Intervista all’Avv. Stefano Mele - approfondimento su Sicurezza e Sanità Digitale

Pubblicato

21 Marzo 2024

Tempo di lettura: 6 minuti

Tags

Magazine , Dottori/Medici di famiglia/Centri medici , PRIVACY

mele

Nella trasformazione della Sanità Digitale si sta facendo sempre più strada l’approccio del Data-Driven Health ossia un sistema guidato dai dati che orienta il processo decisionale. Tuttavia mettere insieme informazioni che provengono da sistemi diversi, organizzarle e gestirle non sono operazioni di poco conto. Inoltre, questi dati possono essere poi elaborati attraverso l’intelligenza artificiale e i sistemi digitali, permettendo un’analisi e una comprensione precisa dei dati stessi, e migliorando l’efficienza dei processi clinici e amministrativi all’interno delle strutture sanitarie. 

In questa prospettiva che prevede una “riorganizzazione complessa” dei dati, quali seri problemi di sicurezza potranno emergere?

 

Nell'ambito della Sanità Digitale, l’approccio Data-Driven Health sta acquisendo un’importanza crescente, promettendo di rivoluzionare il modo in cui vengono prese le decisioni cliniche e amministrative. Questo paradigma si basa principalmente sulla raccolta, sull’aggregazione e sull’analisi di informazioni provenienti da varie fonti, al fine di guidare e migliorare il processo decisionale, ottimizzando al contempo l’efficienza e l’efficacia delle cure. L’intelligenza artificiale e i sistemi digitali giocano un ruolo chiave all’interno di questa nuova frontiera, consentendo analisi avanzate e l’interpretazione di una vasta mole di dati e di informazioni che per l’essere umano richiederebbe sforzi e tempistiche spesso incompatibili con le esigenze di cura o di ricerca. Questi strumenti, quindi, possono migliorare notevolmente la precisione diagnostica, personalizzare le terapie basate sulle esigenze individuali dei pazienti e, ancora, ottimizzare i processi operativi delle strutture sanitarie, riducendo i tempi di attesa e massimizzando l’allocazione delle risorse.

 

Tuttavia, la transizione verso un sistema sanitario guidato dai dati comporta anche importanti sfide e numerosi rischi da gestire, soprattutto in termini di cybersecurity e privacy. Infatti, la raccolta e l’elaborazione di informazioni sanitarie su larga scala espongono il settore a rischi significativi di violazioni dei dati, che possono avere conseguenze rilevanti per la privacy dei pazienti e per la fiducia nel sistema sanitario. La natura delle informazioni sanitarie richiede livelli di sicurezza estremamente elevati per proteggerle contro, ad esempio, gli accessi non autorizzati, il furto di identità e le frodi. Così come i sistemi sanitari che li gestiscono e che concorrono all’erogazione delle prestazioni sanitarie sono troppo spesso vulnerabili ad attacchi informatici che ne possono causare il blocco completo, com’è il caso, ad esempio, degli attacchi ransomware.

 

Inoltre, l’uso dell’intelligenza artificiale nella sanità porta con sé il rischio di bias algoritmici, che possono emergere dalla qualità e dalla rappresentatività dei dati su cui gli algoritmi vengono addestrati. Questi bias possono portare a disparità nelle cure offerte, influenzando negativamente la qualità delle decisioni cliniche per certi gruppi di pazienti, in particolare per quelli meno rappresentati nei set di dati utilizzati per l’addestramento degli algoritmi. Anche la questione dell’interoperabilità e dell’integrazione tra sistemi diversi rappresenta una sfida significativa, dato che la mancanza di standardizzazione può complicare l’aggregazione e l’analisi efficace dei dati, minando così le potenzialità dell’approccio Data-Driven. 

 

La dipendenza crescente dai sistemi di intelligenza artificiale per le decisioni cliniche solleva, inoltre, notevoli preoccupazioni se si pensa anche alla potenziale diminuzione delle competenze tecniche del personale sanitario e alla riduzione delle loro capacità critiche e di giudizio. Affidarsi completamente agli algoritmi di intelligenza artificiale a discapito del giudizio clinico umano potrebbe limitare, infatti, la capacità dei professionisti di agire efficacemente in situazioni non previste dai programmatori o nei set di dati utilizzati per il loro addestramento. Infine, determinare la responsabilità in caso di errori medici legati all’uso degli algoritmi di intelligenza artificiale introduce importanti complessità sul piano legale ed etico, poiché la giustificazione delle decisioni cliniche prese dagli algoritmi non è detto che sia sempre rintracciabile e garantita.

