Cyberattacco a Cerballiance: email “sospette” ma vere, nel mirino i dati dei pazienti via un fornitore IT

Un’email o un SMS che cita Cerballiance, parla di “accesso non autorizzato” e invita a cambiare password: istinto immediato, pensare al phishing. Questa volta, il messaggio potrebbe essere autentico. Il network francese di laboratori Cerballiance ha confermato di essere stato colpito da un cyberattacco e di aver avviato comunicazioni verso le persone potenzialmente coinvolte.

L’episodio risale a marzo 2026 e arriva in un momento già delicato: Cerballiance era finita nel mirino anche nella primavera 2025. L’azienda assicura di aver allertato le autorità e di aver attivato un monitoraggio continuo dei sistemi. Nel caso 2026, sostiene che i dossier medici non siano stati compromessi. Ma la vicenda riaccende un tema che riguarda tutta la sanità digitale, in Francia come in Italia: la dipendenza dai fornitori informatici e la protezione dei dati sanitari.

Marzo 2026: l’intrusione passa da un fornitore esterno

Il punto chiave, nella ricostruzione di Cerballiance, è che l’attacco di marzo 2026 avrebbe coinvolto unprestataire informatique, cioè un fornitore IT esterno, diverso da quello colpito nel 2025. Tradotto: l’ingresso non avviene necessariamente dai server “centrali” del laboratorio, ma può passare da un anello della catena in outsourcing, talvolta meno isolato o meno sorvegliato.

Il gruppo riferisce di aver attivato un sistema di sorveglianza continua per intercettare attività anomale e limitare eventuali propagazioni. In questi casi, la priorità è individuare il punto d’accesso (account compromesso, vulnerabilità software, credenziali di terze parti) e capire l’estensione dell’incidente: quali ambienti sono stati toccati, cosa dicono i log, se ci sono state estrazioni di dati.

Autorità allertate: CNIL, ANSSI e ARS, oltre alla polizia

Cerballiance dichiara di aver notificato l’incidente allaCNIL, l’autorità francese per la privacy (l’equivalente del Garante italiano), e ad altri organismi tra cui l’ANSSI, l’agenzia nazionale francese per la cybersicurezza, e leARS, le Agenzie regionali di sanità che coordinano la governance sanitaria sul territorio. È stato presentato un esposto alle forze dell’ordine.

È la classica “catena” di gestione della crisi: obblighi di notifica, coordinamento tecnico e profilo penale. Non è solo burocrazia: tempi e qualità delle informazioni trasmesse possono pesare nella valutazione complessiva del caso.

Nella comunicazione pubblica, Julien Le Bescond, direttore marketing, parla di un problema risolto rapidamente. Un messaggio rassicurante, ma con una precisazione importante: il ripristino dei servizi non coincide automaticamente con la certezza che l’accesso non autorizzato sia stato circoscritto. Le analisi forensi possono richiedere giorni o settimane.

Il precedente del 2025: dati sensibili e rischio truffe “su misura”

La vicenda del 2025 è quella più pesante per tipologia di informazioni citate. All’epoca, Cerballiance aveva avvisato i pazienti invitandoli a cambiare password e a prestare attenzione. Tra i dati menzionati figuravano informazioni anagrafiche, identificativi di accesso e anche elementi più delicati come ilnumero di sicurezza sociale(paragonabile, per impatto, al nostro codice fiscale in molte dinamiche di identificazione) e alcunireferti di analisi.

Il rischio non è soltanto l’accesso a un portale di risultati. Il pericolo concreto è l’“effetto puzzle”: nome, contatti, dati assicurativi e talvolta informazioni sanitarie possono essere combinati per costruire raggiri credibili, contro persone fragili. È lo stesso schema visto in molte campagne di truffa anche in Italia: più il profilo è completo, più l’inganno sembra vero.

