Quale cura per la sicurezza dei dati sanitari?

L’Agenzia per la cyber sicurezza nazionale ha pubblicato lo scorso 18 ottobre il rapporto sulla sicurezza informatica in ambito sanitario per gli anni 2022 – 2024, evidenziando un preoccupante aumento degli attacchi informatici e la particolare vulnerabilità dei dati sanitari.

Il paper, distinguendo tra eventi cyber (avvenimento con un potenziale impatto su almeno un soggetto nazionale) ed incidenti (evento cyber che ha un impatto confermato sulla disponibilità, confidenzialità o integrità delle informazioni), rileva come la maggior parte degli attacchi informatici sia rappresentato da ransomware che cifrano i file dei sistemi informatici, rendendoli inaccessibili fino al pagamento di un riscatto.

Seguono, poi, la divulgazione non autorizzata di informazioni sensibili o riservate (information disclosure), la diffusione di malware tramite e-mail e l’accesso non autorizzato sfruttando vulnerabilità note nei sistemi o nei software per compromettere i dati.

L’Agenzia individua tre criticità principali (bad practices) che favoriscono gli attacchi informatici nel settore sanitario italiano: la gestione decentralizzata dei sistemi digitali ovvero la mancanza di un sistema IT centralizzato e di politiche di sicurezza uniformi così da avere un ambiente eterogeneo e difficile da proteggere; l’obsolescenza dei dispositivi che impedisce l’aggiornamento dei sistemi e la rimozione di protocolli vulnerabili; la carenza di personale dedicato alla cybersicurezza che limita la capacità di gestire e mitigare i rischi.

L’Agenzia, quindi, indica delle “buone prassi” sinteticamente individuabili nella centralizzazione della governance della cybersecurity e dell’IT e nell’implementazione delle pratiche di sicurezza indicate a conclusione dello stesso rapporto.

A livello sistemico, il PNRR, Missione 6 Salute, Componente: M6C2 – Innovazione, ricerca e digitalizzazione del servizio sanitario nazionale, Investimento: M6 C2 I1.3 – Rafforzamento dell’infrastruttura tecnologica e degli strumenti per la raccolta, l’elaborazione, l’analisi dei dati e la simulazione, ha previsto appositi interventi per il finanziamento del Fascicolo Sanitario Elettronico.

Al FSE si affiancherà entro il 31 marzo 2026, l’Ecosistema dei Dati Sanitari, alimentato proprio dai dati del FSE.

Obiettivo dell’ecosistema dei dati sanitari è quello di migliorare la cura dei pazienti, sostenere la prevenzione, promuovere la ricerca scientifica, facilitare la creazione del Dossier Farmaceutico e supportare il processo decisionale in ambito sanitario (finalità di governo).

Con il recente parere del 26 settembre 2024, il Garante per la Protezione dei dati Personali si espresso sullo “Schema di decreto del Ministero della Salute” sull’Ecosistema Dati Sanitari.

Il Parere del Garante da atto che lo schema di Decreto supera le criticità rilevate nell’agosto 2022 quando l’Autority si era già espressa negativamente rispetto alla precedente versione dello schema di Decreto.

Lo schema di decreto dedica particolare attenzione all’infrastruttura che sarà dedicata all’EDS attraverso “soluzioni tecnologiche”, rese disponibili da Agenas alle regioni, alle strutture sanitarie e sociosanitarie a livello nazionale o regionale.

L’architettura dell’infrastruttura prevede tre tipologie di unità di archiviazione distinte e indipendenti: unità per i dati in chiaro, unità per i dati pseudonimizzati e unità per i dati anonimizzati. Inoltre l’all. C) dello stesso schema descrive le misure di protezione dei dati, i meccanismi di gestione degli accessi, le misure di sicurezza, gli algoritmi e le procedure di anonimizzazione e di pseudonimizzazione, con il precipuo fine di creare un sistema sicuro per la gestione dei dati sanitari a livello nazionale.

Lo schema di decreto trasmesso al Garante, poi, reca precise disposizioni per l’individuazione dei presupposti di liceità del trattamento dei dati sanitari, la disciplina dei consensi da prestarsi, si singolarmente, per i fini dell’EDS ed i servizi previsti dallo stesso.

In ultimo, non può trascurarsi la direttiva 2022/20555 del Parlamento Europeo, comunemente nota come NIS2, che mira a stabilire un livello comune elevato di cibersicurezza in tutta l’Unione Europea.

Tale direttiva impone agli stati membri di adottare misure di gestione dei rischi di cibersicurezza e obblighi di segnalazione, stabilendo che i soggetti che operano nei settori essenziali e importanti, tra i quali rientra il settore sanitario, adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete.

Conclusivamente, il rischio derivante dal sempre più diffuso, massiccio e pervasivo utilizzo dell’informatica e, soprattutto, dalla grande quantità di dati sanitari quotidianamente raccolti e trattati, impone un livello di attenzione ben maggiore di quello sino ad oggi manifestato rispetto ai rischi informatici e la consapevolezza che una nuova cultura del rischio, speculare alla sofisticata rapidità con la quale il mondo cyber si trasforma, può consentire la tutela dei fondamentali diritti della personalità.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-necessari	1 anno	Il cookie è impostato dal plugin GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-statistici	1 anno	Il cookie è impostato dal plugin GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Statistiche".
viewed_cookie_policy	1 anno	Il cookie è impostato dal plugin GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Statistiche".

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_ga_SS477DD0BS	2 anni	Cookie installato da Google Analytics.