Architettura e Sicurezza dell'Ecosistema Dati Sanitari (EDS) - La Sanità Digitale italiana

Architettura e Sicurezza dell’Ecosistema Dati Sanitari (EDS) – La Sanità Digitale italiana

A cura di:Redazione Ore

L’Ecosistema Dati Sanitari (EDS) adotta un’architettura modulare con separazione tra dati in chiaro, pseudonimizzati e anonimi. Implementa avanzate tecniche di sicurezza multilivello e consente alle regioni flessibilità implementativa. Il sistema integra un dossier farmaceutico innovativo e meccanismi di accesso in emergenza, bilanciando interoperabilità nazionale, protezione dei dati personali e rispetto delle autonomie regionali in un modello di federalismo sanitario digitale.

Il Decreto 31 dicembre 2024, pubblicato nella Gazzetta Ufficiale il 5 marzo 2025, delinea un’architettura complessa e stratificata per l’Ecosistema Dati Sanitari (EDS), progettata con particolare attenzione agli aspetti di sicurezza informatica e protezione dei dati personali. L’esame degli allegati tecnici rivela un sistema concepito secondo principi di segregazione, minimizzazione e protezione avanzata delle informazioni sanitarie degli assistiti.

Il modulo dati: gestione differenziata delle informazioni

La struttura dell’EDS si articola in tre componenti principali interdipendenti ma nettamente separate sul piano funzionale e architetturale. Il modulo dati rappresenta il nucleo del sistema ed è stato progettato seguendo una rigorosa separazione delle tipologie di informazioni trattate. All’interno di questo modulo troviamo innanzitutto la componente dedicata ai dati in chiaro, caratterizzata da un’architettura distribuita composta da 22 unità di archiviazione autonome.

Di queste, 21 sono dedicate specificamente alle singole Regioni e Province Autonome (UA-R), mentre una è riservata ai Servizi di Assistenza Sanitaria al personale Navigante (UA-SASN). Questa segmentazione garantisce che i dati di ciascuna regione rimangano distinti e separati, evitando commistioni o accessi non autorizzati tra diverse giurisdizioni regionali. Significativamente, il sistema prevede che i dati condivisi dal Sistema Tessera Sanitaria vengano indirizzati e conservati esclusivamente nell’unità di archiviazione della Regione che li ha originariamente prodotti, rafforzando ulteriormente il principio di segregazione territoriale delle informazioni.

Dati pseudonimizzati e anonimizzati: approccio centralizzato con separazione logica

La seconda componente del modulo dati è dedicata alla gestione dei dati pseudonimizzati ed è costituita da un’unica unità centralizzata (UDP – Unità Dati Pseudonimizzati), internamente organizzata in partizioni logiche corrispondenti alle diverse Regioni, Province Autonome e SASN. Questa centralizzazione con partizione logica permette una gestione unificata pur mantenendo la separazione concettuale e operativa delle informazioni. Completando la struttura del modulo dati troviamo la componente per i dati anonimizzati, implementata come piattaforma singola (UDA – Unità Dati Anonimizzati) che non conserva permanentemente le informazioni, ma genera “viste” anonimizzate specifiche per ciascuna richiesta autorizzata, partendo dai dati pseudonimizzati.

Il Broker EDS: orchestrazione dell’accesso ai dati

L’elemento di connessione tra queste diverse componenti è rappresentato dal Broker EDS, una sofisticata interfaccia di intermediazione che implementa il modello di cooperazione tra le varie unità di archiviazione. Il Broker costituisce il punto nevralgico per il recupero dei dati secondo le diverse finalità previste dalla normativa, orchestrando l’accesso alle informazioni nel rispetto dei principi di necessità e pertinenza. In particolare, il Broker gestisce l’accesso ai dati per finalità di cura, prevenzione e profilassi internazionale, verificando costantemente i consensi e le autorizzazioni.

Il modulo dei servizi: interfaccia con sistemi e utenti

Il terzo elemento architetturale, il modulo dei servizi, rappresenta lo strato di interazione con gli utilizzatori finali e con i sistemi esterni. Questo modulo implementa una vasta gamma di funzionalità specializzate tra cui servizi di consultazione, che gestiscono le richieste provenienti dai portali FSE e dai sistemi clinici; servizi di gestione delle terminologie, essenziali per garantire l’interoperabilità semantica; servizi di verifica della qualità dei dati, che assicurano coerenza e non duplicazione; servizi di interrogazione delle anagrafiche, per l’identificazione degli assistiti e la verifica dei consensi; servizi di pseudonimizzazione e anonimizzazione, che implementano le procedure descritte nell’Allegato B; e infine servizi di interoperabilità, che garantiscono il corretto flusso informativo tra le diverse componenti del sistema.

