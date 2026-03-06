TriZetto Provider Solutions, controllata di Cognizant e attiva nel settore health tech, ha confermato un grave furto di dati personali e sanitari. La violazione ha interessato oltre 3,4 milioni di persone a seguito di un attacco informatico risalente al 2024, ma scoperto solo nel 2025.

Un lungo periodo di intrusione e scoperta tardiva

TriZetto ha rilevato attività sospette solo il 2 ottobre 2025. Le successive analisi forensi hanno però confermato che i malintenzionati avevano avuto accesso ai sistemi fin da novembre 2024. Questo ritardo nella scoperta ha permesso un’esposizione protratta dei dati sensibili per quasi un anno, un intervallo di tempo considerevole che ha amplificato la portata dell’incidente.

Portata e contenuto del furto

La violazione ha coinvolto file relativi alle transazioni di verifica dell’idoneità assicurativa dei pazienti (eligibility transaction reports). Questi documenti sono di uso comune per uffici medici e fornitori di assistenza sanitaria. I dati trafugati includono nomi, date di nascita, indirizzi, numeri di Social Security, nomi dei fornitori sanitari, dati demografici, informazioni sull’assicurazione e numeri di membro assicurativo. In alcuni casi, sono state compromesse anche informazioni relative a Medicare.

Il numero complessivo delle persone interessate, stimato in 3.433.965, si configura tra le più importanti violazioni nel campo healthcare del 2025, superando le stime iniziali e sottolineando la gravità dell’evento.

Impatto su pazienti e provider

Non tutti i clienti di TriZetto sono stati coinvolti nella violazione. Tuttavia, tra le entità colpite figurano organizzazioni come OCHIN, che supporta numerose strutture sanitarie rurali e comunitarie, e alcuni provider in California. Queste realtà hanno confermato l’impatto sui propri assistiti, evidenziando la diffusione territoriale dell’incidente.

In Oregon, enti specifici come Deschutes County Health Services, Best Care e La Pine Community Health Center hanno dovuto notificare singoli pazienti, con numeri che variano per ciascuna struttura, confermando la frammentazione geografica delle conseguenze.

Risvolti normativi e supporto agli interessati

TriZetto ha avviato il processo di notifica alle entità sanitarie interessate.

In qualità di business associate ai sensi della normativa HIPAA, l’azienda si è impegnata a fornire supporto per le comunicazioni agli individui coinvolti. L’azienda ha inoltre provveduto alla segnalazione agli organi competenti, come l’HHS Office for Civil Rights, e offerto servizi complementari quali monitoraggio del credito e tutela contro il furto d’identità.

Alcune notifiche ufficiali, tra cui quelle inviate ai residenti del Massachusetts, indicano che decine di migliaia di persone nello stato sono state colpite. In Massachusetts, ad esempio, risultano interessati oltre 24.000 residenti, con dati medici e SSN compromessi, ma fortunatamente senza coinvolgimento di carte di credito o patente.

Contesto del settore e trend emergenti

Il caso TriZetto si inserisce in un panorama sanitario sempre più segnato da attacchi informatici a grandi aziende. Nel 2024, il colosso Change Healthcare ha subito una compromissione di 192 milioni di file sanitari. Le misurazioni di Health-ISAC segnalano per il 2025 un’impennata della presenza di terze parti nella catena di distribuzione delle violazioni, complicando ulteriormente la sicurezza dei dati sanitari.

Per TriZetto, questa crisi evidenzia la necessità di rafforzare i controlli nella supply chain IT sanitaria, migliorare le attività di monitoraggio continuo e ridurre il tempo di rilevazione delle intrusioni. A livello nazionale, emergono sfide nel rispetto di scadenze normative, come i 60 giorni per le notifiche HIPAA, e nella gestione delle comunicazioni pubbliche.

Il furto dei dati sanitari non riguarda solo la privacy individuale, ma attiva rischi diffusi: furto d’identità, frodi assicurative, phishing personalizzato. La dimensione di 3,4 milioni di individui rende questo incidente particolarmente critico dal punto di vista reputazionale e regolatorio.

Nel complesso, il caso TriZetto rappresenta una lezione per l’intero ecosistema sanitario: sicurezza, compliance e trasparenza non sono più opzioni, ma presupposti essenziali per operare in settori ad alta sensibilità dati. La sfida futura sarà rendere resilienti le infrastrutture digitali sanitarie e costruire fiducia con pazienti e operatori, basata su governance solida e risposta efficace.