BioeticaNormativa

Dati e sicurezza informatica nello studio medico legale (parte 2°)

Infrastruttura digitale, protezione dei dati, rischi emergenti e obblighi del professionista sanitario nell’era della digitalizzazione

Enrico Pizzorno
Enrico Pizzorno
17 Min Read

Continuiamo il nostro viaggio sulla protezione dei dati sensibili e sicurezza informatica dei nostri studi grazie al contributo del nostro Enrico Pizzorno e di Roberto Grigoletto, consulente informatico.

Sommario

I dispositivi NAS negli studi professionali: potenzialità e profili di rischio

I dispositivi di archiviazione in rete (NAS, Network Attached Storage) sono ampiamente adottati negli studi professionali in quanto consentono la centralizzazione dell’archivio digitale, la condivisione dei dati tra più postazioni e, spesso, funzioni integrate di backup automatico e accesso remoto. Tuttavia, un NAS mal configurato espone lo studio a rischi di sicurezza significativi, talvolta superiori a quelli di un sistema più semplice ma correttamente gestito.

Una delle più frequenti fonti di equivoco riguarda la tecnologia RAID (Redundant Array of Independent Disks): una configurazione hardware che distribuisce i dati su più dischi fisici al fine di garantire la continuità operativa in caso di guasto di un singolo disco. Il RAID aumenta la resilienza dell’hardware, ma non costituisce un backup: in presenza di cancellazione accidentale, cifratura da malware o corruzione logica dei dati, il RAID conserva e replica fedelmente i dati compromessi.

L’abilitazione dell’acceso remoto al NAS

Il secondo profilo di rischio attiene all’esposizione del dispositivo su Internet. L’abilitazione dell’accesso remoto al NAS — funzione spesso attivata per consentire al professionista di consultare i documenti da fuori studio — apre di fatto una porta di accesso alla rete interna raggiungibile dall’esterno. Soggetti malintenzionati utilizzano strumenti automatizzati per identificare dispositivi esposti sulla rete pubblica con configurazioni vulnerabili (firmware non aggiornato, credenziali predefinite, porte aperte non necessarie) e procedono a tentativi di accesso sistematici. L’archivio sanitario non viene “scovato” deliberatamente: viene individuato automaticamente come target opportunistico.

In caso di furto fisico del dispositivo o rimozione dei dischi, la cifratura dei dati memorizzati sul NAS costituisce l’unica misura in grado di impedire l’accesso non autorizzato ai dati dei pazienti. In assenza di cifratura, il furto dell’hardware si traduce automaticamente in una violazione dei dati personali ai sensi del GDPR, con conseguente obbligo di notifica all’Autorità Garante entro 72 ore e, nei casi più gravi, comunicazione agli interessati.

Caso di riferimento — Il ransomware DeadBolt ha colpito sistematicamente migliaia di dispositivi NAS esposti sulla rete pubblica, con modalità che evidenziano come l’accesso remoto non adeguatamente configurato e la mancata applicazione degli aggiornamenti firmware rappresentino vettori di attacco primari anche in contesti professionali. Ars Technica, 2022

Servizi cloud e localizzazione dei dati: il quadro normativo europeo

Il ricorso a servizi cloud per l’archiviazione e la gestione della documentazione sanitaria è in costante crescita e può rappresentare, se correttamente implementato, una soluzione efficace per la protezione dei dati rispetto ai rischi di perdita locale. Tuttavia, l’utilizzo di tali servizi implica la condivisione della responsabilità sulla sicurezza tra il professionista e il fornitore: quest’ultimo garantisce la protezione dell’infrastruttura, ma le modalità di utilizzo — gestione delle credenziali, configurazione dei permessi, abilitazione dell’autenticazione multifattoriale, cessazione degli accessi dei collaboratori — rimangono di esclusiva competenza dell’utilizzatore.

La localizzazione geografica dei dati

Di particolare rilievo, in ambito sanitario, è la questione della localizzazione geografica dei dati. Il trattamento di dati personali al di fuori del territorio dell’Unione Europea è soggetto a specifiche condizioni ai sensi del Capo V del GDPR. I dati sanitari, in quanto dati appartenenti a categorie particolari ai sensi dell’art. 9 del Regolamento, godono di un regime di protezione rafforzata che rende ancora più stringenti le valutazioni sul trasferimento transfrontaliero. L’utilizzo di servizi con infrastrutture extra-UE potrebbe esporre il titolare del trattamento a contestazioni in ordine alla base giuridica del trasferimento, in particolare alla luce delle pronunce della Corte di Giustizia dell’Unione Europea in materia.

Per il medico legale che tratta dati di elevata sensibilità — perizie, valutazioni del danno, fascicoli contenenti referti e atti giudiziari — la scelta di soluzioni con garanzia contrattuale di residenza dei dati in territorio UE (data residency) non è soltanto una buona pratica, ma può costituire un requisito ai fini della conformità normativa.

Caso di riferimento — Nel luglio 2020 la Corte di Giustizia dell’Unione Europea ha annullato il Privacy Shield, l’accordo che consentiva il trasferimento di dati personali verso gli Stati Uniti, per insufficienza delle garanzie offerte ai cittadini europei rispetto all’accesso dei servizi di intelligence statunitensi. La pronuncia ha avuto ricadute rilevanti sull’utilizzo di servizi cloud con infrastrutture nordamericane da parte di operatori europei. Reuters, luglio 2020

Servizi gratuiti, pubblicità e tracciamento: il problema del modello economico

La disponibilità di strumenti digitali gratuiti o a costo marginale costituisce un elemento di forte attrazione per il professionista sanitario, tanto più in un contesto di risorse limitate come quello degli studi di piccole dimensioni. Tuttavia, il medico legale deve essere consapevole che molti di questi strumenti sono stati concepiti per un mercato di consumo di massa, nel cui modello economico il finanziamento avviene prevalentemente attraverso la raccolta e la valorizzazione dei dati degli utenti a fini pubblicitari e di profilazione.

La distinzione tra dato clinico e metadato è in questo contesto spesso irrilevante sul piano pratico. Non è necessario che un sistema acquisisca il contenuto di una diagnosi: è sufficiente registrare che un determinato soggetto ha consultato una pagina relativa a una patologia, ha compilato un modulo su una specifica condizione clinica o ha scambiato messaggi con un professionista in una determinata specialità per ricavare informazioni di natura sanitaria. Le condizioni generali di utilizzo di questi servizi prevedono frequentemente la condivisione dei dati con terze parti per finalità di marketing e analisi, con formulazioni che rendono difficoltosa la valutazione dell’effettivo utilizzo delle informazioni trattate.

l problema del “open source”

Va tuttavia precisato che non tutto ciò che è gratuito è necessariamente inadeguato. Il software a codice aperto (open source) è spesso utilizzato in ambiti ad altissima sensibilità, tra cui l’informatica forense, proprio per la trasparenza del codice e la verificabilità delle sue funzioni. La valutazione non può pertanto essere fondata unicamente sul costo del servizio, ma deve considerare il modello economico del fornitore, le condizioni contrattuali sul trattamento dei dati e la coerenza dello strumento con i requisiti normativi applicabili.

Caso di riferimento — Nel 2023 la Federal Trade Commission statunitense ha contestato alla piattaforma BetterHelp la condivisione di dati sanitari degli utenti con soggetti terzi a fini pubblicitari, in violazione degli impegni di riservatezza assunti. Il caso ha avuto vasta eco come esempio paradigmatico del rischio connesso all’utilizzo di strumenti digitali consumer in ambito sanitario. AP News, 2023

Intelligenza artificiale generativa: opportunità e limiti nell’utilizzo professionale

L’adozione di strumenti di intelligenza artificiale generativa nella pratica professionale è in rapida espansione anche in ambito medico-legale. Le potenzialità applicative sono concrete: redazione di bozze documentali, riformulazione di testi tecnici, supporto alla ricerca bibliografica, elaborazione di modelli comunicativi standard. Tuttavia, la facilità d’uso di questi strumenti può indurre a un utilizzo che, senza adeguate cautele, si pone in contrasto con gli obblighi normativi in materia di protezione dei dati personali.

Il punto critico è di natura strutturale: i servizi di intelligenza artificiale generativa disponibili nella maggior parte dei casi operano attraverso infrastrutture esterne. Il testo inserito dall’utente viene trasmesso a server di terzi, può essere registrato nei log di sistema, conservato per finalità di miglioramento del servizio e, in alcuni casi, utilizzato per l’addestramento dei modelli. L’inserimento di dati personali dei pazienti — anche parziali o apparentemente anonimizzati — configura pertanto un trasferimento di dati a un soggetto terzo, con tutte le implicazioni che ne derivano sul piano del GDPR e degli obblighi del titolare del trattamento.

All’IA non fornite dati sensibili

Va precisato che le principali piattaforme di intelligenza artificiale offrono funzionalità configurabili che consentono di limitare l’utilizzo dei dati inseriti per l’addestramento dei modelli e di disattivare la conservazione della cronologia. Queste opzioni, tuttavia, richiedono una configurazione attiva da parte dell’utente e una conoscenza sufficiente delle condizioni contrattuali del servizio. In ogni caso, la regola di prudenza fondamentale rimane invariata: nessun dato identificativo del paziente — né referti integrali, né cartelle cliniche, né dettagli riconoscibili di casi reali — dovrebbe essere inserito in servizi di intelligenza artificiale generativa non specificamente configurati per il trattamento di dati sanitari.

La c.d. de-identificazione parziale non offre garanzie sufficienti. In medicina legale, la riconoscibilità di un caso specifico può derivare dalla combinazione di elementi non immediatamente identificativi: età, professione, data, luogo, dinamica dell’evento, condizioni cliniche rare. La rimozione del nominativo non equivale all’anonimizzazione in senso tecnico e giuridico.

Caso di riferimento — Nel dicembre 2024 il Garante per la protezione dei dati personali ha irrogato a OpenAI una sanzione di 15 milioni di euro per violazioni delle disposizioni in materia di protezione dei dati personali connesse al servizio ChatGPT. Il provvedimento conferma che i servizi di intelligenza artificiale sono soggetti alla normativa europea in materia e che la relativa applicazione è oggetto di un controllo regolatorio attivo. Reuters, dicembre 2024

Continuità operativa, gestione degli incidenti e rischio di filiera

La sicurezza informatica non si esaurisce nella prevenzione degli accessi non autorizzati. Un profilo altrettanto rilevante, spesso sottovalutato negli studi professionali, è quello della continuità operativa: la capacità di mantenere o ripristinare rapidamente le funzioni essenziali dello studio in caso di interruzione dei sistemi informativi, indipendentemente dalla causa.

Un piano minimo di continuità operativa dovrebbe rispondere ad alcune domande essenziali: in caso di indisponibilità del gestionale, dove viene annotata l’attività? Come vengono gestite le prescrizioni e i pagamenti? Come si recuperano i riferimenti di contatto dei pazienti? Qual’è la modalità con cui vengono comunicati eventuali rinvii? La predisposizione di procedure alternative — anche elementari — per la gestione delle attività critiche in modalità analogica rappresenta una misura di resilienza essenziale.

Il sospetto incidente informatico

In caso di sospetto incidente informatico, il comportamento più frequente — il tentativo immediato di diagnosi e riparazione autonoma — è spesso controproducente. In presenza di un possibile attacco ransomware o di una compromissione dei sistemi, la priorità è il contenimento: isolare dalla rete i dispositivi potenzialmente colpiti per impedire la propagazione, e contattare un professionista qualificato prima di eseguire qualsiasi altra operazione. Azioni intempestive possono aggravare il danno e, in alcuni casi, rendere impossibile il recupero dei dati.

Un profilo di rischio specificamente moderno è quello del cosiddetto rischio di filiera: la dipendenza dello studio da fornitori terzi — portali istituzionali, piattaforme di fatturazione elettronica, sistemi di prescrizione e prenotazione, software gestionali in cloud — determina un’esposizione indiretta agli eventi avversi che colpiscono tali fornitori. Un attacco informatico a un fornitore critico può rendere inaccessibili servizi essenziali per l’operatività dello studio senza che il professionista abbia alcuna responsabilità nella causa dell’evento.

