L’ultima ricerca TrendAI™ rivela un’economia globale sommersa costruita intorno ai dati rubati dei pazienti, che comprende anche tecniche di estorsione ransomware e trading degli accessi
Milano, 7 luglio 2026 – I dati sanitari rubati sono ormai al centro di un’economia sommersa matura che comprende gruppi cybercriminali esperti di ransomware, broker specializzati in accessi, marketplace fraudolenti e rivenditori di credenziali. Il dato emerge da “The Cybercriminal Underground: Mapping the Healthcare Data Economy”, l’ultima ricerca TrendAI™, leader globale di AI security e business unit di Trend Micro™.
Nell’ultimo anno, i ricercatori TrendAI™ hanno analizzato 7.779 post all’interno di forum underground, 21.813 elenchi di marketplace e 95 siti ransomware specializzati in esfiltrazioni e collegati ad attività cybercriminali nel settore sanitario. I risultati indicano chiaramente che i dati sanitari rimangono una delle commodity a maggior valore nei mercati cybercriminali, a causa dell’importanza che conservano nel tempo, della loro sensibilità e della capacità di supportare più forme di frode contemporaneamente.
Lo studio indica che i cybercriminali ricorrono sempre più spesso a tecniche di crittografia insieme al furto di dati e all’estorsione, e che un terzo (36,3%) delle attività underground si concentra sulla vendita di dati associati a ransomware. I ricercatori hanno anche scoperto che i produttori di cartelle cliniche elettroniche sono diventati un nuovo target per i criminali, poiché una singola violazione espone centinaia di organizzazioni sanitarie.
I dati sanitari si sono evoluti da semplici informazioni rubate ad asset criminali a lungo termine. A differenza di una carta di credito, le diagnosi, la cronologia dei trattamenti o i dati biometrici di un paziente non possono essere cancellati e riemessi. Questo rende le organizzazioni sanitarie particolarmente attraenti per i gruppi cybercriminali.
Lo studio evidenzia anche la crescente industrializzazione del cybercrime, con mercati underground che offrono di tutto, come l’accesso alla rete ospedaliera, ai dati assicurativi, a set di dati medici completi e a documentazione falsa.
Si tratta di un’economia sommersa matura costruita attorno all’assistenza sanitaria. I broker che si dedicano all’accesso iniziale, i gruppi ransomware, i venditori di credenziali e gli specialisti di frodi ora operano come parte di una supply chain interconnessa, progettata per monetizzare ripetutamente e su larga scala i dati dei pazienti.
Le compromissioni della supply chain che coinvolgono i fornitori di software sanitario e le piattaforme mediche sono ormai un importante moltiplicatore di rischio per l’intero settore, poiché consentono ai cybercriminali di espandere le operazioni oltre i singoli ospedali o le cliniche.



