Violazione dei dati di iRhythm di giugno 2024: cosa devono sapere i pazienti cardiopatici

Violazione dei dati di iRhythm di giugno 2024: cosa devono sapere i pazienti cardiopatici

iRhythm Technologies, azienda produttrice di dispositivi medici nota per i suoi cerotti di monitoraggio cardiaco Zio, ha reso noto un incidente di sicurezza informatica legato a un attacco avvenuto nel giugno 2024. La violazione ha comportato un accesso non autorizzato ai dati conservati in alcune applicazioni aziendali ospitate da terze parti, sollevando seri interrogativi su come le informazioni sanitarie sensibili vengano protette negli ecosistemi digitali che supportano i moderni dispositivi medici.

La divulgazione colloca iRhythm in una lista crescente di aziende sanitarie che hanno subito intrusioni non autorizzate non attraverso i propri sistemi clinici principali, ma attraverso la rete di fornitori e piattaforme cloud che le circondano.

Cosa è successo nell’incidente di giugno 2024

Secondo la comunicazione, iRhythm ha rilevato attività non autorizzate che hanno interessato dati conservati su applicazioni aziendali ospitate da terze parti. L’azienda ha attivato il proprio piano di risposta alla sicurezza informatica non appena scoperta la violazione. Le segnalazioni pubbliche indicano che l’attacco è stato identificato l’8 giugno 2024, con la divulgazione formale avvenuta poco dopo.

Le informazioni potenzialmente esposte nella violazione includono dati personali e medici sensibili: numeri di previdenza sociale, numeri di cartella clinica, informazioni diagnostiche e dettagli dell’assicurazione sanitaria. Per i pazienti cardiopatici non si tratta solo di una questione di privacy. È un rischio per l’identità finanziaria e medica. Le cartelle cliniche rubate possono essere utilizzate per fatturare in modo fraudolento le assicurazioni, ottenere farmaci su prescrizione o aprire linee di credito.

Non è il primo incontro di iRhythm con attori malintenzionati che prendono di mira i dati dei suoi pazienti. L’azienda è stata successivamente colpita da un attacco ransomware separato nel 2025 che ha coinvolto ingegneria sociale e una richiesta di riscatto, suggerendo che l’azienda sia rimasta un bersaglio costante per i criminali informatici che considerano i dati dei pazienti cardiopatici particolarmente preziosi.

Perché i dispositivi medici IoT creano rischi unici per la privacy

Il cerotto Zio è un dispositivo di monitoraggio ECG remoto che trasmette dati clinici attraverso un’infrastruttura connessa. Proprio questa connettività lo rende utile ai medici e crea al contempo un’esposizione per i pazienti. Il dispositivo in sé potrebbe non essere il punto debole; le piattaforme di terze parti che archiviano, trasmettono o elaborano i dati generati da questi dispositivi possono introdurre vulnerabilità che né il paziente né il suo medico controllano completamente.

Questo schema è comune a tutti i dispositivi sanitari connessi. Maggiore è il numero di punti di contatto tra i dati sanitari grezzi del paziente e il referto clinico finale, maggiori sono le opportunità per un soggetto non autorizzato di intercettare o esfiltrare tali informazioni. Quadri normativi come l’HIPAA impongono alle entità coperte e ai loro associati d’affari di mantenere misure di salvaguardia, ma la conformità non equivale alla sicurezza e gli audit spesso restano indietro rispetto ai metodi di attacco reali.

Le organizzazioni sanitarie sono sottoposte a una pressione crescente da parte dei criminali informatici almeno dall’importante interruzione di Change Healthcare all’inizio del 2024, che ha mostrato quanto sia realmente interconnessa la catena di fornitura sanitaria. I fornitori di monitoraggio cardiaco come iRhythm si trovano all’interno dello stesso ecosistema.

Cosa significa per te

Se sei un paziente attuale o passato di iRhythm, le tue informazioni potrebbero essere state esposte in questo incidente. Anche se non hai ancora ricevuto una notifica formale, vale la pena adottare subito misure precauzionali invece di aspettare.

Innanzitutto, controlla gli estratti conto con la spiegazione dei benefici dell’assicurazione sanitaria per verificare la presenza di servizi o prescrizioni che non hai ricevuto. Il furto di identità medica spesso passa inosservato per mesi perché raramente le vittime controllano i propri documenti assicurativi con la stessa attenzione con cui esaminerebbero un estratto conto bancario.

In secondo luogo, valuta l’opportunità di attivare un blocco del credito presso le principali agenzie di credito. Un numero di previdenza sociale unito ai dati della cartella clinica è sufficiente per aprire nuove linee di credito a tuo nome.

In terzo luogo, sii prudente su come accedi alle tue cartelle cliniche personali online. Accedere ai portali per i pazienti tramite reti Wi-Fi pubbliche non protette espone la tua sessione all’intercettazione. Utilizzare una VPN quando accedi a qualsiasi portale sanitario aggiunge un livello di crittografia tra il tuo dispositivo e la rete, riducendo il rischio che terzi sulla stessa rete possano osservare la tua attività o catturare le credenziali.

Infine, fai attenzione ai tentativi di phishing. Dopo una violazione, gli aggressori spesso utilizzano i dati rubati per creare truffe di follow-up convincenti. Un’email che menziona il tuo vero fornitore di assistenza sanitaria o la tua compagnia assicurativa non è necessariamente legittima.

Azioni concrete da intraprendere

• Controlla la presenza di richieste di rimborso fraudolente nei tuoi documenti assicurativi a partire dalla metà del 2024.
• Congela il tuo credito presso Equifax, Experian e TransUnion se il tuo numero di previdenza sociale potrebbe essere stato esposto.
• Utilizza una VPN ogni volta che accedi a un portale paziente o a una piattaforma di cartelle cliniche, specialmente su reti mobili o pubbliche.
• Attiva l’autenticazione a più fattori su tutti gli account sanitari e assicurativi che la supportano.
• Sii scettico nei confronti di qualsiasi comunicazione che faccia riferimento a iRhythm, alle tue cure cardiache o alla tua assicurazione sanitaria nelle prossime settimane.

La violazione di iRhythm del giugno 2024 è un chiaro promemoria del fatto che i dati personali generati dai dispositivi medici connessi non rimangono ordinatamente all’interno di quei dispositivi. I pazienti che utilizzano strumenti di monitoraggio remoto hanno il diritto di sapere come vengono conservati i loro dati, chi può accedervi e quali protezioni sono in atto quando questi sistemi vengono compromessi. Rimanere informati e adottare misure proattive resta la difesa più efficace a disposizione delle persone coinvolte in violazioni che non avevano il potere di prevenire.