Nel 2019 una donna statunitense si è recata presso lo Springhill Medical Center a Mobile, in Alabama, per partorire la sua bambina.
La specialista che seguiva il parto si è accorta però troppo tardi di una complicazione che causava alla neonata un grave danno cerebrale che finiva, nove mesi dopo, per portare alla morte della bambina.
Risarcimento danni per morte da ransomware in Sanità
Fin qui questa tragica storia sembrerebbe “normale” caso di responsabilità medica, ma la particolarità della fattispecie sta nel fatto che l’ospedale era stato vittima, pochi giorni prima del parto, di un attacco ransomware, che ancora nei giorni seguenti manifestava i suoi effetti sulle strumentazioni della struttura ospedaliera.
Se un ransomware può uccidere un neonato: un caso che deve farci riflettere
Sebbene l’ospedale abbia contestato con forza questa ricostruzione, secondo la donna e i legali che la difendono, quel giorno le cartelle cliniche dei pazienti erano inaccessibili, il personale medico non aveva accesso alle apparecchiature utilizzate per monitorare il battito fetale e altre strumentazioni erano offline.
In particolare, il fatto che non fosse possibile monitorare il battito fetale direttamente dai monitor in sala parto avrebbe inciso sulla situazione, in quanto il medico, ove si fosse accorto del calo delle pulsazioni dalla strumentazione, avrebbe potuto optare per un taglio cesareo scongiurando o comunque limitando il danno che si è poi verificato.
Di qui la causa instaurata dalla madre, al fine di veder accertato il primo decesso direttamente connesso con un attacco ransomware e di ricevere dall’ospedale il risarcimento del danno subito.
Il processo
Nel giudizio la madre afferma che l’ospedale è responsabile per tutti i disservizi causati dall’attacco ransomware, e che il personale avrebbe dovuto avvertirla della situazione di emergenza e di ridotta operatività della strumentazione prima di ricoverarla per il parto.
L’ospedale si difende invece affermando che la situazione era tornata, nei limiti del possibile, sotto controllo e consentiva di assistere i pazienti in sicurezza, che il giorno del ricovero della madre l’ospedale aveva diffuso un comunicato in cui dava atto di aver avuto un “incidente di sicurezza” e che comunque la responsabilità di informare i pazienti sullo stato dei sistemi informatici ricade sul singolo medico che, nel caso, sarebbe l’unico responsabile di questa omessa informazione.
La difesa dell’ospedale in effetti coglie nel segno quando i legali della struttura affermano che lo Springhill Medical Center non poteva non assistere i pazienti salvo esporli a rischi maggiori rispetto al ricovero presso la loro struttura.
Il caso di Dusseldorf
Viene infatti subito in mente il caso dell’attacco ransomware all’ospedale di Dusseldorf, dove nel settembre 2020 una donna di settantotto anni avrebbe dovuto essere trasportata in ambulanza per un aneurisma.
Peccato che un attacco ransomware aveva costretto l’ospedale a chiudere il reparto di emergenza e così la paziente ha dovuto essere trasferita a Wuppertal, a un’ora di strada di distanza. Poco dopo essere giunta all’ospedale universitario di Wuppertal, la paziente moriva.
Anche se alla fine le indagini della magistratura di Colonia hanno dimostrato che la paziente, nel caso, sarebbe morta comunque anche se fosse stata accolta nella struttura bloccata dall’attacco hacker, è evidente che nemmeno la scelta di rifiutare il ricovero dei pazienti in presenza di un blocco parziale della strumentazione può essere presa con leggerezza e che la madre avrebbe potuto far causa comunque allo Springhill Medical Center laddove la stessa fosse stata costretta a trasferirsi in un altro ospedale di fronte al rifiuto di un ricovero e la trasferta e il conseguente ritardo avessero comportato comunque danni per la bambina.
Un problema di cybersecurity
Insomma, nel momento in cui la prospettiva non è quella del perimetro di sicurezza informatica dell’azienda, ma piuttosto quella delle alternative a disposizione dell’ospedale, una volta che l’attacco ransomware si è verificato e ha compromesso i sistemi, è evidente che la scelta del centro medico Springhill appare difendibile.
In quella situazione l’ospedale avrebbe infatti potuto, alternativamente, reindirizzare i pazienti verso altri ospedali, oppure trattare presso la propria struttura i pazienti, se ce ne erano le condizioni. Entrambe le decisioni comportano dei rischi e, nel caso, la struttura ha evidentemente ritenuto che per la madre in travaglio fosse meno rischioso partorire presso lo Springhill Medical Center rispetto a raggiungere un altro ospedale.
Il problema è che questa prospettiva è sbagliata. Il punto centrale da comprendere è se questo incidente avrebbe potuto essere evitato e se era o meno tenuto l’ospedale a dotarsi di sistemi di sicurezza informatica tali da scongiurare l’attacco o quantomeno limitarne gli effetti.