Caso di riferimento — Nel febbraio 2024 l’attacco informatico al sistema Change Healthcare, parte del gruppo UnitedHealth, ha determinato interruzioni di ampia portata nei processi di autorizzazione e rimborso delle farmacie e degli operatori sanitari statunitensi, con effetti a catena sull’intero ecosistema sanitario. Il caso rappresenta una dimostrazione concreta di come il rischio informatico si propaghi lungo le catene di fornitura dei servizi sanitari. Reuters, febbraio 2024

Verso una cultura della sicurezza informatica: requisiti minimi e dialogo con il tecnico

La sicurezza informatica di uno studio medico-legale non si misura dalla quantità degli strumenti installati, bensì dalla coerenza e dalla consapevolezza con cui le misure adottate vengono gestite nel tempo. Uno studio dotato di antivirus, firewall e backup può risultare più vulnerabile di uno studio con un’infrastruttura semplice ma correttamente configurata e mantenuta, qualora le misure siano presenti in forma nominale ma non effettivamente operative.

L’obiettivo non è trasformare il medico legale in un esperto informatico. È invece quello di renderlo un interlocutore consapevole del proprio tecnico di fiducia, in grado di porre domande concrete e di comprenderne le risposte. Domande come: in caso di guasto del sistema principale, quanti dati si perdono e in quanto tempo si ripristina l’operatività? I dati archiviati nel cloud si trovano in infrastrutture europee? Se un collaboratore cessa la propria attività, come vengono revocati i suoi accessi? In caso di furto del portatile, i dati dei pazienti sono accessibili? Queste non sono domande tecniche: sono domande di governo del rischio, pienamente comprensibili e formulabili da qualsiasi professionista.

I requisiti minimi esigibili

Sul piano dei requisiti minimi esigibili, una sintesi operativa potrebbe comprendere:

  • conoscere la localizzazione dei dati e i sistemi che li trattano;
  • garantire l’unicità delle credenziali di accesso e adottare l’autenticazione multifattoriale per tutti i servizi critici;
  • disporre di un sistema di backup verificato, periodico e separato dall’infrastruttura produttiva;
  • mantenere aggiornati firmware e software di tutti i dispositivi connessi alla rete;
  • evitare l’utilizzo di servizi consumer non conformi ai requisiti normativi per il trattamento di dati sanitari;
  • adottare misure di cifratura per i dispositivi mobili e portatili;
  • predisporre procedure minime di continuità operativa in modalità analogica.

In ambito sanitario, la sicurezza informatica non è soltanto una questione di protezione del patrimonio informativo. È una componente della qualità e della continuità delle prestazioni professionali, con dirette implicazioni sul piano della responsabilità del professionista e, in ultima analisi, sulla tutela dei diritti dei soggetti tutelati.

Caso di riferimento — Un rapporto del National Audit Office britannico pubblicato all’esito dell’attacco WannaCry del 2017 ha evidenziato che il Servizio Sanitario Nazionale avrebbe potuto evitare la maggior parte degli effetti dell’incidente attraverso l’adozione di misure di sicurezza informatica di base. Il rapporto ha documentato la cancellazione di migliaia di appuntamenti e l’interruzione di numerosi servizi clinici, a conferma che la vulnerabilità informatica in sanità si traduce in danni concreti per i pazienti. The Guardian, 2017

Accertamento dell’età nei minori: cosa ci dice l’Europa
Decreto 24-11-17 Linee Guida donne vittime di violenza sessuale
Corpo donato alla scienza: le regole
Simlaweb giurisprudenza e normativa: il meglio del 2025
Sul Sole 24 ore Sanità le Prof.sse Pelotti e Ingravallo sulla pianficazione condivisa delle cure
TAGGED:
Precedente Dati e sicurezza informatica nello studio medico legale (parte 1°)
Prossimo Simla Pills n. 129

Categorie

Articoli recenti

Congresso SIMLA 2026 un grande successo
SIMLA Eventi e Formazione
Congresso SIMLA Roma 2026: 20 giugno
Congresso Simla SIMLA
Congresso SIMLA Roma 2026: 19 giugno
SIMLA Congresso Simla
Congresso SIMLA Roma 2026: 18 giugno
SIMLA Congresso Simla
- Convenzione Club Medici Legali -
- Convenzione Sanitassicura -
- Simla -
Il tuo attestato di Iscrizione a Simla