cyber security

Pazienti danneggiati da attacco informatico: ecco le responsabilità legali di medici e ospedali

Gli attacchi informagli ospedali sono sempre più frequenti: nel solo 2020 sono raddoppiati rispetto al 2019. Il caso tedesco della paziente morta per un ransomware non sarà l’ultimo. Ecco cosa dice la legge su responsabilità di medici e strutture in questo caso

Pubblicato il 09 Ott 2020

Diego Dimalta

Studio Legale Dimalta e Associati

ransomware

Di recente ha fatto scalpore la notizia di un attacco informatico ad un ospedale tedesco che ha provocato la morte di una paziente. Non è la prima volta che accade e, di certo, non sarà l’ultima: già in passato abbiamo affrontato l’argomento spiegando come i ritardi nell’intervento da parte dei sanitari (dovuti alla violazione dei sistemi) dal 2012 al 2016 negli Stati Uniti abbiano comportato in incremento di 36 decessi aggiuntivi ogni 10.000 attacchi di cuore.

Anche per questo motivo risulta molto utile indagare sulle possibili conseguenze dell’attacco informatico e, in particolare sulla possibilità o meno di agire nei confronti della struttura sanitaria e del medico.

Sicurezza delle cure e prevenzione del rischio: cosa dice la legge

A tal riguardo, l’art. 1 della Legge 24/2017 anche nota come Legge Gelli-Bianco afferma:

  • “La sicurezza delle cure è parte costitutiva del diritto alla salute ed è perseguita nell’interesse dell’individuo e della collettività.
  • La sicurezza delle cure si realizza anche mediante l’insieme di tutte le attività finalizzate alla prevenzione e alla gestione del rischio connesso all’erogazione di prestazioni sanitarie e l’utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative.
  • Alle attività di prevenzione del rischio messe in atto dalle strutture sanitarie e sociosanitarie, pubbliche e private, è tenuto a concorrere tutto il personale, compresi i liberi professionisti che vi operano in regime di convenzione con il Servizio sanitario nazionale”.

È quindi evidente come la norma in vigore in qualche modo faccia rientrare tra gli obblighi della struttura quello di garantire un livello di sicurezza (anche informatica) adeguato alle aspettative.

La colpa del medico

Il medesimo articolo prevede anche la responsabilità del personale il quale, come noto può essere parte attiva, anche involontariamente, nella causazione di violazione dei sistemi. La domanda quindi è: se a causa di un breach una persona muore o rimane permanentemente menomata, la struttura risponde anche per danno sanitario? La risposta dovrebbe essere affermativa stando alla lettera della norma.

Pensiamo al caso di una persona con respiratore o con cuore artificiale che, a causa di un attacco, si vede impossibilitata a respirare o a pompare il sangue, in questo caso è evidente che qualcosa nei sistemi di sicurezza potrebbe non aver lavorato in modo adeguato. Ma che tipo di responsabilità si dovrebbe applicare?

La riforma Gelli-Bianco modificando sensibilmente la normativa precedente, ha stabilito che il medico operante presso una struttura ospedaliera, quindi non scelto personalmente dal paziente, risponde per responsabilità ex art 2043 cc. Sarà quindi necessario provare, tra l’altro, la colpa del medico. Ma che colpa può avere un medico con riferimento ad un attacco informatico? La colpa è la medesima che sarebbe rinvenibile nel caso di scelta di dispositivi medici non adeguati. Se, ad esempio, il medico decide di utilizzare uno strumento attaccato alla rete, pur sapendo che non è aggiornato e/o sicuro, di fatto ha compiuto una scelta ben precisa condannando il paziente.

È del resto il medico a capo dell’equipe il principale responsabile di tutto ciò che avviene in sala operatoria e ciò proprio in ragione del suo ampio potere decisionale in merito a modi e strumenti.

Le responsabilità della struttura

Naturalmente il medico non avrà alcuna responsabilità invece per operato di altre persone all’interno dell’ospedale. Nel caso quindi in cui, ad esempio, un infermiere di altro reparto dovesse scaricare erroneamente un malware capace di infettare tutti i sistemi, sarebbe poco opportuno agire contro il medico mentre è molto probabile che la struttura possa comunque considerarsi responsabile (a titolo di danno contrattuale) per diversi motivi. In questo caso difatti l’ospedale potrebbe essere chiamato a rispondere per non aver formato adeguatamente il personale, per non aver previsto filtri adeguati a proteggere da questi attacchi e, infine, per non aver previsto sistemi capaci di interrompere attacchi in atto.

Sono quindi molteplici le responsabilità che potrebbero evidenziarsi in caso di data breach in ospedale o comunque attacchi che causano danni ai pazienti.

Per questo le strutture dovrebbero adeguarsi predisponendo ogni tipo di misura necessaria al fine di proteggere i propri sistemi. Non solo, la legge Gelli-Bianco, all’art 10 prevede altresì l’obbligo per ogni struttura di dotarsi di adeguata polizza assicurativa. Allo stesso modo, la normativa italiana obbliga i professionisti facenti parte di albi a dotarsi di assicurazione per i danni derivanti dalla professione.

Tuttavia, non è affatto scontato che queste polizze comprendano i danni derivanti da attacco informatico. Per questo motivo si suggerisce caldamente a medici e titolari di strutture di analizzare accuratamente le proprie polizze in modo da verificare la copertura in caso di simili scenari. I data breach ospedalieri del resto sono sempre più frequenti, nel solo 2020 sono raddoppiati rispetto all’anno precedente. Per questo motivo sarebbe sciocco sottovalutare il problema.

Il caso tedesco del paziente morto per un ransomware non è il primo e non sarà l’ultimo ed anzi, dobbiamo abituarci all’idea che ciò accadrà sempre più di frequente.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati