Un attacco informatico di vasta portata ha colpito Novo Nordisk, la più grande azienda farmaceutica d'Europa, nota in tutto il mondo per i farmaci Ozempic e Wegovy. Il gruppo di estorsione cibernetica FulcrumSec, emerso solo nell'ottobre del 2025, ha dichiarato di aver trascorso oltre due mesi all'interno dei sistemi dell'azienda danese, sottraendo più di un terabyte di dati. Secondo quanto riportato da testate internazionali in India, Brasile e Scandinavia, gli aggressori avrebbero inizialmente chiesto un riscatto di 25 milioni di dollari. Di fronte al rifiuto della compagnia, FulcrumSec ha annunciato l'intenzione di vendere parti del bottino digitale, innescando un allarme che va ben oltre i confini danesi.

Il materiale trafugato, secondo le rivendicazioni pubblicate sul sito del gruppo criminale, include codice sorgente proprietario, informazioni su farmaci già in commercio e su molecole ancora in fase di sviluppo, dati di sperimentazioni cliniche, cartelle di dipendenti, medici e pazienti, oltre a dettagli sugli impianti di produzione e modelli interni di intelligenza artificiale. Un portavoce di Novo Nordisk ha confermato di essere a conoscenza delle affermazioni, precisando però che i dati sarebbero stati "copiati senza autorizzazione" da un sistema appartenente a un partner esterno, non direttamente dall'infrastruttura centrale dell'azienda. La distinzione è cruciale: potrebbe attenuare l'impatto legale immediato, ma non riduce la gravità della violazione, specie se tra i dati figurano informazioni sensibili di pazienti e sperimentazioni cliniche.

La notizia ha avuto ampia eco in Asia e America Latina, dove i mercati azionari e i media hanno seguito con apprensione l'evolversi della vicenda. In India, dove Novo Nordisk detiene una quota rilevante del mercato insulinico, i quotidiani economici hanno sottolineato il rischio per la proprietà intellettuale. In Brasile, l'attenzione si è concentrata sulla popolarità di Ozempic e Wegovy, farmaci ormai entrati nell'uso comune per il trattamento del diabete e dell'obesità. In Europa, e in particolare in Italia, dove questi medicinali sono ampiamente prescritti e rappresentano una voce importante della spesa farmaceutica convenzionata, la possibile esposizione di dati clinici solleva interrogativi urgenti sulla sicurezza delle supply chain digitali nel settore sanitario.

L'episodio si inserisce in un quadro di crescente aggressività dei gruppi di cyber-estorsione, che sempre più spesso prendono di mira il settore farmaceutico, attirati dal valore strategico della proprietà intellettuale e dalla sensibilità dei dati sanitari. FulcrumSec, nonostante la sua recente comparsa, ha già dimostrato di adottare tattiche sofisticate di doppia estorsione: cifratura dei sistemi e minaccia di pubblicazione dei dati. Il rifiuto di Novo Nordisk di pagare il riscatto segnala una linea di fermezza che potrebbe scoraggiare futuri attacchi, ma apre al contempo uno scenario inquietante: la commercializzazione frammentaria di segreti industriali e informazioni personali sul dark web. Per le autorità europee e per il Garante della privacy italiano, la vicenda rappresenta un banco di prova per l'applicazione del GDPR in contesti transfrontalieri, mentre per l'industria farmaceutica globale è l'ennesimo monito a rafforzare la sicurezza non solo dei propri sistemi, ma dell'intero ecosistema di partner e fornitori.