Cubersecurity Seminars: l'intervista a Francesca Sanna
Nel settore sanitario la trasformazione tecnologica ha ampliato le possibilità di cura, ma anche la superficie di rischio. Secondo l’ultimo Rapporto Clusit, nel 2025 gli attacchi informatici contro le strutture sanitarie hanno superato quota 1.000 casi a livello globale, con una crescita del 30% rispetto all’anno precedente. Sempre più spesso si tratta di attacchi ad alta gravità, progettati per massimizzare l’impatto operativo, economico e reputazionale.
In questo scenario, la cybersecurity non è più una questione tecnica, ma una responsabilità organizzativa e manageriale: riguarda la continuità dei servizi, la protezione dei dati sensibili e, nel caso della sanità, la sicurezza stessa dei pazienti.
Per affrontare questa sfida servono nuove competenze, ma soprattutto una cultura diffusa della sicurezza. Con questo obiettivo nasce Cybersecurity Seminars, il programma promosso dall’Università degli Studi di Milano in collaborazione con la Fondazione Mondo Digitale ETS, con il sostegno di Google.org e Virtual Routes. Il percorso unisce formazione e applicazione pratica: studenti e professionisti mettono le competenze acquisite al servizio di organizzazioni, associazioni e imprese attraverso esperienze sul campo di circa 40 ore.
È in questo contesto che si inserisce l’esperienza di Francesca Sanna, manager sanitaria che ha scelto di portare la cultura della sicurezza informatica nella propria organizzazione, trasformando la formazione in uno strumento concreto di prevenzione.
La storia di Francesca
Sarda d’origine ma residente in Toscana da oltre vent’anni. Con una formazione infermieristica e un percorso accademico che integra scienze psicologiche e management, Francesca è laureata in scienze e tecniche psicologiche e ha conseguito un master in psicologia organizzativa e delle istituzioni. Oggi ricopre il ruolo di Area Manager in un’azienda sanitaria privata. Proprio questa prospettiva multidisciplinare l’ha portata a partecipare al programma Cybersecurity Seminars con l’obiettivo di rafforzare la consapevolezza sui rischi digitali all’interno della propria organizzazione (CerbaHealthCare), promuovendo tra colleghi e collaboratori una cultura della sicurezza sempre più necessaria anche nel settore sanitario.
Nell'intervista realizzata da Alberta Testa, Francesca racconta come la cybersecurity possa diventare uno strumento concreto per migliorare la gestione dei dati e prevenire rischi sempre più diffusi anche nel settore sanitario.
Francesca, il tuo percorso professionale è molto ricco. Puoi raccontarci di cosa ti occupi e come sei arrivata alla cybersecurity?
Sono laureata in infermieristica e per anni ho lavorato come coordinatrice. Dopo il Covid ho fatto un 'salto di qualità' diventando specialist di sistemi di diagnostica da remoto che comunicano con i server centrali degli ospedali. Oggi sono Area Manager in un'azienda sanitaria privata con quattro poliambulatori in Toscana, oltre 20 punti prelievo e due laboratori di analisi. Ho sempre avuto dimestichezza con l’informatica e, avendo un marito che si occupa di sicurezza informatica nazionale, è un tema che respiriamo quotidianamente anche a casa.
Perché hai deciso di iscriverti ai Cybersecurity Seminars pur avendo già una posizione manageriale?
Credo che la formazione sia fondamentale, in primis per chi gestisce l'azienda e poi, a cascata, per i dipendenti. La formazione migliore la può fare chi all'azienda ci tiene davvero. Avevo visto l'esempio di un nostro grosso competitor messo letteralmente in ginocchio da un incidente informatico e volevo evitare che succedesse lo stesso alla mia realtà. Ho preferito seguire un corso altamente professionalizzante per non parlare ai miei dipendenti di cose che io stessa non conoscevo a fondo.
Com’è andata l’esperienza di formazione pratica che hai condotto?
È andata molto bene. Ho dedicato 40 ore alla formazione del personale, utilizzando presentazioni PowerPoint ma parlando molto a braccio. Ho organizzato incontri di gruppo mirati, ad esempio per il personale dell’accettazione o dell’amministrazione, e anche colloqui individuali 'vis-à-vis' per chi aveva domande specifiche sul proprio ruolo. Essendo un’azienda sanitaria, gli incidenti informatici sono purtroppo all'ordine del giorno e il personale è stato molto proattivo e curioso.
Quali sono stati i temi e i rischi su cui vi siete concentrati maggiormente?
Ci siamo focalizzati molto sul phishing, su come riconoscere una mail malevola da una aziendale e sui rischi legati alla privacy. Abbiamo analizzato casi concreti: ad esempio, come evitare l'errore di stampare un referto con le credenziali di un altro paziente o come gestire messaggi sospetti sui telefoni aziendali che sembrano provenire dall'interno dell'azienda. In un caso, ho persino dovuto correggere un suggerimento errato del reparto IT interno, che aveva consigliato di rispondere a una mail di phishing; ho spiegato loro che la mail andava semplicemente cestinata e segnalata, mai aperta.
Pensi che dopo questo percorso sia cambiata la percezione del rischio tra i tuoi colleghi?
Sì, credo si rendano perfettamente conto del rischio ora. Li ho messi in guardia dai pericoli reali: quando un'azienda viene bloccata, i primi a risentirne sono proprio i dipendenti. A livello personale, il corso mi ha aiutato molto, specialmente sugli aspetti normativi di cui non ero a conoscenza. Mi sono sentita a mio agio nel coniugare la parte sanitaria con quella informatica perché ormai, nella sanità moderna, sono un tutt'uno: la gestione del paziente è quasi interamente informatizzata.
CYBERSECURiTY SEMINARS IN BREVE
Sfida. La trasformazione digitale espone organizzazioni e comunità a rischi informatici sempre più complessi, mentre cresce il bisogno di professionisti capaci di proteggere dati, sistemi e infrastrutture.
Progetto. Cybersecurity Seminars, coordinato dall’Università degli Studi di Milano in collaborazione con FMD, forma gli universitari con seminari specialistici, hackathon e attività pratiche di sicurezza informatica. Il programma è attuato con il sostegno di Google.org in collaborazione con Virtual Routes
Service learning. Gli studenti applicano le competenze acquisite supportando organizzazioni delle comunità locali – enti del terzo settore, scuole, piccolo e medie impree e amministrazioni – nell’analisi dei rischi e nella protezione dei sistemi digitali.
Obiettivo. Sviluppare competenze avanzate in cybersecurity e allo stesso tempo rafforzare la sicurezza digitale delle comunità e dei territori.
