Cyberattacco ad Almerys: esposti numeri di Sécurité sociale, scatta l’allerta truffe in Francia

Un attacco informatico ha colpito Almerys, uno dei principali snodi del “tiers payant” francese: il meccanismo che permette ai pazienti di non anticipare (o anticipare meno) le spese sanitarie grazie all’intervento di assicurazioni e mutue integrative. L’azienda ha confermato una violazione avvenuta a maggio 2026, con esposizione di dati personali di beneficiari.

Non si parla di cartelle cliniche o referti, ma di informazioni amministrative sufficienti a rendere credibili e pericolose le truffe. E mentre le mutue avvertono gli assicurati di possibili SMS e mail “civetta”, sul territorio si registrano anche disagi pratici: la chiusura del portale usato per le autorizzazioni sta rallentando procedure in ottica, dentale e audiologia.

Almerys non ha indicato quante persone siano coinvolte. Ma l’incidente riguarda potenzialmente l’insieme dei clienti che passano dal sito dedicato alle “prises en charge” (PEC), cioè le autorizzazioni di copertura richieste da professionisti e strutture sanitarie.

Portale PEC offline: la misura di contenimento che blocca una parte delle cure

Il punto colpito è il sito che serve a verificare i diritti dell’assistito e ottenere l’ok alla copertura per alcune prestazioni. Almerys sostiene di aver reagito subito per identificare e neutralizzare gli accessi non autorizzati, scegliendo la strada più drastica: mettere offline il portale PEC.

È una mossa tipica nelle crisi cyber: si “chiude il rubinetto” per fermare l’emorragia di dati. Ma il prezzo è operativo. Senza quel canale, molte richieste di autorizzazione diventano più lente, più manuali, più incerte.

I settori più colpiti, secondo l’azienda, sono ottica, audiologia, dentale e alcune procedure ospedaliere. In questi ambiti l’autorizzazione rapida è spesso la chiave per evitare anticipi di spesa o per validare un preventivo: quando lo strumento cade, la domanda diventa immediata e concreta, chi approva, con quali tempi, attraverso quale canale.

Almerys afferma che il resto della macchina continua a funzionare: gestione amministrativa, aggiornamento delle basi dati, trattamento dei flussi e pagamenti delle prestazioni. In altre parole, il “cuore” finanziario del sistema resterebbe attivo, ma una componente essenziale di front office è stata fermata per contenere l’attacco.

Quali dati sono finiti esposti: identità, numero di Sécurité sociale e dettagli di contratto

Le informazioni potenzialmente esposte assomigliano a una scheda anagrafica-amministrativa: nome, cognome, data di nascita e il numero di Sécurité sociale (l’equivalente francese del nostro codice fiscale/identificativo sanitario, usato per l’accesso e la gestione dei diritti).

In più, compaiono elementi di affiliazione: nome dell’assicuratore o della mutua, numero di contratto, date di inizio e fine copertura. Non sono dati clinici, ma sono oro per chi costruisce truffe su misura: con queste informazioni è più facile confezionare comunicazioni che “suonano vere” e spingono la vittima a cliccare su un falso portale o a inviare documenti.

Alcune mutue precisano anche cosa non sarebbe coinvolto: dati bancari, informazioni mediche, dettagli sui rimborsi e varie coordinate (indirizzo postale, telefono, e-mail). È un elemento che riduce alcuni rischi diretti, ma non elimina il pericolo principale: l’ingegneria sociale, cioè la truffa che sfrutta paura e urgenza.

Il copione è noto anche in Italia dopo molte violazioni: “aggiornamento pratica”, “rimborso sospeso”, “nuova tessera”, con richiesta di documenti o link da aprire. Anche se una piattaforma non contiene e-mail o numeri di telefono, i criminali possono incrociare dati acquistati altrove e rendere l’attacco più mirato.

Alan avvisa gli assicurati: coinvolte CNIL e ACPR, indaga anche l’ANSSI

Tra le reazioni più visibili c’è quella di Alan, assicuratore sanitario digitale francese, che ha avvertito i propri clienti dopo l’attacco del 22 maggio: nelle settimane successive è plausibile un aumento di messaggi fraudolenti. Non è prudenza generica: è lo schema più frequente dopo una fuga di dati.