Ecosistema Dati Sanitari: tecniche avanzate di protezione dei dati personali

La protezione delle informazioni personali degli assistiti costituisce un aspetto centrale dell’architettura EDS, implementata attraverso tecniche avanzate di pseudonimizzazione e anonimizzazione dettagliatamente descritte nell’Allegato B. Il processo di pseudonimizzazione si basa sulla rigorosa separazione tra dati anagrafici e clinici, con l’introduzione di un codice identificativo univoco generato casualmente, non derivato in alcun modo dai dati anagrafici dell’assistito. Questo codice viene ulteriormente protetto mediante procedure di cifratura avanzata prima di essere associato al dato clinico.

L’implementazione prevede una netta separazione dei ruoli di accesso, tale che gli amministratori di sistema possano vedere il codice cifrato ma non possano accedere alla chiave di decifratura, creando così un sistema di protezione a compartimenti stagni. La soluzione tecnologica adottata si avvale di prodotti conformi agli standard FIPS 140-2 e Common Criteria, utilizzando algoritmi di cifratura all’avanguardia come AES in modalità FF1.

Metodologie di anonimizzazione multi-livello

Parallelamente, l’anonimizzazione implementata nell’EDS segue un approccio multistrato mirato a impedire qualsiasi possibilità di re-identificazione degli assistiti. Le tecniche adottate si articolano in tre principali categorie metodologiche. La randomizzazione modifica la veridicità dei dati attraverso strategie quali l’introduzione di rumore statistico, la permutazione dei valori all’interno del dataset e l’implementazione di tecniche di privacy differenziale. La generalizzazione opera invece sulla granularità delle informazioni, diluendo gli attributi personali attraverso il raggruppamento in categorie più ampie e la riduzione della precisione dei dati. Infine, metodi avanzati come il k-Anonimato, la l-Diversità e la t-Vicinanza garantiscono proprietà formali di non distinguibilità tra i soggetti rappresentati nei dati.

Infrastruttura di sicurezza multilivello

L’infrastruttura di sicurezza dell’EDS è caratterizzata da un approccio defense-in-depth articolato su molteplici livelli. A livello di comunicazione, tutte le interazioni avvengono attraverso API REST protette da protocolli TLS in versione minima 1.2, con autenticazione reciproca basata su certificati X.509, in conformità alle raccomandazioni AgID. L’identificazione e autorizzazione degli utenti è gestita da un sistema IAM (Identity & Access Management) centralizzato che implementa l’autenticazione a più fattori e verifica i profili autorizzativi attraverso una componente Policy Manager.

La protezione perimetrale è realizzata mediante un’infrastruttura stratificata comprendente firewall tradizionali, sistemi IPS (Intrusion Prevention System) integrati con componenti NAC (Network Access Control), Web Application Firewall per il controllo del traffico applicativo, e soluzioni Anti-DDoS per mitigare attacchi volumetrici. La sicurezza dei server è garantita da soluzioni XDR (Extended Detection and Response) configurate per abilitare funzionalità avanzate di threat hunting, protezione anti-ransomware e prevenzione della perdita di dati.

Business continuity e resilienza del sistema

La robustezza dell’infrastruttura è inoltre assicurata da un piano di continuità operativa completo, basato su un’accurata Business Impact Analysis e su test periodici delle procedure di disaster recovery. Il sistema di backup implementa politiche 3-2-1 (tre copie dei dati, su due supporti diversi, con una copia offline) con verifiche regolari dell’integrità dei dati salvati e della ricostruibilità degli ambienti operativi.

Flessibilità implementativa regionale

Un aspetto particolarmente innovativo dell’architettura EDS è la possibilità per le Regioni e Province Autonome di gestire autonomamente la propria Unità di Archiviazione Regionale, scegliendo tra diverse configurazioni architetturali. Il modello regionale centralizzato prevede un unico Data Repository Regionale che raccoglie e gestisce i dati provenienti dalle diverse Aziende Sanitarie del territorio. Alternativamente, il modello regionale federato implementa un’architettura distribuita dove ciascuna Azienda Sanitaria mantiene un proprio Data Repository, federati attraverso un Broker regionale specializzato. In entrambi i casi, il sistema garantisce la piena interoperabilità con l’infrastruttura nazionale e il rispetto dei requisiti di protezione dei dati definiti dalla normativa, consentendo al contempo flessibilità implementativa per rispondere alle specificità territoriali.

