Truffa sanitaria e crimine digitale: il caso CreditLex

Nelle ultime settimane, decine di cittadini in Lombardia hanno denunciato di aver ricevuto email di truffa provenienti da una presunta società di recupero crediti denominata CreditLex S.r.l., che intimava il pagamento di prestazioni sanitarie “non saldate”. Il metodo impiegato da chi ha ideato la frode non è banale: nelle mail compaiono dati molto sensibili e autentici, come ricette e farmaci realmente prescritti, date ed esami. Il risultato è un messaggio che sembra legittimo e induce molte vittime a cedere al panico e al trasferimento di soldi.
Secondo le ricostruzioni finora acquisite, l’operazione criminale si è sviluppata nei seguenti passaggi:
Breach di una piattaforma sanitaria privata (il portale “Paziente Consapevole”, gestito da una società di intermediazione per medici e pazienti).
Esfiltrazione di dati sanitari dei pazienti – prescrizioni, esami, fascicoli clinici utilizzati quotidianamente – probabilmente condotta da gruppi hacker dell’Europa orientale.
Invio massivo di email ai pazienti tracciati, spacciate per richieste di recupero crediti, con un invito urgente a “regolarizzare la posizione entro 5 giorni” tramite click su link che veicolano malware o richieste di bonifico su conti esteri.
Fake “società” – come CreditLex – utilizzate come maschera per “legalizzare” la richiesta e rendere la truffa più credibile.
Contestuale sospensione o “manutenzione” del portale compromesso per rallentare le verifiche esterne e mantenere un alone di ambiguità.
In risposta alle segnalazioni, Regione Lombardia e la direzione Welfare hanno pubblicato un avviso ufficiale ai cittadini, in cui affermano che non risultano violazioni dei server regionali o delle aziende sanitarie pubbliche, né compromissioni di dati sensibili nei sistemi regionali. Le indagini, tuttavia, proseguono e sono sotto il coordinamento della Polizia Postale e del PM di Milano Enrico Pavone.
Il caso ha tutta l’aria di un’operazione matura e ben studiata: l’utilizzo di dati personali autentici è una chiave che aumenta drasticamente la probabilità di “successo” della truffa, proprio perché le vittime faticano a distinguere la frode da una comunicazione lecita.
La sanità come terreno di truffa
Il fenomeno non è isolato: già in passato sono state segnalate truffe via SMS o email che “fingevano” richieste di pagamento da parte del sistema sanitario. Un caso recente riguarda la provincia autonoma di Trento: cittadini hanno ricevuto SMS da “presunti Uffici Socio Sanitari” che li invitavano a rispondere urgentemente a numeri sconosciuti, ma l’APSS ha chiarito di essere totalmente estranea all’invio di tali messaggi.
Altri fenomeni analoghi riguardano richieste di ticket sanitari arretrati via email, ma che si basavano su dati generici o inventati. La novità del caso CreditLex è l’uso di dati sanitari autentici dello storico clinico del paziente — un salto di qualità che segnala quanto la minaccia stia evolvendo verso forme più sofisticate di phishing e attacchi ibridi.
Più in generale, le truffe legate al mondo della salute (ticket, rimborsi, farmaci, prestazioni private fasulle) hanno da tempo un potenziale elevato, perché la materia sanitaria tocca temi emotivi (salute, malattia) e dati sensibili: le eventuali richieste diventano più credibili per l’utente medio, se presentate in modo credibile.
Analizzando le testimonianze e le caratteristiche del messaggio-truffa, emergono alcuni indicatori che suggeriscono la sua natura illecita:
Il presunto debito è basato su ricette o prescrizioni, non su fatture per prestazioni sanitarie effettive — nella sanità pubblica il pagamento del ticket avviene prima dell’erogazione, non dopo.
CreditLex S.r.l. non risulta iscritta ai registri ufficiali delle agenzie di recupero crediti né nella Camera di Commercio.
Il messaggio impone un termine breve (es. 5–7 giorni) e rimanda a link esterni, con forte pressione psicologica.
L’Iban al quale versare la somma è spesso estero, difficile da rintracciare, e i conti suggeriti sono probabilmente collegati ai circuiti di riciclaggio.
L’utilizzo nei messaggi di dati autentici (prescrizioni, farmaci, storia clinica) indica che gli autori hanno avuto accesso a database sanitari compromessi.
Un funzionario della Polizia Postale ha dichiarato che probabilmente l’obiettivo della truffa era ottenere “piccole somme da un gran numero di utenti”, piuttosto che attaccare somme consistenti su singoli soggetti.
Un elemento inquietante è che i dati sensibili utilizzati per confezionare le email sembrerebbero essere già in circolazione nel dark web, suggerendo che il passaggio “breach → utilizzo nella frode” sia già stato vinto.
Sul piano legale, sono al vaglio diverse fattispecie criminali: truffa aggravata, accesso abusivo a sistema informatico, trattamento illecito di dati personali, riciclaggio. La Procura di Milano ha già aperto un fascicolo per truffa nei confronti di ignoti, con il coinvolgimento della Polizia Postale e dei centri di cybersecurity.
Un nodo cruciale sarà stabilire da dove è partito il “furto” dei dati e quali sistemi informatici siano stati compromessi. I sistemi regionali sarebbero stati esenti da intrusioni, secondo le verifiche ufficiali, il che suggerirebbe che l’attacco abbia colpito un fornitore privato o un intermediario sanitario terzo.
Altro tema centrale: la diligenza nella protezione dei dati sanitari da parte dei gestori del portale, soprattutto se trattano informazioni personali e cliniche. Le normative sulla privacy (in particolare il GDPR e il Codice della Privacy italiano) impongono standard elevati per la sicurezza dei dati, in particolare quando si tratta di dati sanitari, considerati “categorie particolari”. Un’infrastruttura privata che gestisce prescrizioni, referti, ricette assume, de facto, una responsabilità molto grave nei confronti degli utenti.
Resta da valutare se le vittime potranno sperare in un risarcimento del danno patrimoniale e del danno esistenziale per violazione del diritto alla riservatezza. Potrà essere un compito lungo e tecnicamente complesso — anche per l’anonimato tipico delle operazioni di cybercrime — ma non impossibile.
Il caso CreditLex rappresenta un campanello d’allarme: non più solo phishing generico o truffe di bassa portata, ma attacchi ibridi e contestuali, che sfruttano dati personali reali per costruire messaggi altamente credibili e manipolatori.
In un’epoca in cui il digitale si intreccia con la salute, anche una piattaforma privata pensata per agevolare l’incontro tra paziente e medico diventa un potenziale vettore di danno. Le implicazioni sono profonde:
© RIPRODUZIONE RISERVATA