Marzo 2026. Qualcuno, dall’altra parte dello schermo, trova una chiave lasciata incustodita. Un token di accesso a GitHub, dimenticato nel codice sorgente di un’applicazione client, apre una porta secondaria nei sistemi informatici di Novo Nordisk, il gigante farmaceutico danese che produce Ozempic e Wegovy, i farmaci contro il diabete e l’obesità che hanno rivoluzionato il mercato globale della salute negli ultimi anni. Da quel momento, per oltre due mesi, un gruppo di criminali informatici ha navigato indisturbato nelle reti interne dell’azienda, copiando archivi, clonando repository, raccogliendo credenziali. Quando finalmente Novo Nordisk ha scoperto l’intrusione, era l’11 giugno 2026. Troppo tardi per impedire quello che si sarebbe rivelato uno dei furti di dati più gravi mai subiti da un’azienda farmaceutica europea.
L’11 giugno 2026, Novo Nordisk ha comunicato ufficialmente di aver subito un incidente di cybersicurezza che aveva comportato un accesso non autorizzato a un numero limitato di sistemi informatici interni. In una dichiarazione pubblica, un portavoce della società ha confermato che alcuni dati non pubblici, comprese informazioni di carattere personale, erano stati copiati senza autorizzazione. L’azienda ha reso noto di aver avviato un’indagine interna con il supporto di esperti di cybersicurezza, di aver temporaneamente portato offline alcuni sistemi per proteggere l’infrastruttura e di aver allertato le autorità competenti. Le principali piattaforme operative sono rimaste attive e, secondo quanto dichiarato dalla società, non sono emersi rischi immediati per i pazienti.
Pochi giorni dopo la comunicazione ufficiale, un gruppo criminale noto come FulcrumSec ha rivendicato la responsabilità dell’attacco. Nato nell’ottobre del 2025, il gruppo si è rapidamente imposto nel panorama della criminalità informatica come specialista nell’esfiltrazione massiva di dati da ambienti cloud aziendali, in particolare da infrastrutture basate su Amazon Web Services e Microsoft Azure. Il metodo operativo è rodato: identificare credenziali esposte o configurazioni errate, penetrare nei sistemi, scaricare tutto ciò che ha valore, quindi esigere denaro sotto minaccia di pubblicazione o vendita del materiale ottenuto. Secondo una valutazione fornita da Thomas Willkan della società di cybersicurezza Lab-1 all’agenzia Reuters, FulcrumSec è da considerarsi un gruppo credibile, dotato di capacità tecniche reali e con una storia di rivendicazioni attendibili.
La ricostruzione fornita dagli stessi criminali è dettagliata e per certi versi sconcertante. Il punto di accesso iniziale sarebbe stato un token di accesso GitHub individuato a marzo, che avrebbe consentito di clonare repository interni e di recuperare ulteriori credenziali di autenticazione. Da quel momento in poi, il gruppo ha continuato a navigare nelle reti di Novo Nordisk per oltre due mesi, anche dopo che l’azienda aveva preso contezza della violazione, sfruttando accessi secondari che non erano stati ancora individuati e revocati. Un dettaglio che solleva interrogativi seri sulla capacità di rilevamento e gestione delle intrusioni informatiche anche in ambienti di alto profilo.
Il bottino dichiarato è di proporzioni notevoli: circa 1,3 terabyte di dati, distribuiti in oltre 700.000 file. Tra il materiale che FulcrumSec sostiene di aver ottenuto figurano codice sorgente, informazioni proprietarie su farmaci già in commercio e su candidati in fase di sviluppo — tra cui Amycretin e CagriSema, due farmaci contro l’obesità e il diabete — dati relativi a sperimentazioni cliniche, documentazione riguardante dipendenti, medici e pazienti, dettagli sugli impianti produttivi e, soprattutto, file associati ai modelli di intelligenza artificiale sviluppati internamente dall’azienda. A quest’ultimo punto si legano considerazioni che vanno ben oltre la tutela della privacy: Novo Nordisk ha recentemente annunciato una partnership strategica con OpenAI finalizzata all’applicazione dell’intelligenza artificiale nella scoperta di nuovi farmaci, nei processi produttivi e nelle attività commerciali, con un’integrazione a livello aziendale prevista entro la fine del 2026. La possibilità che i modelli proprietari sviluppati in questo contesto siano stati compromessi rappresenta una minaccia concreta anche sul piano della competitività industriale.
