Di recente ha fatto scalpore la notizia di un attacco informatico ad un ospedale tedesco che ha provocato la morte di una paziente. Non è la prima volta che accade e, di certo, non sarà l’ultima: già in passato abbiamo affrontato l’argomento spiegando come i ritardi nell’intervento da parte dei sanitari (dovuti alla violazione dei sistemi) dal 2012 al 2016 negli Stati Uniti abbiano comportato in incremento di 36 decessi aggiuntivi ogni 10.000 attacchi di cuore.
Anche per questo motivo risulta molto utile indagare sulle possibili conseguenze dell’attacco informatico e, in particolare sulla possibilità o meno di agire nei confronti della struttura sanitaria e del medico.
Sicurezza delle cure e prevenzione del rischio: cosa dice la legge
A tal riguardo, l’art. 1 della Legge 24/2017 anche nota come Legge Gelli-Bianco afferma:
- “La sicurezza delle cure è parte costitutiva del diritto alla salute ed è perseguita nell’interesse dell’individuo e della collettività.
- La sicurezza delle cure si realizza anche mediante l’insieme di tutte le attività finalizzate alla prevenzione e alla gestione del rischio connesso all’erogazione di prestazioni sanitarie e l’utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative.
- Alle attività di prevenzione del rischio messe in atto dalle strutture sanitarie e sociosanitarie, pubbliche e private, è tenuto a concorrere tutto il personale, compresi i liberi professionisti che vi operano in regime di convenzione con il Servizio sanitario nazionale”.
È quindi evidente come la norma in vigore in qualche modo faccia rientrare tra gli obblighi della struttura quello di garantire un livello di sicurezza (anche informatica) adeguato alle aspettative.
La colpa del medico
Il medesimo articolo prevede anche la responsabilità del personale il quale, come noto può essere parte attiva, anche involontariamente, nella causazione di violazione dei sistemi. La domanda quindi è: se a causa di un breach una persona muore o rimane permanentemente menomata, la struttura risponde anche per danno sanitario? La risposta dovrebbe essere affermativa stando alla lettera della norma.
Pensiamo al caso di una persona con respiratore o con cuore artificiale che, a causa di un attacco, si vede impossibilitata a respirare o a pompare il sangue, in questo caso è evidente che qualcosa nei sistemi di sicurezza potrebbe non aver lavorato in modo adeguato. Ma che tipo di responsabilità si dovrebbe applicare?
La riforma Gelli-Bianco modificando sensibilmente la normativa precedente, ha stabilito che il medico operante presso una struttura ospedaliera, quindi non scelto personalmente dal paziente, risponde per responsabilità ex art 2043 cc. Sarà quindi necessario provare, tra l’altro, la colpa del medico. Ma che colpa può avere un medico con riferimento ad un attacco informatico? La colpa è la medesima che sarebbe rinvenibile nel caso di scelta di dispositivi medici non adeguati. Se, ad esempio, il medico decide di utilizzare uno strumento attaccato alla rete, pur sapendo che non è aggiornato e/o sicuro, di fatto ha compiuto una scelta ben precisa condannando il paziente.
È del resto il medico a capo dell’equipe il principale responsabile di tutto ciò che avviene in sala operatoria e ciò proprio in ragione del suo ampio potere decisionale in merito a modi e strumenti.
Le responsabilità della struttura
Naturalmente il medico non avrà alcuna responsabilità invece per operato di altre persone all’interno dell’ospedale. Nel caso quindi in cui, ad esempio, un infermiere di altro reparto dovesse scaricare erroneamente un malware capace di infettare tutti i sistemi, sarebbe poco opportuno agire contro il medico mentre è molto probabile che la struttura possa comunque considerarsi responsabile (a titolo di danno contrattuale) per diversi motivi. In questo caso difatti l’ospedale potrebbe essere chiamato a rispondere per non aver formato adeguatamente il personale, per non aver previsto filtri adeguati a proteggere da questi attacchi e, infine, per non aver previsto sistemi capaci di interrompere attacchi in atto.
Sono quindi molteplici le responsabilità che potrebbero evidenziarsi in caso di data breach in ospedale o comunque attacchi che causano danni ai pazienti.
Per questo le strutture dovrebbero adeguarsi predisponendo ogni tipo di misura necessaria al fine di proteggere i propri sistemi. Non solo, la legge Gelli-Bianco, all’art 10 prevede altresì l’obbligo per ogni struttura di dotarsi di adeguata polizza assicurativa. Allo stesso modo, la normativa italiana obbliga i professionisti facenti parte di albi a dotarsi di assicurazione per i danni derivanti dalla professione.
Tuttavia, non è affatto scontato che queste polizze comprendano i danni derivanti da attacco informatico. Per questo motivo si suggerisce caldamente a medici e titolari di strutture di analizzare accuratamente le proprie polizze in modo da verificare la copertura in caso di simili scenari. I data breach ospedalieri del resto sono sempre più frequenti, nel solo 2020 sono raddoppiati rispetto all’anno precedente. Per questo motivo sarebbe sciocco sottovalutare il problema.
Il caso tedesco del paziente morto per un ransomware non è il primo e non sarà l’ultimo ed anzi, dobbiamo abituarci all’idea che ciò accadrà sempre più di frequente.
