Proteggere reti pubbliche e dati sanitari con verifica continua, minimo privilegio e governance delle identità
La sicurezza delle reti pubbliche e sanitarie non può più basarsi soltanto sull’idea di un perimetro da difendere. La diffusione del cloud, del lavoro distribuito, delle piattaforme di interoperabilità, dei dispositivi mobili, della telemedicina e delle applicazioni connesse ha reso meno utile la distinzione tradizionale tra “interno sicuro” ed “esterno pericoloso”. In questo scenario, l’architettura zero trust si sta affermando come uno dei modelli più solidi per ripensare la cybersecurity di amministrazioni e strutture sanitarie: non fidarsi automaticamente di utenti, dispositivi o applicazioni solo perché si trovano dentro la rete, ma verificare in modo continuo identità, contesto, autorizzazioni e comportamento.
Per una regione come la Sardegna, questo tema ha una rilevanza concreta. La digitalizzazione della PA, l’integrazione dei sistemi sanitari, la circolazione di dati clinici sensibili, l’uso di servizi cloud e la crescente esposizione al rischio cyber richiedono modelli di protezione più granulari e più coerenti con i nuovi ecosistemi digitali. In questa prospettiva, lo zero trust si collega in modo diretto alla Priorità P8, perché rafforza infrastrutture digitali, servizi pubblici e protezione dei dati, ma ha ricadute anche sulla capacità amministrativa e sulla qualità delle decisioni organizzative. Non è soltanto una scelta tecnica: è una diversa cultura di governo degli accessi, delle identità e dei rischi.
- Perché lo zero trust cambia il modo di proteggere PA e sanità
- Identità digitali, autenticazione forte e minimo privilegio
- Segmentazione, micro-perimetri e verifica continua
- Zero trust in sanità: cartelle cliniche, telemedicina e dati sensibili
- Zero trust nella PA: interoperabilità, servizi digitali e accessi amministrativi
- NIS2, protezione dei dati e policy di accesso
- Una prospettiva di lungo periodo per la fiducia digitale
Perché lo zero trust cambia il modo di proteggere PA e sanità
L’idea centrale dello zero trust è semplice ma radicale: nessun accesso dovrebbe essere considerato affidabile per definizione. Un utente che opera da una rete interna, un dispositivo già registrato o un’applicazione nota non devono ricevere fiducia implicita solo per la loro posizione o appartenenza apparente. Il modello zero trust richiede invece che ogni richiesta di accesso a una risorsa sia valutata in base a identità, dispositivo, contesto, sensibilità del dato e policy definite dall’organizzazione.
Questo approccio è particolarmente adatto alla PA e alla sanità perché entrambe operano in ecosistemi digitali ormai molto distribuiti. Le amministrazioni usano portali, piattaforme documentali, servizi cloud, identità federate, interoperabilità tra enti e applicazioni verticali; il settore sanitario integra cartelle cliniche elettroniche, laboratori, immagini diagnostiche, sistemi di prescrizione, piattaforme di telemedicina e dispositivi medici connessi. In entrambi i casi, difendere solo il confine della rete non basta più.
Secondo il NIST, lo zero trust non si concentra sul perimetro di rete ma sulla protezione delle singole risorse, e nega la fiducia implicita basata sulla sola posizione fisica o logica del soggetto che richiede accesso. Questo cambio di prospettiva è il cuore stesso della Zero Trust Architecture e spiega perché il modello sia diventato così rilevante per organizzazioni pubbliche e sanitarie.
Per il settore sanitario europeo, il tema è ancora più urgente perché la superficie di attacco è cresciuta rapidamente e gli incidenti cyber hanno mostrato effetti diretti su continuità assistenziale, disponibilità dei servizi e tutela dei dati. Lo zero trust, in questo contesto, non è una moda architetturale: è una risposta strutturale a una rete che non può più essere governata come un castello con un solo fossato.
Identità digitali, autenticazione forte e minimo privilegio
Nel modello zero trust, il primo elemento da governare è l’identità. Se ogni accesso deve essere verificato, allora il sistema deve sapere con precisione chi sta chiedendo accesso, con quale ruolo, da quale dispositivo e per quale finalità. Questo rende la gestione delle identità digitali il pilastro operativo dell’intera architettura.
Per la PA questo significa presidiare in modo rigoroso dipendenti, dirigenti, fornitori, account applicativi, amministratori di sistema e utenti interni con privilegi elevati. In sanità il quadro è ancora più delicato, perché i profili di accesso possono riguardare medici, infermieri, tecnici, amministrativi, farmacisti, operatori di telemedicina, manutentori e partner esterni, ciascuno con esigenze molto diverse. Uno zero trust maturo non assegna diritti generici e permanenti, ma applica il principio del minimo privilegio: ogni soggetto accede solo alle risorse strettamente necessarie e per il tempo necessario.