 

Nonostante queste sfide, l’innovazione nel settore della sanità digitale offre opportunità senza precedenti per migliorare l’accesso alle cure, la qualità dei servizi sanitari e l’efficienza operativa. Per realizzare appieno questi benefici, è fondamentale affrontare proattivamente le questioni di sicurezza, sviluppare strategie efficaci per mitigare i rischi di bias e le violazioni dei dati personali e soprattutto sanitari. Contestualmente, occorre promuovere un'azione etica e responsabile dell’intelligenza artificiale in ambito sanitario. La collaborazione tra esperti di tecnologia, professionisti del settore sanitario, giuristi ed esperti di etica e persino i pazienti sarà cruciale per risolvere con successo questi primi ostacoli, assicurando così che i vantaggi dell’approccio Data-Driven Health siano realizzati in modo sicuro ed equo per tutti i cittadini.

Ruolo della figura del Chief Information Security Officer (CISO) in Sanità: quali dovrebbero essere i suoi compiti, quali complessità deve affrontare e quali sono le sue responsabilità giuridiche?

 

Il Chief Information Security Officer (CISO) svolge un ruolo cruciale nell’approccio Data-Driven Health. Egli, infatti, è il professionista responsabile della gestione strategica e operativa dei dati all’interno dell’organizzazione sanitaria. I suoi compiti principali comprendono, tra gli altri, la definizione di una visione strategica sull’uso dei dati nella struttura sanitaria, la supervisione dell’implementazione di sistemi e tecnologie per la raccolta, l’archiviazione, l’analisi e la condivisione dei dati sanitari, nonché assicurarsi che tali dati siano protetti in conformità alle normative sulla privacy e sulla cybersecurity. 

 

Il Chief Information Security Officer (CISO), quindi, deve affrontare numerose sfide in un simile contesto. Basti pensare alla gestione di grandi volumi di dati eterogenei provenienti da fonti diverse, come dispositivi medici, registri elettronici dei pazienti, sistemi di monitoraggio remoto e sempre più anche sensori indossabili. Deve anche garantire l’integrità, l’accuratezza e la sicurezza dei dati, evitando il rischio di violazioni della privacy o di accessi non autorizzati, nonché considerando le giustissime esigenze e aspettative dei pazienti in materia di protezione dei loro dati personali, di trasparenza nell’uso dei dati per migliorare la cura e la gestione della salute, oltre che dei processi interni della struttura sanitaria. 

 

Di conseguenza, in un contesto di Data-Driven Health, in capo al Chief Information Security Officer (CISO) sono poste responsabilità giuridiche sempre più significative. Esse comprendono senz’altro la conformità, tra le altre, alla normativa sulla protezione dei dati personali (i.e., il GDPR) e l’ormai imminente Direttiva NIS 2. Queste normative, infatti, impongono restrizioni molto rigide, ad esempio, sull’uso, sulla protezione, sulla conservazione e sulla condivisione dei dati sanitari, a maggior ragione se riferibili ai pazienti, nonché sanzioni severe per l’eventuale violazione delle prescrizioni. Di conseguenza, il Chief Information Security Officer (CISO) deve concorrere – insieme alla dirigenza o al board, alle strutture legali e per la compliance, oltre che al Data Protection Officer (DPO) – ad assicurare il pieno e puntuale rispetto di tali normative, implementando misure di sicurezza e di controllo avanzate, insieme a rigide procedure di accesso e di condivisione dei dati. In sintesi, il ruolo del Chief Information Security Officer (CISO) richiede oggigiorno una combinazione di competenze tecniche e tecnologiche, ma strategiche e giuridiche.

Nella Direttiva NIS 2 le strutture sanitarie pubbliche e private sono considerate come soggetti che erogano un servizio essenziale. Tale qualificazione comporta la compliance a numerosi obblighi normativi in materia di cybersecurity. In Italia a che punto siamo? Quali sono le criticità maggiori nell’adeguarsi?

