Attacchi ransomware, NIS2 ed “effetto filiera”: il caso di Radix in Svizzera

Può sembrare strano, ma guardare fuori dall’Europa può essere molto utile per capire i reali impatti delle nuove normative europee in tema di cyber security. Il caso è stato segnalato direttamente dal governo svizzero con un comunicato stampa e riguarda un attacco ransomware che ha preso di mira Radix, fondazione privata attiva nel settore della sanità.

L’organizzazione, lo scorso 16 giugno, ha subito un attacco che ha portato alla crittografia dei dati suoi sistemi e a un cospicuo furto di dati da parte del gruppo ransomware Sarcoma.

Alla scadenza dell’ultimatum intimato a Radix, i cyber criminali hanno pubblicato 1,3 terabyte di dati, in parte provenienti da alcuni enti della Confederazione Svizzera.

Per le organizzazioni europee, la vicenda è un esempio cristallino dell’impatto che può avere una violazione dei sistemi alla luce delle previsioni della normativa NIS2 in tema di supply chain.

L’ennesimo attacco al settore sanitario

Aziende ed enti del settore sanitario sono ormai tra i più bersagliati da parte dei gruppi ransomware. Secondo una ricerca pubblicata nel 2025 da Black Kite, gli attacchi diretti alle organizzazioni attive nell’healthcare sono aumentati del 32% in un anno. Se nel 2023 la sanità era al settimo posto nella speciale graduatoria dei settori più bersagliati dagli attacchi dei cyber criminali, alla luce degli ultimi dati si piazza in terza posizione.

Le ragioni di questo accanimento sono legate alle strategie adottate dalle gang dedite alle tecniche estorsive, che considerano le organizzazioni del settore come maggiormente vulnerabili ai loro attacchi.

Questo sia a causa del notevole impatto che può avere a livello operativo il blocco dei sistemi, sia per il fatto che un data breach comporta invariabilmente l’esposizione di dati estremamente sensibili relativi a pazienti e operatori del settore, che aumentano la pressione sulla vittima e le probabilità che ceda al ricatto.

Il “sito di rappresentanza” sul Dark Web del gruppo Sarcoma.

La tecnica della doppia estorsione, cioè la richiesta di un primo riscatto per ottenere la chiave crittografica che consente di sbloccare i sistemi e un secondo per impedire che i dati sottratti vengano pubblicati online, è proprio una delle specificità del gruppo Sarcoma, che secondo i dati di RansomFeed nel 2025 ha già messo a segno ben 58 attacchi.

Dopo aver pubblicato la rivendicazione dell’attacco a Radix sul suo sito di rappresentanza nel Dark Web, i pirati informatici hanno dato seguito alle loro minacce pubblicando un link che permette il download dei dati sottratti.

Il nodo della supply chain e il legame con NIS2

Il caso di Radix rientra nella classica definizione di “attacco di filiera”. Anche se la violazione dei sistemi della fondazione non ha permesso ai cyber criminali di accedere ai sistemi degli enti pubblici svizzeri, l’esfiltrazione dei dati ha coinvolto documenti e informazioni che erano stati condivisi con la vittima.

Uno scenario che è alle fondamenta delle previsioni della direttiva NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138. La normativa, infatti, fa riferimento in più parti alla gestione del rischio relative a “un elemento sistemico della catena di approvvigionamento”.

La direttiva impone obblighi stringenti ad aziende ed enti pubblici, richiedendo loro di adottare misure tecniche, operative e organizzative adeguate a gestire i rischi per la sicurezza delle reti e dei sistemi informativi, inclusi quelli derivanti dai fornitori e dai partner esterni.

In particolare, NIS2 evidenzia la necessità di valutare e monitorare la sicurezza dell’intera catena di approvvigionamento digitale, considerando anche le vulnerabilità introdotte da terze parti.

In caso di incidenti che coinvolgono la supply chain, le organizzazioni possono essere ritenute direttamente responsabili se non hanno messo in atto misure di prevenzione e controllo adeguate.

Si tratta, probabilmente, di una delle innovazioni più apprezzabili a livello della normativa nell’ambito della sicurezza informatica.

L’aumento della superficie di attacco determinato dall’interazione con partner, clienti e fornitori rappresenta, infatti, uno degli aspetti più sensibili nella definizione della postura di cyber security all’interno di qualsiasi organizzazione.

Cosa si rischia in caso di inadempimento

A rendere particolarmente stingente la normativa, sono le sanzioni previste dall’articolo 38 del Decreto Legislativo. Oltre al livello pecuniario, è prevista infatti una ricaduta sui vertici delle aziende e degli enti pubblici interessati dalla normativa. Per questi soggetti, è prevista infatti “l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto”.

In altre parole, l’amministratore delegato (o il rappresentante legale) vengono sospesi temporaneamente dalle loro funzioni.

È bene tenere presente, però, che questo tipo di sanzioni non sono erogate automaticamente in caso di un data breach.

Non si tratta, cioè, di una conseguenza diretta di una violazione dei dati, ma di una sanzione che scatta nel momento in cui sia stata riscontrata un’inadempienza relativa alla legge.

L’impatto nel caso Radix e il futuro in Svizzera

Per fortuna di Radix (e degli enti pubblici coinvolti nella vicenda) la normativa svizzera, anche se in alcune sue parti ricalca già alcuni aspetti della NIS2, non prevede ancora questo tipo di sanzioni. Non essendo parte della UE, la Svizzera non è infatti vincolata al recepimento della direttiva.

La Confederazione Svizzera, però, ha previsto una roadmap di allineamento alla direttiva europea, che dovrebbe arrivare a compimento nel 2027 dopo una serie di revisioni legislative affidate al parlamento e un’eventuale referendum per la sua approvazione.

Una scelta, spiegano gli esperti elvetici, che è dettata sia dalla necessità di rispettare la direttiva nei rapporti economici con aziende ed enti pubblici europei, sia dalla consapevolezza che NIS2, in questo momento, è considerata lo stato dell’arte a livello normativo per la regolamentazione nell’ambito della sicurezza informatica di enti pubblici e imprese strategiche.