Qui entrano in gioco strumenti come autenticazione multifattore, federazione delle identità, conditional access, gestione dei privilegi elevati e provisioning/deprovisioning più rigoroso degli account. Il valore non è solo tecnico: una buona governance delle identità riduce il rischio di account orfani, privilegi eccessivi, accessi laterali e uso improprio di credenziali condivise, problemi ancora molto diffusi tanto negli enti pubblici quanto nelle organizzazioni sanitarie.
Il modello di maturità pubblicato da CISA insiste proprio su questo punto, collocando l’identity pillar al centro del percorso zero trust e collegandolo a dispositivi, rete, applicazioni, dati, governance e automazione. La lezione è molto chiara: senza una gestione robusta delle identità, lo zero trust resta uno slogan e non un’architettura. Per questo le policy di accesso devono essere trattate come una componente strategica dell’organizzazione, non come una semplice impostazione tecnica.
Segmentazione, micro-perimetri e verifica continua
Un secondo pilastro dello zero trust riguarda la segmentazione. Nelle architetture tradizionali, una volta superato il confine esterno della rete, un utente o un dispositivo può spesso muoversi con relativa libertà tra sistemi diversi. Questo modello è particolarmente vulnerabile ai movimenti laterali degli attaccanti: una credenziale compromessa o un endpoint infetto possono diventare il punto di partenza per raggiungere dati, server o applicazioni molto più sensibili.
Lo zero trust affronta questo problema costruendo micro-perimetri e controlli più granulari. In pratica, non si protegge un’unica rete “interna”, ma si segmentano servizi, ambienti, applicazioni e classi di dati secondo livelli di criticità differenti. In una rete sanitaria, ad esempio, i sistemi di imaging, la cartella clinica, i database di laboratorio, le postazioni amministrative e i dispositivi biomedici non dovrebbero stare nello stesso piano di fiducia. Nella PA, i servizi documentali, i sistemi finanziari, le piattaforme anagrafiche e gli ambienti di interoperabilità dovrebbero essere isolati e protetti con criteri diversi.
Questa segmentazione deve essere accompagnata da verifica continua. L’accesso non si valuta una sola volta all’inizio della sessione: il contesto può cambiare, il dispositivo può diventare non conforme, il comportamento può diventare anomalo, la richiesta può spostarsi verso dati più sensibili. Lo zero trust, quindi, non è solo autenticazione forte, ma anche controllo dinamico del rischio in corso d’opera.
Nella pratica, ciò comporta anche un maggiore uso di telemetria, logging, policy basate sul contesto e strumenti di rilevazione delle anomalie. La rete non è più soltanto un mezzo di trasporto dei dati, ma un ambiente osservabile in cui ogni accesso può essere rivalutato. Per questo lo zero trust richiede non solo tecnologia, ma una capacità organizzativa di leggere segnali e aggiornare regole in modo continuo.
Zero trust in sanità: cartelle cliniche, telemedicina e dati sensibili
Nel settore sanitario, lo zero trust ha una funzione particolarmente delicata perché deve conciliare due esigenze forti: proteggere dati sensibili e continuità clinica senza ostacolare la tempestività dell’assistenza. Un sistema troppo rigido può intralciare il lavoro dei professionisti; un sistema troppo permissivo espone cartelle cliniche, referti, immagini, prescrizioni e piattaforme di telemedicina a rischi difficili da gestire.
Le strutture sanitarie sono oggi tra i bersagli più esposti. ENISA segnala che, nel proprio threat landscape dedicato alla salute, il ransomware rappresenta la minaccia principale per il settore e che ospedali e healthcare providers sono stati colpiti in misura particolarmente alta. Questo dato aiuta a capire perché non basti più difendere la sola rete ospedaliera: serve una protezione che segua il dato clinico, l’identità del professionista e il contesto dell’accesso.
Applicare lo zero trust in sanità significa, per esempio, differenziare in modo rigoroso gli accessi al fascicolo clinico, ai sistemi di imaging, alle piattaforme di telemonitoraggio, ai repository documentali e ai servizi di interoperabilità. Significa verificare che il dispositivo usato sia conforme, che il professionista stia operando nel contesto corretto, che il livello di accesso sia coerente con il ruolo e che i log consentano di ricostruire chi ha consultato cosa. Nei percorsi di telemedicina, questa disciplina diventa ancora più importante perché i dati possono transitare tra dispositivi domestici, piattaforme regionali, specialisti e servizi territoriali.
In questo senso, lo zero trust è anche una forma di protezione della relazione di cura. Non serve solo a evitare l’intrusione, ma a mantenere la fiducia del paziente nel fatto che i suoi dati più sensibili sono accessibili solo a chi ne ha reale bisogno e in condizioni tracciabili, sicure e proporzionate.