Cerballiance ha dichiarato che, a quel punto, non risultavano prove di un riutilizzo dei dati. Una formula frequente, perché l’uso reale spesso emerge solo quando qualcuno denuncia una frode. E non sempre succede subito: i dati possono circolare e “riemergere” mesi dopo, quando diventano utili per nuove campagne.

600 siti e 28 milioni di pazienti: una superficie d’attacco enorme

Cerballiance rivendica circa600 sitie28 milioni di pazientil’anno, tra Francia metropolitana e territori d’oltremare. Numeri che raccontano una sanità sempre più industriale e digitale: prenotazioni, referti online, fatturazione, scambi con il sistema assicurativo. Più la rete è grande, più diventa complessa la mappa degli accessi.

In un ecosistema così distribuito, l’IT non è un blocco unico: software clinici, portali pazienti, strumenti HR, servizi di posta, hosting, integrazioni storiche. Ogni livello aggiunge credenziali, permessi e flussi. E gli attaccanti cercano la porta più facile, non quella più “nobile”.

C’è poi un effetto collaterale: quando circola una comunicazione ufficiale via email o SMS, diventa un modello perfetto per i truffatori. Copiano tono e grafica, inseriscono un link malevolo e sfruttano la confusione. Anche se Cerballiance invia un messaggio legittimo, può partire subito dopo un’ondata di falsi messaggi “in scia”.

Fornitori terzi, il punto debole che torna anche nel 2026

Il dettaglio più significativo del 2026 è proprio la chiamata in causa di un fornitore diverso rispetto al 2025. È una fotografia realistica: molte organizzazioni sanitarie esternalizzano pezzi cruciali (hosting, manutenzione, autenticazione, comunicazioni con i pazienti). In questo modello, la sicurezza dipende da contratti, audit, clausole e dalla capacità di verificare davvero ciò che viene applicato.

Quando l’incidente riguarda un terzo, la gestione si complica: log e ambienti non sono sempre sotto controllo diretto. La priorità diventa riprendere il governo degli accessi: reset delle credenziali, revisione dei permessi, taglio delle connessioni rischiose e ripartenza graduale. Cerballiance parla di sorveglianza rafforzata, coerente con questo approccio.

Per i cittadini, l’effetto immediato è uno: aumentare l’attenzione alle richieste anomale. Telefonate che chiedono dati personali “per verifiche”, SMS che promettono rimborsi, email che spingono a pagare importi insoliti. E se si assiste un familiare anziano, la prudenza deve raddoppiare: sono spesso i bersagli preferiti.

Perché la sanità è un bersaglio e cosa può fare il paziente

La sanità attira i cybercriminali per un motivo semplice: il valore dei dati. Un’identità completa con contatti e informazioni amministrative, e talvolta elementi clinici, vale più di un semplice indirizzo email nei circuiti illegali. E la biologia medica gestisce volumi enormi e contatti frequenti con i pazienti: un terreno appetibile.

Nel caso 2026, Cerballiance sostiene che idossier medicinon siano stati compromessi, riducendo il rischio di esposizione di informazioni cliniche. Ma anche una fuga “solo” amministrativa può alimentare molestie, tentativi di takeover degli account e furti d’identità. Per truffare non serve conoscere una diagnosi: spesso basta un numero e un contatto.

La linea pratica, senza paranoia, è igiene digitale: cambiare password se si riceve una notifica ufficiale, usare password uniche, attivare l’autenticazione a due fattori quando disponibile, evitare di inserire credenziali partendo da link ricevuti via SMS o email. Se un messaggio mette fretta, minaccia o chiede pagamenti, fermarsi e verificare passando dai canali abituali.

Per Cerballiance, e per tutti i grandi operatori che maneggiano dati sensibili, la posta in gioco è la fiducia. Le notifiche alle autorità sono un passaggio obbligato; la sfida vera è ridurre la ripetizione degli incidenti. Due episodi in meno di due anni, anche con fornitori diversi, restano impressi nella memoria del pubblico e alzano l’asticella delle aspettative sulla sicurezza.