Il 3 giugno, secondo la ricostruzione del gruppo criminale, rappresentanti di Novo Nordisk avrebbero preso contatto con FulcrumSec, circa due giorni dopo l’invio di un primo messaggio ad alcuni dirigenti aziendali. Nelle settimane successive si sarebbe aperta una trattativa, conclusasi con l’interruzione unilaterale delle comunicazioni da parte dell’azienda senza che alcun pagamento venisse effettuato. FulcrumSec aveva chiesto un riscatto di 25 milioni di dollari. Di fronte al rifiuto, il gruppo ha annunciato di star valutando la vendita privata di una parte del materiale ottenuto attraverso canali del dark web, presentando questa scelta come un “deterrente” per le aziende che decidessero in futuro di non cedere alle richieste estorsive. Allo stesso tempo, gli hacker hanno dichiarato di non voler divulgare alcune categorie di informazioni particolarmente sensibili, tra cui quelle relative a circa 11.500 pazienti pseudonimizzati coinvolti in studi clinici e i dati operativi degli stabilimenti produttivi.
Come se non bastasse, alla vicenda si è aggiunto un secondo attore. Un gruppo identificato come TheUSERS007 ha rivendicato una compromissione distinta dei sistemi di Novo Nordisk, avvenuta tra il 5 e il 7 giugno 2026, e ha avanzato una richiesta di riscatto di 50 milioni di dollari. Il gruppo sostiene di aver ottenuto accesso all’infrastruttura informatica dell’azienda utilizzando uno strumento denominato Venomware, descritto come un motore di intelligenza artificiale adattiva e autoapprendente progettato per l’estrazione chirurgica di proprietà intellettuale. Anche in questo caso Novo Nordisk non ha ceduto alle richieste. La seconda violazione non è stata ancora confermata ufficialmente dall’azienda.
La storia di Novo Nordisk non è un caso isolato, ma l’episodio più recente — e tra i più gravi — di una tendenza che vede il settore farmaceutico e sanitario sempre più nel mirino della criminalità informatica organizzata. Nel 2024, una violazione che ha colpito il distributore farmaceutico Cencora ha interessato oltre un milione di pazienti e almeno 27 aziende del comparto, sfociando in numerose azioni legali collettive e in un accordo transattivo da 40 milioni di dollari. A marzo 2026, il produttore di dispositivi medici Stryker ha subito un grave attacco informatico attribuito a un gruppo filo-iraniano, con la compromissione di circa 200.000 sistemi e il furto di 50 terabyte di dati. Nelle stesse settimane, West Pharmaceutical Services ha segnalato un attacco ransomware ai propri sistemi.
Il caso Novo Nordisk illumina, in modo particolarmente nitido, una delle vulnerabilità strutturali del settore: le aziende farmaceutiche custodiscono patrimoni informativi di straordinario valore — segreti industriali, dati clinici, algoritmi proprietari — in ambienti informatici che non sempre riescono a garantire standard di sicurezza adeguati alla minaccia reale. Un token di accesso dimenticato in un bundle JavaScript, una credenziale non ruotata in un registro Azure: piccole disattenzioni che, nell’era della criminalità informatica professionalizzata, possono trasformarsi in intrusioni protratte per mesi e in perdite di dati capaci di compromettere anni di ricerca e miliardi di investimenti. Come nel caso di Ozempic e Wegovy, anche in questo campo la prevenzione vale infinitamente più della cura.