Zero trust nella PA: interoperabilità, servizi digitali e accessi amministrativi
Nella pubblica amministrazione, lo zero trust assume una forma leggermente diversa ma altrettanto rilevante. Gli enti pubblici devono integrare identità interne, fornitori, sistemi legacy, piattaforme di interoperabilità, servizi al cittadino, ambienti cloud e basi dati che spesso nascono in tempi e contesti diversi. In questo scenario, il rischio maggiore non deriva solo dall’attacco esterno, ma anche dalla complessità interna: privilegi accumulati, accessi non più giustificati, interfacce tra sistemi poco presidiate, account tecnici opachi e difficoltà di controllo sugli scambi applicativi.
Uno zero trust ben progettato aiuta a rimettere ordine in questa complessità. Significa associare ogni accesso a un’identità forte, segmentare gli ambienti in base alla sensibilità delle funzioni, proteggere i flussi tra enti e piattaforme, applicare regole differenziate per operatori interni e soggetti esterni, monitorare accessi anomali e rendere più leggibile il rapporto tra ruoli amministrativi e diritti digitali.
Questo è particolarmente utile nei servizi che trattano dati ad alta sensibilità o che incidono direttamente su diritti e prestazioni: welfare, tributi, anagrafi, SUAP, sanità, giustizia amministrativa, protezione civile. In tutti questi casi, la trasformazione digitale produce valore solo se accompagnata da una forte disciplina dell’accesso. Una piattaforma interoperabile che semplifica i flussi ma non controlla bene chi può vedere o modificare dati sensibili rischia di generare una nuova vulnerabilità invece di un miglioramento reale.
Per la PA, dunque, lo zero trust è anche uno strumento di capacity building: costringe a chiarire responsabilità, ruoli, modelli autorizzativi e policy di integrazione. In questo senso, cybersecurity e capacità amministrativa non sono due temi separati, ma due facce della stessa maturità istituzionale.
NIS2, protezione dei dati e policy di accesso
Il quadro normativo europeo rafforza ulteriormente l’importanza di architetture e policy coerenti con lo zero trust. La NIS2 richiede alle entità dei settori coperti di adottare misure di gestione del rischio cyber, includendo aspetti come sicurezza delle reti e dei sistemi informativi, gestione degli incidenti, continuità operativa, sicurezza della supply chain e pratiche di cyber hygiene. Anche quando il termine “zero trust” non è esplicitamente imposto, il tipo di controllo richiesto dalla direttiva è pienamente compatibile con questo approccio: più disciplina sugli accessi, più segmentazione, più tracciabilità, più capacità di rilevare e contenere.
Sul piano della protezione dei dati, il tema è altrettanto forte. Le architetture zero trust possono aiutare molto nel trattamento dei dati sensibili perché riducono la fiducia implicita, limitano i privilegi, separano gli ambienti e rafforzano i log. Questo è particolarmente importante in sanità, dove il dato personale è anche dato clinico, e nella PA, dove informazioni anagrafiche, fiscali o sociali richiedono criteri di accesso proporzionati e verificabili.
Le policy di accesso diventano quindi un elemento centrale. Devono definire non solo chi può accedere, ma secondo quali condizioni, da quali dispositivi, in quali fasce temporali, con quali livelli di approvazione e con quali meccanismi di revoca o escalation. Una policy zero trust efficace non è un documento generico, ma una grammatica operativa che orienta IAM, sistemi di autenticazione, segmentazione di rete, logging, API, strumenti di telemetria e procedure organizzative.
In questo senso, lo zero trust non sostituisce né la compliance né la protezione dei dati. Le rende più attuabili, perché traduce principi giuridici e di sicurezza in una struttura concreta di controlli, verifiche e decisioni.
Una prospettiva di lungo periodo per la fiducia digitale
Lo zero trust per PA e sanità non è una tecnologia singola né un prodotto da acquistare. È un modello architetturale e organizzativo che richiede tempo, regia e gradualità. Non si implementa in un’unica soluzione, ma attraverso un percorso che parte dalla mappatura delle identità, passa per la segmentazione, rafforza l’autenticazione, migliora i log, integra policy contestuali e costruisce una cultura della verifica continua.
Per la Sardegna, questo approccio può rappresentare una leva importante di maturazione digitale. Nella sanità può proteggere meglio i dati clinici, sostenere telemedicina e interoperabilità e ridurre l’esposizione di strutture e professionisti. Nella PA può rafforzare servizi digitali, integrazioni tra enti e affidabilità dei sistemi che sostengono funzioni pubbliche essenziali. In entrambi i casi, il valore non è solo difensivo: è una condizione per rendere la digitalizzazione più credibile, più sostenibile e più degna di fiducia.
Nel lungo periodo, la vera differenza non la farà il numero di strumenti adottati, ma la capacità del territorio di trattare identità, accessi e dati come una infrastruttura di responsabilità. È qui che la cybersecurity smette di essere un tema esclusivamente tecnico e diventa una componente della qualità istituzionale e della protezione concreta dei diritti.