Monitoraggio e controlli di sicurezza

L’intero sistema è sottoposto a rigorosi controlli di sicurezza, inclusi test periodici di vulnerabilità (WAPT) e penetration test, nonché processi continui di patch management e hardening dei sistemi. Il monitoraggio costante è garantito da un sistema centralizzato di log analysis che raccoglie e correla eventi di sicurezza provenienti dalle diverse componenti, identificando anomalie potenzialmente indicative di incidenti di sicurezza.

Privacy by design e federalismo sanitario: un equilibrio sofisticato

L’architettura dell’Ecosistema Dati Sanitari rappresenta un’implementazione paradigmatica dei principi di privacy by design e privacy by default, compiendo un significativo passo avanti nella conciliazione tra le esigenze di interoperabilità sanitaria nazionale e il rispetto delle autonomie regionali. Questo connubio è particolarmente rilevante nel contesto italiano, dove l’articolazione del Servizio Sanitario Nazionale prevede una forte componente regionalizzata nell’organizzazione ed erogazione dei servizi assistenziali.

La progettazione dell’EDS affronta questa complessità attraverso un approccio multilivello che riconosce e valorizza il pluralismo istituzionale del sistema sanitario. La separazione fisica dei dati in unità di archiviazione distinte per ciascuna regione (UA-R) non rappresenta solo una scelta tecnica di sicurezza, ma riflette anche un’impostazione costituzionale che rispetta le competenze concorrenti in materia sanitaria. Parallelamente, l’introduzione del Broker EDS come elemento di orchestrazione centralizzata garantisce quella uniformità di servizi e coerenza informativa che sono essenziali per assicurare l’equità di accesso alle cure su tutto il territorio nazionale.

La possibilità per le regioni di implementare autonomamente la propria unità di archiviazione secondo diverse architetture (centralizzata o federata) costituisce un’ulteriore espressione di questa filosofia progettuale. Questo approccio consente di adattare l’implementazione alle specifiche realtà territoriali, alle diverse dimensioni organizzative e alle peculiarità dei sistemi informativi preesistenti, pur mantenendo invariati i requisiti essenziali di sicurezza e interoperabilità. Tale flessibilità implementativa riconosce implicitamente la diversità dei modelli organizzativi regionali, dalle regioni con sistemi informativi fortemente centralizzati a quelle con tradizioni di maggiore autonomia delle aziende sanitarie.

Il modello di consenso previsto dall’articolo 8 del Decreto esemplifica questa integrazione tra dimensione nazionale e regionale. La richiesta di consenso informato, specifico e granulare per ciascuna finalità di trattamento risponde ai requisiti più stringenti del GDPR, mentre la possibilità di raccogliere tale consenso attraverso diverse modalità (online, presso strutture sanitarie, o tramite operatori autorizzati) consente di adattarsi alle diverse strategie regionali di digitalizzazione e ai differenti livelli di alfabetizzazione digitale della popolazione.

Le soluzioni tecniche adottate per la pseudonimizzazione e l’anonimizzazione rappresentano un punto di equilibrio particolarmente significativo tra condivisione delle informazioni e protezione dei diritti individuali. La centralizzazione delle componenti per dati pseudonimizzati (UDP) e anonimizzati (UDA), pur nel rispetto delle partizioni logiche regionali, consente di implementare metodologie avanzate di protezione dei dati che sarebbero difficilmente sostenibili a livello di singola regione, sia in termini di competenze specialistiche che di risorse tecnologiche.

Sul piano della governance, il decreto prevede un ruolo centrale per l’AGENAS come responsabile della gestione operativa dell’EDS, configurandola come un vero e proprio hub di competenze digitali in ambito sanitario. Questa scelta organizzativa consente di concentrare expertise tecnico-scientifica altamente specializzata in un’unica struttura, pur mantenendo un diretto collegamento con le istanze regionali attraverso i meccanismi di governance dell’Agenzia stessa.

L’Ecosistema Dati Sanitari si configura quindi come un esempio avanzato di federalismo cooperativo in ambito digitale, dove l’uniformità dei servizi e la protezione dei diritti degli assistiti è garantita da standard tecnici e soluzioni architetturali comuni, mentre l’implementazione e la gestione operativa riflettono le diverse realtà territoriali e organizzative. Un equilibrio sofisticato che, se adeguatamente implementato, potrà rappresentare un benchmark anche per altri settori della pubblica amministrazione digitale e per altri sistemi sanitari con strutture federali o fortemente regionalizzate.

