Violazioni dei dati, Notizie

Dati biometrici, referti medici e coordinate bancarie compromessi in una grave violazione della sicurezza nel settore sanitario

di Pieter Arntz | 19 maggio 2026
informazioni sanitarie digitali

NYC Health + Hospitals (NYC H+H) ha pubblicato un avviso relativo a una violazione dei dati durata diversi mesi, causata da un fornitore terzo, che ha comportato l'esposizione di dati altamente sensibili di pazienti e dipendenti riguardanti almeno 1,8 milioni di persone, tra cui cartelle cliniche, documenti di identità, dati di geolocalizzazione e persino dati biometrici quali impronte digitali e palmari.

Il 2 febbraio 2026, NYC H+H ha rilevato attività sospette e ha successivamente confermato che un soggetto non autorizzato aveva avuto accesso ad alcune parti della propria rete da circa la fine di novembre 2025 fino a febbraio 2026.

Durante questo periodo, gli hacker hanno copiato file contenenti dati personali, medici, finanziari e biometrici. L'incidente è stato segnalato al Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) il 24 marzo 2026 e attualmente coinvolge almeno 1,8 milioni di persone, rendendolo una delle più gravi violazioni nel settore sanitario del 2026 finora.

Presentazione all'HHS

NYC H+H attribuisce l'intrusione a una violazione subita da un fornitore terzo, di cui non è stato reso noto il nome, che aveva accesso ai propri sistemi. Ciò rientra nell'attuale modello di compromissione della catena di approvvigionamento, in cui un fornitore diventa il punto di accesso che consente agli hacker di penetrare nei sistemi o nei dati dei propri clienti.

Casi come questi sono un esempio lampante di come i dati sanitari personali possano alimentare frodi a lungo termine, abusi simili a quelli perpetrati tramite stalkerwaree una perdita definitiva della privacy.

Scansione dell'impronta digitale

Verifica se i tuoi dati personali sono stati divulgati.

Tipi di dati

Secondo l'avviso di NYC H+H e i relativi articoli, il set di dati reso pubblico è insolitamente ampio e dettagliato.

Possiamo suddividere i dati in tre livelli distinti:

  • Dati personali identificativi (PII) tradizionali, che possono essere combinati con altri set di dati oggetto di fuga: nomi completi e recapiti. Identificativi rilasciati dalle autorità pubbliche, tra cui numeri di previdenza sociale, numeri di patente di guida e di passaporto, altri numeri di identificazione rilasciati dalle autorità pubbliche, codici fiscali e codici PIN di protezione dell'identità dell'IRS. La violazione ha inoltre reso accessibili dati relativi a fatturazione e pagamenti, oltre a dati bancari e relativi alle carte di credito, che possono essere utilizzati per furti finanziari diretti e tecniche di ingegneria sociale altamente convincenti.
  • Dati medici e assicurativi: diagnosi dettagliate, elenchi di farmaci e risultati di esami possono rivelare condizioni di salute che le persone avrebbero preferito tenere nascoste ai datori di lavoro, ai familiari o alle compagnie assicurative, aprendo la strada a ricatti, truffe mirate e discriminazioni. I dati assicurativi e relativi ai sinistri possono essere utilizzati in modo improprio per presentare richieste di risarcimento fraudolente, dirottare i rimborsi o assumere l'identità di altre persone nei sistemi sanitari.
  • Dati biometrici: sono sensibili almeno quanto la storia clinica, poiché tendono a rimanere con noi per tutta la vita. Non sono facili da cancellare o sostituire. Una volta compromessi, i grandi database biometrici diventano un rischio a lungo termine per tutti coloro che li utilizzano come identificatori affidabili.

Purtroppo, questo fenomeno rientra in un quadro più ampio. L'Internet Crime Complaint Center (IC3) dell'FBI riferisce che nel 2025 il settore sanitario è stato quello più colpito dagli attacchi ransomware tra le infrastrutture critiche, con 460 episodi di ransomware e 182 violazioni dei dati sanitari segnalate.

Il solo attacco ransomware ai danni di Change Healthcare ha reso pubblici i dati sanitari e di fatturazione di oltre 190 milioni di americani, mettendo in evidenza come un singolo intermediario nel settore sanitario possa compromettere l'intero sistema.

Cosa fare se sei coinvolto

Se avete avuto contatti con NYC Health + Hospitals, è possibile che i vostri dati personali siano stati compromessi.

NYC Health + Hospitals mette a disposizione, tramite Kroll Information Assurance, LLC, servizi di prevenzione e mitigazione del furto d'identità, compreso il monitoraggio del credito, per un periodo di 24 mesi e a titolo gratuito per tutte le persone che hanno lavorato per NYC Health + Hospitals o che sono state pazienti dell'ente. Per ulteriori dettagli, consultare la nota relativa alla violazione dei dati.

Se pensi di essere statovittima di una violazione dei dati, ecco cosa puoi fare per proteggerti:

  • Verificate le indicazioni fornite dall'azienda.Ogni violazione è diversa, quindi verificate con l'azienda cosa è successo e seguite le indicazioni specifiche fornite.
  • Cambiare la password. È possibile rendere inutile ai ladri una password rubata cambiandola. Scegliete una password forte che non utilizzate per nessun altro motivo. Meglio ancora, lasciate che un gestore di password ne scelga una per voi.
  • Abilital'autenticazione a due fattori (2FA).Se possibile, utilizza una chiave hardware, un laptop o un telefono conforme allo standard FIDO2 come secondo fattore. Alcune forme di 2FA possono essere oggetto di phishing con la stessa facilità delle password, ma la 2FA che si basa su un dispositivo FIDO2 non può essere oggetto di phishing.
  • Fate attenzione ai truffatori.I criminali potrebbero contattarvi fingendo di essere la piattaforma vittima dell'attacco. Controllate il sito web ufficiale per verificare se sta contattando le vittime e accertatevi dell'identità di chiunque vi contatti tramite un canale di comunicazione diverso.
  • Prendete tempo. Gli attacchi di phishing spesso impersonano persone o marchi conosciuti e utilizzano temi che richiedono un'attenzione urgente, come mancate consegne, sospensioni di account e avvisi di sicurezza.
  • Valuta la possibilità di non memorizzare i dati della tua carta. È sicuramente più comodo lasciare che i siti memorizzino i dati della tua carta, ma aumenta il rischio in caso di violazione da parte del rivenditore.
  • Impostail monitoraggio dell'identità, che ti avvisa seletueinformazioni personalivengono scambiate illegalmente online e ti aiuta a recuperarle in seguito.

Ammettiamolo, una finestra in incognito ha i suoi limiti.

Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità. 

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Truffe
La truffa del pacco di carne di Aldi

Facebook promette confezioni di carne a basso costo di Aldi, ma ruba invece i dati di pagamento

Maggio 19, 2026

Un'offerta fasulla di Aldi relativa a una "confezione di carne", che sta circolando su Facebook le vittime a fornire i propri dati personali e di pagamento.

AI
Rilevamento YouTube

YouTube il tuo volto per combattere deepfakes

Maggio 19, 2026

Il "rilevamento delle somiglianze" promette protezione dai deepfakes generati dall'intelligenza artificiale, ma alcuni creatori sono riluttanti a fornire i propri dati biometrici in cambio.

Notizie
ricordare le password

Microsoft sta modificando il comportamento Edgerelativo alle password in chiaro

Maggio 18, 2026

Le password salvate in Microsoft Edge non Edge più in memoria in chiaro per tutta la durata della sessione del browser, dopo che un ricercatore ha sollevato alcune preoccupazioni.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe