BioeticaNormativa

Dati e sicurezza informatica nello studio medico legale (parte 1°)

Infrastruttura digitale, protezione dei dati, rischi emergenti e obblighi del professionista sanitario nell’era della digitalizzazione

Enrico Pizzorno
Enrico Pizzorno
13 Min Read

La sicurezza informatica nello studio medico legale è un argomento che conosciamo davvero poco e assume particolare importanza perché, ovviamente, nello specifico campo professionale . ma anche in quelli di altri come, per favore un esempio, quello degli studi legali, è forzatamente legato all’utilizzo di dati “ipersensibili” nell’ottica del rispetto della privacy ma anche in riferimento alla possibilità che i dati registrati vengano carpiti per utilizzi al di fuori del perimetro dell’utilizzo.

Sommario

Ecco perché questo contributo del nostro Enrico Pizzorno e di Roberto Grigoletto, consulente informatico, ci pare degno di grande attenzione.

Premessa: finalità e perimetro del contributo

Il processo di digitalizzazione degli studi medici e delle strutture sanitarie ha determinato una profonda trasformazione delle modalità di produzione, archiviazione e trasmissione della documentazione clinica. Ciò che un tempo trovava collocazione in archivi cartacei fisicamente delimitati e custoditi oggi è distribuito in ambienti digitali compositi: dispositivi locali, reti interne, sistemi di archiviazione in rete (NAS), piattaforme cloud, applicativi gestionali, canali di comunicazione elettronica.

Questa trasformazione non ha modificato soltanto le modalità operative, ma ha ridefinito il concetto stesso di “protezione della cartella”, con implicazioni dirette sul piano della responsabilità professionale. Il medico legale che gestisce documentazione sanitaria — sia essa riferita alla propria attività valutativa, peritale o clinica — è tenuto a garantire la sicurezza di tali dati non solo in ragione della normativa sulla protezione dei dati personali (Regolamento UE 2016/679 e d.lgs. 196/2003 come modificato dal d.lgs. 101/2018), ma anche in quanto custode di informazioni la cui integrità, riservatezza e disponibilità possono incidere direttamente sui diritti dei soggetti tutelati.

Il presente contributo non si propone come manuale tecnico-informatico, né vuole sostituire la necessaria consulenza di un professionista specializzato. Intende invece offrire al medico legale un quadro concettuale e operativo aggiornato, utile a orientare scelte consapevoli in materia di gestione sicura della documentazione digitale, con specifico riferimento alle vulnerabilità tipiche degli studi professionali e alle implicazioni di responsabilità che ne derivano.

I fondamenti della sicurezza informatica in sanità: riservatezza, integrità, disponibilità

La letteratura tecnica e normativa in materia di sicurezza informatica identifica tre principi cardine, universalmente adottati come parametri di valutazione della robustezza dei sistemi informativi in ambito sanitario: la riservatezza (confidentiality), l’integrità (integrity) e la disponibilità (availability), sintetizzati nell’acronimo CIA.

Riservatezza: i dati sanitari devono essere accessibili esclusivamente ai soggetti autorizzati. La condivisione non controllata di credenziali, l’accesso indiscriminato alle cartelle cliniche da parte di personale non autorizzato, l’utilizzo di dispositivi personali non protetti configurano violazioni di questo principio con potenziali ricadute sia sul piano del GDPR sia su quello della responsabilità professionale.

Integrità: la documentazione clinica non deve poter essere alterata, eliminata o corrotta senza che sia possibile ricostruire l’evento. La perdita di integrità, ove non rilevata tempestivamente, può inficiare il valore probatorio degli atti medici in sede giudiziaria e peritale.

Disponibilità: i dati devono essere accessibili al professionista ogniqualvolta ciò sia necessario per l’esercizio dell’attività. L’interruzione della disponibilità dei sistemi informativi sanitari — causata da guasti, da attacchi informatici o da configurazioni errate — genera disservizi con potenziali riflessi sulla continuità delle cure e, nei contesti di medicina legale, sulla tempestività degli adempimenti valutativi.

I possibili attacchi

Va sottolineato che questi tre principi sono tra loro interdipendenti. Un attacco di tipo ransomware, ad esempio, non viola soltanto la disponibilità: cifra i file alterandone l’integrità e, nella variante della cosiddetta “doppia estorsione”, compromette anche la riservatezza mediante esfiltrazione e minaccia di pubblicazione dei dati. La valutazione di un incidente informatico in ambito sanitario non può pertanto limitarsi a un’analisi settoriale, ma deve considerare l’impatto su ciascuna delle tre dimensioni.

Caso di riferimento — Nel giugno 2024 un grave attacco informatico ha colpito i sistemi informativi di alcuni dei principali ospedali di Londra, determinando un impatto significativo sull’erogazione dei servizi sanitari. L’episodio illustra concretamente le conseguenze operative e cliniche della perdita di disponibilità dei sistemi informativi in ambito ospedaliero. Reuters, giugno 2024

La mappatura del perimetro digitale: dove risiedono i dati dello studio

Una corretta gestione della sicurezza informatica presuppone, in primo luogo, la conoscenza puntuale del perimetro digitale entro cui i dati del paziente vengono trattati. Nella pratica degli studi di medicina legale tale perimetro è frequentemente più esteso di quanto il professionista percepisca.

A titolo esemplificativo, un singolo referto può transitare attraverso un portale istituzionale, essere scaricato sul dispositivo del medico, archiviato nel gestionale, trasmesso via posta elettronica, stampato, scansionato e caricato su una piattaforma cloud con sincronizzazione automatica. In ciascuno di questi passaggi il dato cambia “posizione” e “forma”, e in ciascuno di essi può essere esposto a rischi specifici.

Occorre pertanto operare una distinzione concettuale fondamentale tra salvataggio e sincronizzazione. Il salvataggio in un determinato supporto crea una copia statica in quel punto. La sincronizzazione, invece, mantiene l’allineamento tra più ambienti in tempo reale: una modifica apportata a un file si propaga automaticamente a tutti i sistemi sincronizzati, inclusa l’eventuale cifratura da parte di un malware o la cancellazione accidentale. L’equivalenza tra “sincronizzato” e “protetto” è pertanto erronea e può indurre in false sicurezze con conseguenze di rilievo in caso di incidente.

Furti, guasti e crollo dei cloud

La mappatura del perimetro digitale — anche nella sua forma più elementare — consente di rispondere a domande operative essenziali: in caso di furto del dispositivo portatile, i dati dei pazienti sono esposti? In caso di guasto del sistema principale, lo studio può proseguire l’attività? In caso di indisponibilità del servizio cloud, quali funzioni vengono compromesse? Si tratta di interrogativi che il professionista sanitario dovrebbe essere in grado di formulare e a cui il proprio tecnico di riferimento dovrebbe fornire risposte chiare e documentate.

Caso di riferimento — Nell’agosto 2021 un attacco informatico ai sistemi informativi della Regione Lazio ha causato l’interruzione di numerosi servizi, tra cui le prenotazioni vaccinali. L’episodio ha evidenziato come la dipendenza da infrastrutture digitali centralizzate renda qualsiasi interruzione informatica un problema operativo, oltre che tecnico, con ricadute immediate sull’erogazione delle prestazioni sanitarie alla popolazione. ANSA, agosto 2021

Credenziali di accesso, autenticazione multifattoriale e truffe informatiche

Le credenziali di accesso ai sistemi informativi rappresentano il principale vettore di compromissione dei dati in ambito professionale. È documentato che la maggioranza delle violazioni dei sistemi informatici non avviene attraverso tecniche di intrusione sofisticate, bensì mediante l’utilizzo di credenziali rubate, indovinate o riutilizzate su più piattaforme. In questo contesto, la scelta di password non adeguate o il loro impiego condiviso tra più utenti dello studio costituisce una vulnerabilità strutturale di primo ordine.

Particolarmente critica è la prassi, diffusa negli studi di piccole e medie dimensioni, dell’account condiviso: un’unica combinazione di credenziali utilizzata da più operatori. Questa prassi comporta almeno tre ordini di problemi: l’impossibilità di attribuire le singole operazioni a un utente identificato; l’incapacità di revocare selettivamente l’accesso in caso di cessazione del rapporto di collaborazione; il rischio che la compromissione delle credenziali di un singolo soggetto determini l’accesso non autorizzato all’intero sistema. Sul piano della responsabilità in materia di protezione dei dati, l’utilizzo di account condivisi è espressamente incompatibile con i principi di accountability e tracciabilità sanciti dal GDPR.

L’autenticazione a due fattori

L’autenticazione a due fattori (2FA/MFA) rappresenta una misura tecnica di elevatissima efficacia e di agevole implementazione, che consente di mitigare significativamente il rischio connesso alla compromissione delle credenziali. Il meccanismo si fonda sul principio per cui l’accesso richiede, oltre alla conoscenza della password, il possesso di un secondo elemento — tipicamente un codice temporaneo generato da un’applicazione dedicata o trasmesso via SMS. L’adozione di questo strumento dovrebbe essere considerata requisito minimo per tutti i sistemi che trattano dati sanitari.