 

La Direttiva NIS 2 rappresenta un fondamentale aggiornamento nel panorama normativo europeo in materia di cybersecurity, mirando a rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi all'interno dell'Unione europea. Con l'inclusione delle strutture sanitarie pubbliche e private tra i soggetti erogatori di servizi essenziali, si evidenzia la cruciale importanza di proteggere il settore sanitario da potenziali minacce cibernetiche, le quali potrebbero non solo compromettere i dati sanitari dei pazienti, ma anche interrompere l’erogazione di servizi critici per la salute pubblica. L'Italia, al pari degli altri Stati membri dell’Unione europea, si trova di fronte alla sfida di recepire e ancor più di far implementare adeguatamente queste disposizioni.

 

Per la transizione verso il pieno rispetto dei requisiti imposti dalla Direttiva NIS 2 si possono evidenziare numerose sfide per il sistema sanitario italiano. Prima fra tutte, la consapevolezza della cybersecurity come una reale e imprescindibile priorità strategica. All'interno del settore sanitario nazionale, infatti, la cultura della sicurezza delle informazioni e dei dati in alcuni casi è vista ancora come secondaria rispetto ad altre priorità, come l'assistenza diretta ai pazienti o la ricerca medica. Elevare la consapevolezza e considerare la cybersecurity come parte integrante della qualità del servizio sanitario è fondamentale per il successo dell'adeguamento alla Direttiva NIS 2 (e non solo). 

 

Un’altra sfida è legata alla frammentazione del sistema sanitario nazionale. L’analisi dello scenario, infatti, fa emergere una varietà di strutture sanitarie: dai grandi ospedali pubblici e privati fino a cliniche più piccole e locali. Questa diversità rischia di rendere non uniforme l'approccio alla cybersecurity. Infatti, alcune strutture potrebbero avere risorse, competenze tecniche e investimenti in sicurezza informatica significativamente inferiori rispetto ad altre, rendendo più arduo il raggiungimento di un livello omogeneo di sicurezza delle informazioni. 

 

Un altro ostacolo significativo è rappresentato dalla necessità di aggiornare e modernizzare le infrastrutture tecnologiche spesso obsolete. Molte strutture sanitarie, infatti, lavorano ancora con sistemi informativi particolarmente datati, i quali non solo sono più vulnerabili agli attacchi informatici, ma possono anche rendere più complessa l'implementazione di soluzioni di sicurezza avanzate. Questo aspetto richiede investimenti sostanziali, non solo in termini economici, ma anche per quanto riguarda la formazione del personale, che deve essere costantemente sensibilizzato e aggiornato sulle minacce informatiche e sulle migliori pratiche di cybersecurity. 

 

Infine, la compliance normativa alla Direttiva NIS 2 richiede processi ben strutturati e un monitoraggio continuo, i quali possono essere particolarmente sfidanti in un settore sanitario così complesso e differenziato come quello italiano. L'adeguamento alla Direttiva NIS 2, infatti, implica un'analisi dettagliata dei rischi, l'adozione di misure tecniche e organizzative adeguate per mitigarli, la notifica degli incidenti di sicurezza, così come il monitoraggio delle terze parti e di tutta la catena di approvvigionamento. Obiettivi di sicurezza che richiedono un impegno costante e risorse economiche e professionali dedicate nel tempo. 

 

In conclusione, sebbene il settore sanitario pubblico e privato in Italia stia compiendo passi avanti verso la sua modernizzazione, le sfide rimangono ancora significative. Ciò a maggior ragione se si guarda all’ormai imminente entrata in vigore della Direttiva NIS 2 sulla cybersecurity. Il superamento di queste criticità richiederà un approccio coordinato, con investimenti mirati nella modernizzazione delle infrastrutture tecnologiche, nella formazione del personale, nella sensibilizzazione alla sicurezza informatica e nel rafforzamento delle capacità di gestione del rischio e di risposta agli incidenti. Solo così sarà possibile garantire un alto livello di protezione per i servizi sanitari essenziali e rispettare i principi e gli obblighi stabiliti dalla Direttiva NIS 2.