for Digital Development includono un principio dedicato alla privacy e sicurezza. Tuttavia, queste raccomandazioni non si sono tradotte in requisiti vincolanti: non esiste un’apposita voce di budget obbligatoria, non sono imposte verifiche di penetrazione prima del lancio e non è richiesto un audit di sicurezza al termine dei programmi.
Dati sulla vulnerabilità del settore
Rapporti settoriali confermano il problema: il survey NetHope del 2026 ha rilevato che il 66% delle ONG intervistate considerava i propri programmi di sicurezza sottofinanziati e il 65% non si fidava della propria security posture. Il rapporto del 2026 ha segnalato un aumento del 241% degli attacchi informatici contro organizzazioni della società civile tra il 2026 e il 2026. Anche INTERPOL nel suo Africa Cyberthreat Assessment 2026 ha identificato la necessità di rafforzare capacità investigative e di azione nei paesi africani.
Chi paga il prezzo e come cambiare rotta
Le vittime principali sono le popolazioni servite dai sistemi digitali. Nel caso di M-Tiba sono emerse informazioni su status HIV e diagnosi che, in contesti di discriminazione, possono avere conseguenze devastanti. Quando l’NHLS è andato offline, la popolazione che ha subito i maggiori danni è stata quella che si affida al servizio pubblico, senza alternative private. Non risulta che donor o implementatori abbiano ricevuto sanzioni regolatorie o legali: questo vuoto di responsabilità rende le violazioni istituzionali prevedibili.
Per invertire la tendenza occorre agire sulla struttura degli incentivi: la sicurezza deve essere trattata come un requisito strutturale e non come un costo opzionale. Ciò significa introdurre requisiti stringenti di finanziamento, audit indipendenti, test di penetrazione obbligatori e monitoraggio continuo. Modelli collettivi come il programma di protezione digitale di NetHope dimostrano che infrastrutture condivise, intelligence sulle minacce e capacità finanziate possono funzionare; serve però che i donor impongano questi standard.
In sintesi, la soluzione non è meramente tecnica ma organizzativa e finanziaria: servono investimenti sostenuti, controlli indipendenti e responsabilità condivise. Finché la cybersicurezza rimarrà opzionale nei progetti di sviluppo, le vittime saranno sempre le stesse: le persone che quei progetti dovrebbero proteggere.