Un capitolo a parte meritano le tecniche di ingegneria sociale, in particolare il phishing: messaggi di posta elettronica, SMS o applicazioni di messaggistica istantanea che simulano comunicazioni di soggetti istituzionali o professionali al fine di indurre il destinatario a divulgare le proprie credenziali o a eseguire azioni pregiudizievoli. Negli studi medici il rischio è amplificato dall’elevato volume di comunicazioni digitali e dalla natura dei contenuti attesi: un messaggio che simuli la notifica di un referto o di una comunicazione istituzionale può essere aperto “d’istinto”, senza le necessarie verifiche preliminari.

Caso di riferimento — Nel 2020 la violazione informatica subita dal centro di psicoterapia finlandese Vastaamo ha determinato la pubblicazione di numerose cartelle cliniche e il ricatto diretto dei pazienti. Il caso, di ampio risalto internazionale, illustra in modo paradigmatico le conseguenze di una compromissione dei dati sanitari e il livello di danno personale che ne può derivare. AP News, 2020

La copia di sicurezza: distinzione tra backup, sincronizzazione e ripristino

Il backup costituisce uno degli strumenti più rilevanti ai fini della continuità operativa e della tutela della documentazione sanitaria. Tuttavia è anche uno degli aspetti più frequentemente fraintesi. La mera presenza di una copia dei dati su un secondo dispositivo non configura di per sé un backup efficace: ciò che qualifica un sistema di backup è la capacità di ripristinare i dati in uno stato integro e coerente a seguito di un evento avverso.

Ai fini di una corretta valutazione, è necessario distinguere tra due parametri fondamentali. Il primo riguarda la quantità di dati potenzialmente perduta in caso di incidente, misurata come intervallo temporale rispetto all’ultima copia valida disponibile. Il secondo attiene al tempo necessario per il ripristino dell’operatività, ossia l’intervallo tra il verificarsi dell’evento avverso e il momento in cui lo studio può riprendere l’attività in condizioni normali. Entrambi i parametri dovrebbero essere esplicitamente definiti nell’ambito di qualsiasi piano di gestione della sicurezza informatica.

Il backup

Un backup attendibile deve soddisfare almeno tre requisiti: la separazione dalla infrastruttura produttiva (una copia sullo stesso dispositivo o sullo stesso supporto di rete non è protetta dai medesimi rischi che potrebbero colpire i dati originali); la periodicità regolare e verificata; la testabilità, ovvero la possibilità di procedere concretamente al ripristino dei dati. Quest’ultimo requisito è spesso trascurato: un backup la cui integrità non sia stata verificata mediante un ripristino di prova non offre garanzie concrete. I cosiddetti backup “immutabili” — copie che per un periodo predefinito non possono essere modificate o cancellate — rappresentano una soluzione tecnica particolarmente robusta in contesti ad elevato rischio di attacco ransomware.

Caso di riferimento — A seguito dell’attacco ransomware subito dall’ASL 1 dell’Abruzzo nel maggio 2023, la struttura ha dovuto ricorrere a modalità analogiche per la gestione delle attività cliniche e amministrative, con prolungate difficoltà operative. Il caso rappresenta un riferimento emblematico circa le conseguenze concrete dell’assenza di un piano di ripristino efficace. Wired Italia, 2023

Simlaweb giurisprudenza e normativa: il meglio del 2025
Riforma comitati etici: un punto di svolta
L’accertamento dell’età è una questione medico-legale
Gli ultimi decreti governativi: ready, steady, go ?
Consulta e procreazione assistita: la donna al centro
TAGGED:
Precedente Tra Diritto e … confusione 
Prossimo Dati e sicurezza informatica nello studio medico legale (parte 2°)

Categorie

Articoli recenti

Neuropatologia forense: update 2026
Patologia Forense
Congresso SIMLA 2026 un grande successo
SIMLA Eventi e Formazione
Congresso SIMLA Roma 2026: 20 giugno
Congresso Simla SIMLA
Congresso SIMLA Roma 2026: 19 giugno
SIMLA Congresso Simla
- Convenzione Club Medici Legali -
- Convenzione Sanitassicura -
- Simla -
Il tuo attestato di Iscrizione a Simla