Il dossier farmaceutico: servizio innovativo per la sicurezza del paziente

Un elemento distintivo dell’EDS è l’introduzione del dossier farmaceutico, disciplinato dall’articolo 5 del decreto. Questo strumento rappresenta un’importante innovazione nell’ambito della gestione del dato sanitario, configurandosi come un’applicazione pratica della data integration in ambito clinico-farmacologico. Il dossier aggrega automaticamente i dati relativi alle prescrizioni ed erogazioni farmaceutiche dell’assistito, provenienti sia dal Fascicolo Sanitario Elettronico che dal Sistema Tessera Sanitaria e dall’Anagrafe Nazionale degli Assistiti, creando così una visione complessiva ed aggiornata della terapia farmacologica del paziente.

La progettazione tecnica del dossier farmaceutico incorpora sofisticati algoritmi per il rilevamento di potenziali interazioni farmacologiche, controindicazioni e schemi posologici inappropriati, implementando così un sistema di early warning che può contribuire significativamente alla riduzione degli eventi avversi legati alla terapia farmacologica. Particolarmente rilevante è il meccanismo di verifica dell’aderenza terapeutica, che analizza la congruenza tra le prescrizioni e le effettive erogazioni, identificando potenziali discontinuità nel percorso terapeutico.

Interoperabilità europea e profilassi internazionale

L’architettura dell’EDS è stata concepita tenendo in considerazione l’evoluzione normativa europea in materia di dati sanitari, con particolare riferimento al regolamento sullo Spazio Europeo dei Dati Sanitari approvato il 24 aprile 2024. La componente dedicata alla profilassi internazionale, prevista dall’articolo 15 del decreto, implementa interfacce specifiche per la condivisione selettiva di informazioni con i sistemi di sorveglianza epidemiologica dell’Unione Europea e dell’Organizzazione Mondiale della Sanità, nel rispetto del Regolamento Sanitario Internazionale.

Questa prospettiva transnazionale si riflette nell’adozione dello standard FHIR (Fast Healthcare Interoperability Resources) come formato nativo per lo scambio dati, garantendo così la compatibilità con le principali iniziative internazionali di interoperabilità sanitaria. La possibilità di utilizzare l’EDS per finalità di profilassi internazionale si configura come una risposta tecnologica alle lezioni apprese durante la pandemia COVID-19, creando un’infrastruttura permanente per la condivisione tempestiva e sicura di informazioni sanitarie in contesti emergenziali.

Gestione degli accessi in emergenza e bilanciamento dei diritti

Un aspetto particolarmente delicato affrontato dal decreto, all’articolo 18, è la disciplina dell’accesso ai servizi dell’EDS in situazioni di emergenza, quando l’assistito si trova nell’impossibilità fisica o nell’incapacità di esprimere il consenso. Il sistema implementa un meccanismo di “break the glass” che consente agli operatori sanitari di accedere ai dati necessari per le cure urgenti, anche in assenza di un previo consenso, registrando però dettagliatamente ogni accesso e notificandolo successivamente all’assistito.

Questa funzionalità rappresenta un punto di equilibrio tecnologicamente avanzato tra due diritti fondamentali potenzialmente in tensione: da un lato il diritto alla protezione dei dati personali, dall’altro il diritto alla tutela della salute in situazioni di pericolo imminente. La soluzione implementata nell’EDS risolve questa tensione attraverso un meccanismo di tracciamento rafforzato degli accessi di emergenza, associato a processi di audit periodici per verificare la legittimità di tali accessi, nonché sistemi automatici di notifica all’assistito una volta superata la situazione di emergenza.

Evoluzione temporale e sostenibilità dell’infrastruttura

L’articolo 25 del decreto delinea una roadmap implementativa che prevede l’attivazione dei servizi EDS entro il 31 marzo 2026, subordinatamente alla completa attuazione della disciplina sul FSE 2.0. Questa tempistica è allineata con le milestone del Piano Nazionale di Ripresa e Resilienza (PNRR), che prevede specifici investimenti per il rafforzamento dell’infrastruttura tecnologica e degli strumenti per la raccolta, l’elaborazione e l’analisi dei dati del FSE.

