Aumentano le minacce di violazioni Gli ospedali devono correre ai ripari

Digitalizzazione di documenti e processi sanitari. Parla l'esperto Franzi

Riccardo Cervelli

Fascicoli sanitari elettronici, accessibili via Internet in base a specifici profili autorizzativi. Cartelle cliniche digitali. Telemedicina. Teleconsulti. Robotica sempre più diffusa in ambito chirurgico. Sono solo alcuni esempi di quanto l'informatica sia diventata pervasiva nella sanità con benefici, ma anche rischi, per informazioni e applicazioni.

Luca Franzi de Luca, presidente di Aon Hewitt Risk & Consulting e vicepresidente di Aon Italia (leader nella consulenza dei rischi e delle risorse umane, nell'intermediazione assicurativa e riassicurativa e particolarmente impegnata nel settore dei rischi sanitari) ha le idee chiare su questo tema e su possibili soluzioni, anche alla luce di nuove normative, tra le quali spicca la legge Gelli-Bianco in materia di sicurezza delle cure e della persona assistita e sulla responsabilità professionale di medici e personale sanitario. «Finora - ci ha spiegato Franzi, in un'intervista a margine di un recente convegno sul tema della cyber security in ambito sanitario - assicuratori e clienti sono stati abituati a comprendere e quantificare i rischi in funzione di quanto è accaduto. La Sanità 2.0 sta cambiando i profili dei rischi nel settore della salute sia a livello di nuove tipologie di rischi, sia per i nuovi confini spazio-temporali».

Una quantità crescente di dati sono prodotti, conservati e acceduti in perimetri che ormai superano quelli dei singoli studi medici, ospedali, cliniche ed enti della Pubblica amministrazione. Si pensi, ad esempio, al Siss (Sistema informativo socio-sanitario) lombardo, dove sono conservati molti milioni di fascicoli sanitari elettronici, prodotti in oltre un quindicennio dai sistemi informatici di diversi soggetti (ospedali, cliniche, studi medici, farmacie, ecc). Un archivio digitale che contribuisce a rendere più efficiente ed economico il Sistema sanitario e che consente, inoltre, ai team di ricerca degli Ircss (istituti di ricerca e cura a carattere scientifico), delle università e delle Case farmaceutiche di indirizzare meglio le proprie attività grazie all'accesso ad aggregazioni di dati anonimizzati e costituite in modo da rendere impossibile la ricostruzione dei profili personali dei pazienti.

Sempre per dare un'idea dell'espansione spazio-temporale delle cosiddette «superfici di attacco» (ambiti in cui possono avvenire le violazioni) si pensi a come sia oggi possibile interconnettere e mantenere integrati per lunghi periodi di tempo (a volte per tutta la vita) pazienti, famiglie, medici, infermieri, con disparate tecnologie, installate sia nelle strutture sanitarie, sia sul paziente stesso. Una nuova realtà utile per raggiungere l'obiettivo della medicina personalizzata.

In questo contesto di profonda trasformazione del panorama dei rischi sanitari, Franzi suggerisce l'adozione di un «approccio di co-finanziamento dei rischi da parte di tutti soggetti che contribuiscono all'implementazione di sistemi e processi sensibili ai cyber risk». Alla base di tutto ci deve essere un'analisi più approfondita dei nuovi profili di rischio da condurre in stretta collaborazione tra le strutture sanitarie, i loro fornitori e le compagnie di assicurazione.