Alan riferisce di aver avviato una denuncia e segnalazioni alle autorità competenti, citando la CNIL (l’autorità francese per la privacy, paragonabile al nostro Garante) e l’ACPR, l’ente che vigila sul settore assicurativo. Il coinvolgimento dell’ACPR segnala che non è solo un problema tecnico: qui entra in gioco un comparto regolato, dove continuità del servizio e protezione dei dati sono sotto osservazione.

Almerys, dal canto suo, dichiara di aver notificato l’incidente alla CNIL e di aver fatto una dichiarazione all’ANSSI, l’agenzia nazionale francese per la sicurezza informatica (un riferimento che, per ruolo, ricorda l’Agenzia per la Cybersicurezza Nazionale in Italia). Resta il nodo dell’ampiezza: al momento non c’è un numero ufficiale di beneficiari coinvolti.

Secondo quanto riportato da BFM TV, l’estensione della fuga non è ancora quantificata, pur essendo confermata l’esposizione. Nell’ecosistema compaiono nomi di gruppi che usano Almerys, come AG2R, mentre MGEN ha dichiarato di non essere interessata dalla violazione. Distinzioni che contano, ma che per il pubblico rischiano di essere poco leggibili: si può condividere un fornitore senza essere colpiti allo stesso modo, a seconda di flussi e perimetri.

Il precedente del 2024 e la vulnerabilità dei “conti legittimi” rubati

Non è la prima volta che Almerys finisce associata a una fuga di dati. Un episodio precedente, nel febbraio 2024, era stato collegato all’uso fraudolento di credenziali di professionisti sanitari: account reali compromessi, usati per entrare nei sistemi come utenti autorizzati.

In quel caso si parlò di 33 milioni di vittime, quasi un francese su due. Anche se ogni incidente ha confini diversi, quel precedente pesa sulla percezione dell’attacco 2026: dopo uno shock simile, ci si aspetta controlli più robusti su autenticazione e rilevamento di accessi anomali.

La dinamica è insidiosa proprio perché “mima” l’uso normale: se un account di un professionista viene rubato, l’attaccante può muoversi senza far scattare subito allarmi. La chiusura del portale PEC, in questo senso, è un segnale forte: si interrompe un servizio quotidiano per fermare un accesso che, almeno per un tratto, è riuscito a passare.

L’episodio si inserisce in un contesto francese di crescita delle violazioni: nelle analisi di settore circola il dato di 8.613 violazioni notificate in un anno, +45%, circa 24 al giorno. Numeri che ricordano anche all’Italia quanto sanità e assicurazioni siano bersagli privilegiati, perché combinano dati sensibili e processi critici.

Tra truffe agli assicurati e rallentamenti per studi e cliniche: cosa succede adesso

Per gli assicurati, il rischio più concreto è ricevere comunicazioni che si spacciano per mutue, assicuratori o operatori del tiers payant. Se nel messaggio compaiono dati corretti, nome, copertura, numero di Sécurité sociale, la truffa diventa più credibile e quindi più efficace.

La regola pratica resta una: diffidare di richieste non sollecitate, non cliccare su link ricevuti via SMS o mail, non inviare documenti da canali non ufficiali. Se arriva un avviso “urgente”, meglio passare dai contatti abituali dell’assicuratore o dall’area clienti ufficiale.

Per i professionisti sanitari, invece, il problema è di flusso: in ottica o audiologia l’autorizzazione può sbloccare la consegna di un dispositivo; in dentale può determinare l’avvio di un trattamento. Se il portale è giù, si passa a procedure alternative promesse da Almerys, più telefonate, più verifiche, più tempi morti, con pazienti che talvolta anticipano, rinviano o restano in attesa.

Almerys assicura che i pagamenti e i servizi essenziali continuano. Ma finché la “porta” delle autorizzazioni non torna stabile, il sistema resta in equilibrio precario: e in sanità, come sappiamo anche in Italia, ogni rallentamento amministrativo finisce per pesare sulla vita reale delle persone.