Novo Nordisk è finita al centro di una vasta vicenda di cybersicurezza dopo la compromissione di alcuni sistemi informatici interni e la presunta sottrazione di oltre un terabyte di dati sensibili. Sullo sfondo di richieste di riscatto multimilionarie e accuse di diffusione illecita di informazioni riservate, l’azienda farmaceutica danese ha confermato un incidente informatico, con due gruppi di hacker che hanno successivamente rivendicato responsabilità differenti.
L’episodio coinvolge dati aziendali, proprietà intellettuale, documentazione clinica e informazioni legate ai programmi di intelligenza artificiale sviluppati dal produttore di Wegovy e Ozempic.
LA VIOLAZIONE DEI SISTEMI DI NOVO NORDISK
L’11 giugno Novo Nordisk ha reso noto di aver subito un incidente di cybersicurezza che ha comportato un accesso non autorizzato a un numero limitato di sistemi IT interni. L’azienda ha successivamente riconosciuto che alcuni dati non pubblici, compresi dati personali, sono stati copiati senza autorizzazione. In una dichiarazione, un portavoce della società ha affermato che l’azienda è “a conoscenza delle affermazioni secondo cui dati presumibilmente copiati senza autorizzazione dai nostri sistemi sono stati pubblicati online” e che le autorità competenti sono state informate. La società ha inoltre precisato di aver mantenuto operative le proprie piattaforme principali e di continuare a considerare prioritaria “la sicurezza e l’integrità dei sistemi e la fornitura di prodotti e supporto affidabili ai pazienti”.
Secondo quanto comunicato da Novo Nordisk, non sarebbero emersi rischi immediati per i pazienti. L’azienda ha spiegato che le informazioni personali coinvolte riguardavano partecipanti a studi clinici e che tali dati non collegavano direttamente elementi identificativi a nomi specifici. In un messaggio pubblicato sul proprio sito web, la società ha comunque invitato gli interessati a “rimanere vigili” e a segnalare eventuali attività sospette riconducibili all’incidente.
IL (PRIMO) GRUPPO HACKER DIETRO IL CYBERATTACCO
Pochi giorni dopo la divulgazione dell’incidente, il gruppo hacker FulcrumSec ha rivendicato l’attacco, sostenendo di aver operato all’interno delle reti di Novo Nordisk per oltre due mesi. Nato nell’ottobre 2025, il gruppo ha dichiarato di aver ottenuto circa 1,3 terabyte di dati distribuiti in oltre 700.000 file. Secondo la ricostruzione fornita dagli stessi hacker, il punto di accesso iniziale sarebbe stato un token di accesso GitHub individuato a marzo, che avrebbe consentito di clonare repository interni e recuperare ulteriori credenziali di autenticazione.
FulcrumSec sostiene di aver sottratto codice sorgente, informazioni proprietarie su farmaci già commercializzati e in fase di sviluppo, dati relativi alle sperimentazioni cliniche, documentazione riguardante dipendenti, medici e pazienti, dettagli sugli impianti produttivi e file associati ai modelli di intelligenza artificiale interni dell’azienda. Tra i materiali che il gruppo afferma di aver ottenuto figurano anche informazioni sui candidati farmaceutici contro l’obesità Amycretin e CagriSema, oltre a cinque programmi di sviluppo non ancora annunciati pubblicamente.
LE RICHIESTE DI RISCATTO
Sempre secondo le informazioni diffuse dagli stessi hacker, FulcrumSec avrebbe avanzato una richiesta di riscatto pari a 25 milioni di dollari. Il gruppo ha riferito che rappresentanti di Novo Nordisk avrebbero preso contatto il 3 giugno, circa due giorni dopo il primo messaggio inviato ad alcuni dirigenti aziendali. Dopo settimane di interlocuzioni, gli hacker sostengono che l’azienda abbia interrotto le comunicazioni senza accettare il pagamento richiesto.
Successivamente FulcrumSec ha dichiarato di stare “esplorando vendite private” per una parte del materiale ottenuto. In un messaggio inviato a Reuters, un rappresentante del gruppo ha affermato che la pubblicazione dei dati rappresenterebbe “un deterrente più efficace per future aziende che decidessero di non pagare”. Gli hacker hanno inoltre precisato che alcune categorie di informazioni non verranno divulgate, comprese quelle relative a migliaia di dipendenti e medici, ai dati di circa 11.500 pazienti pseudonimizzati coinvolti in studi clinici e ai sistemi operativi utilizzati negli stabilimenti produttivi, una scelta descritta come parte della loro strategia di “riduzione del danno”.
L’OMBRA DI UN SECONDO GRUPPO HACKER
Alla vicenda si è aggiunto anche un secondo gruppo, identificato come TheUSERS007. Secondo quanto riportato dal blog specializzato DataBreaches, l’organizzazione avrebbe rivendicato una compromissione distinta dei sistemi di Novo Nordisk e avrebbe richiesto un riscatto di 50 milioni di dollari. Anche in questo caso l’azienda non avrebbe accettato il pagamento richiesto.
TheUSERS007 sostiene di aver ottenuto accesso all’infrastruttura informatica della società utilizzando un motore di intelligenza artificiale adattiva e autoapprendente denominato Venomware. Il gruppo afferma inoltre di aver acquisito dati sensibili differenti da quelli sottratti da FulcrumSec, sebbene non siano stati forniti dettagli indipendentemente verificabili sul contenuto del materiale ottenuto.
L’INTERESSE PER I DATI SULL’IA
L’attacco assume particolare rilevanza anche per la presenza di informazioni legate ai progetti di intelligenza artificiale di Novo Nordisk. L’azienda infatti ha recentemente annunciato una collaborazione con OpenAI finalizzata all’applicazione dell’IA nella scoperta di nuovi farmaci, nei processi produttivi e nelle attività commerciali, con un’integrazione estesa prevista entro la fine del 2026.
FulcrumSec sostiene che tra i dati sottratti siano presenti modelli di intelligenza artificiale proprietari sviluppati internamente dall’azienda. Reuters ha però chiarito di non aver potuto verificare in modo indipendente l’autenticità del materiale pubblicato dal gruppo né le affermazioni relative al contenuto completo dell’archivio sottratto.
UN SETTORE NEL MIRINO DEI CYBERATTACCHI
L’episodio che coinvolge Novo Nordisk si inserisce in un contesto più ampio che vede il settore farmaceutico e sanitario sempre più esposto agli attacchi informatici. Nelle ultime settimane, ricorda Fierce Pharma, West Pharmaceutical Services ha segnalato un attacco ransomware ai propri sistemi.
Nel 2024 una violazione che ha colpito il distributore farmaceutico Cencora ha interessato oltre un milione di pazienti e almeno 27 aziende del comparto, dando origine a numerose azioni legali collettive e a un accordo transattivo da 40 milioni di dollari. A marzo, inoltre, il produttore di dispositivi medici Stryker è stato colpito da un grave attacco informatico attribuito a un gruppo filo-iraniano, con la compromissione di circa 200.000 sistemi e il furto di 50 terabyte di dati.