Spesso viviamo gli attacchi ransomware come vere e proprie cause di forza maggiore, anzi un “act of god” come si dice nel gergo contrattuale inglese, senza indagare né su chi o cosa ha causato l’attacco, né se l’azienda avrebbe dovuto predisporre dei sistemi di tutela per evitare che l’attacco potesse esprimere conseguenze così tentacolari nella sua struttura IT.
Anche in questo caso, stranamente, dalla lettura della citazione depositata dalla madre, sembra proprio mancare questa critica alla compliance dell’ospedale in tema di sicurezza informatica, quasi come un attacco ransomware, così come un terremoto o un uragano, costituiscano elementi imprevedibili dai quali è impossibile proteggersi.
Dall’atto depositato dai legali della madre, infatti, la cybersecurity dell’ospedale viene in rilievo quasi solo in connessione con il fatto che la struttura avrebbe dovuto prevedere policy per informare i pazienti in caso di cyberattacchi, peccato che in questo modo si ometta di indagare sulle cause dell’attacco e sul fatto se la compromissione ai sistemi informatici dello Springhill Medical Center avrebbe potuto (e dovuto) essere evitata.
Un problema di consenso informato
La causa instaurata contro lo Springhill Medical Center preferisce concentrarsi sul fatto che l’ospedale avrebbe dovuto informare compiutamente la paziente della situazione di compromissione dei propri sistemi informatici nonché dell’estensione e degli effetti dell’attacco hacker subito dalla struttura.
La richiesta è comprensibile e giustificata e infatti sul punto l’ospedale si difende affermando di aver denunciato pubblicamente l’incidente di sicurezza sin dal giorno in cui era avvenuto (9 luglio 2019), precisando in seguito (il 16 luglio, ovvero la data in cui la madre veniva ricoverata) che gli operatori dell’ospedale stavano lavorando per ripristinare tutti i sistemi.
Inoltre, l’ospedale si difende affermando che spettava al medico di informare la paziente con riguardo al fatto che alcune delle strumentazioni non erano in funzione, scaricando così la responsabilità sul proprio personale.
Il problema, a quel punto, è capire se dalla mancata informazione discendono le conseguenze dannose subite dalla parte attrice, ovvero se sussiste un nesso causale fra la mancata informazione e il danno.
La madre dovrà infatti dimostrare che, una volta informata del non perfetto funzionamento di alcuni sistemi, avrebbe scelto di cambiare ospedale, nonché che questo cambiamento di struttura, con i tempi di trasferimento, avrebbe consentito di evitare il danno poi verificatosi.
Risarcimento danni per ransomware, prospettive
La giurisprudenza in tema di risarcimento del danno per cybersecurity non è quindi destinata a subire evoluzioni dirompenti con questo contenzioso, che si concentra su aspetti ancillari rispetto a quello del cyber-risk.
I fatti alla base di questo giudizio, così come quelli di Dusseldorf, incarnano però importanti segnali di allarme riguardo ai rischi di sicurezza IT, con le aziende che devono prevenire il diffondersi di questi attacchi.
Se la formazione dei dipendenti può fare molto per evitare che un attacco ransomware intacchi i sistemi aziendali, è anche vero che gli attaccanti cercheranno sempre nuovi modi per installare i loro software sui pc delle aziende per sperare di ottenere un riscatto, la policy di protezione dei sistemi non può quindi limitarsi ad un’attività di istruzione e formazione.
Quello che serve è quindi concepire le strutture IT in modo da “compartare” i settori e isolare gli strumenti (specie quelli da cui dipendono strumenti salvavita), evitando così che un singolo attacco ransomware metta in ginocchio un’intera azienda (o, peggio, un intero ospedale).
Il rischio cibernetico/informatico deve essere affrontato dalle aziende con massima attenzione e soprattutto il più a monte possibile, possibilmente addirittura a livello di codice, per evitare le minacce e soprattutto la loro diffusione nei sistemi.
Un’evoluzione giurisprudenziale dei casi di risarcimenti connessi ad attacchi informatici contribuirà in futuro a rendere evidente il perimetro delle responsabilità aziendali nel caso e quanto può costare una negligenza in un mondo che ormai definisce standard e requisiti sempre più stringenti con riguardo alla sicurezza IT.
Un’azienda oggi non può più permettersi di trascurare la sicurezza dei propri sistemi informatici, anche perché il diritto estende alle conseguenze della negligenza il risarcimento civile del danno causato (e in certi casi di crassa negligenza anche le responsabilità penali) e questo comporta che un’eventuale incuria nella compliance IT rischia di riverberare in responsabilità davvero estese a mano a mano che le aziende informatizzano i loro sistemi e dipendono dalla tecnologia.