Dal punto di vista della sostenibilità economica a lungo termine, il decreto prevede, a decorrere dal 2027, l’allocazione di risorse dedicate all’AGENAS per garantire la gestione operativa dell’EDS, attingendo ai fondi di cui all’articolo 1, commi 34 e 34-bis, della legge 23 dicembre 1996, n. 662. Questa previsione rappresenta un significativo cambio di paradigma nella pianificazione dei sistemi informativi sanitari nazionali, tradizionalmente caratterizzati da finanziamenti una tantum che ne hanno limitato la continuità operativa e l’evoluzione. L’adozione di un modello di finanziamento strutturale riconosce la natura dell’EDS come infrastruttura critica permanente del sistema sanitario, necessitante di risorse dedicate per la sua gestione e costante evoluzione tecnologica.

Condividi sui Social Network:

Ultimi Articoli

cybersecurity globale - cybersecurity italia

Cybersecurity globale: l’Italia tra le eccellenze mondiali secondo il Global Cybersecurity Index 2024

A cura di:Redazione Ore Pubblicato il

Il Global Cybersecurity Index 2024 (GCI), pubblicato dall’International Telecommunication Union, offre una fotografia dettagliata dell’impegno di 194 paesi nel rafforzare le proprie difese digitali, rivelando un quadro in cui l’Italia emerge con autorevolezza tra le eccellenze mondiali nella cybersecurity globale. Questo prestigioso riconoscimento internazionale non è frutto del caso, ma il risultato di un percorso…

reti 5G e sicurezza: le 8 principali vulnerabilità delle reti 5G

8 Sfide Critiche per la Cybersecurity nelle Reti 5G

A cura di:Stefano Savo e Stefano Cangiano Ore Pubblicato il

Questo articolo sulle reti 5G fa parte di una serie dedicata alle nuove tecnologie di comunicazione mobile. Il contenuto esplora le principali sfide di cybersecurity che accompagnano l’implementazione del 5G, analizzando otto vulnerabilità critiche: dalla crescente superficie di attacco dovuta all’IoT fino alle minacce alle comunicazioni V2X, passando per le questioni di privacy e sicurezza…

sistema spaziale e nuove tecnologie ubiquitarie (IA, Quantum Technologies, cybersecurity)

Le interdipendenze crescenti tra sistema spaziale e nuove tecnologie ubiquitarie (IA, Quantum Technologies, cybersecurity)

A cura di:Achille Pierre Paliotta e Dario Alessandro Maria Sgobbi Ore Pubblicato il

Elementi di riflessione iniziali sull’autonomia del settore spazio nazionale È indubbio come nella temperie attuale il termine “cyber” abbia subito una sorta di “migrazione terminologica”, divenendo sinonimo di “digitale”: un prefisso che coinvolge ormai tutte le aree della vita quotidiana, il che fornisce la reale portata della pervasività delle trasformazioni tecnologiche nella società attuale, dominata…

Phishing: l'evoluzione del furto dell'identità e del rilevamento basato su Intelligenza Artificiale

Phishing: evoluzione del furto dell’identità e del rilevamento basato su Intelligenza Artificiale

A cura di:Redazione Ore Pubblicato il

Oltre 932.000 attacchi di phishing in un solo trimestre. La minaccia è in crescita costante e gli hacker ora utilizzano persino le immagini di Google Street View della tua casa per personalizzare le loro truffe. Scopri come l’intelligenza artificiale sta cambiando le regole del gioco nella protezione della tua identità digitale. Il Fenomeno del Phishing…

architettura di rete 5G che mostra i componenti principali: stazioni base, antenne MIMO, core network e dispositivi utente.

5G: Evoluzione, Architettura e Sicurezza delle Reti Mobili di Nuova Generazione

A cura di:Stefano Savo e Stefano Cangiano Ore Pubblicato il

Questo articolo è il primo di una serie dedicata all’esplorazione approfondita della tecnologia 5G e del suo impatto sulla trasformazione digitale della società. In questo primo capitolo, analizziamo l’architettura hardware del 5G, i suoi componenti fondamentali e le innovazioni tecnologiche che promettono di rivoluzionare non solo le comunicazioni personali, ma interi settori industriali. L’Evoluzione delle…

Il processo di machine unlearning che mostra la suddivisione del dataset di training in retain set e forget set, con ciclo iterativo di modificazione dei parametri del modello

Machine Unlearning: Metodologie di Mitigazione

A cura di:Vincenzo Calabrò Ore Pubblicato il

Il machine unlearning emerge come soluzione critica per affrontare le sfide della privacy e della sicurezza nei modelli di machine learning. Questo articolo esplora le metodologie di mitigazione, le tecniche implementative e i criteri di valutazione per rimuovere efficacemente dati specifici dai modelli addestrati, senza necessità di riaddestramento completo. Vengono analizzati gli scenari di applicazione,…