La gestione del rischio informatico in ambito sanitario

Nel contributo La gestione del rischio informatico in ambito sanitario come misura tecnico-organizzativa di conformità normativa, Piergiorgio Verrecchia parte da una constatazione: negli ultimi anni la sanità ha vissuto una trasformazione digitale profonda, che ha migliorato efficienza e coordinamento delle cure ma ha anche moltiplicato i punti di vulnerabilità. Le strutture sanitarie trattano in modo sistematico dati relativi alla salute, cioè informazioni tra le più delicate previste dal Regolamento UE 2016/679, e proprio questa concentrazione di dati sensibili le rende particolarmente esposte agli attacchi.

Da qui l’autore costruisce un percorso in quattro tappe. Nella prima ricostruisce il quadro normativo: dalla nozione di dato personale e dato sanitario fino al principio di responsabilizzazione introdotto dal GDPR, che impone al titolare misure tecniche e organizzative adeguate (articolo 32) e i principi di privacy by design e by default (articolo 25). In questo contesto si inseriscono i framework operativi come i CIS Critical Security Controls e, soprattutto, la ISO/IEC 27001:2022, che fornisce la cornice di governance per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

La seconda tappa entra nel cuore della gestione del rischio. Verrecchia chiarisce i concetti di minaccia, vulnerabilità e rischio, poi descrive il processo disciplinato dalla ISO/IEC 27005:2022, articolato in identificazione, analisi e valutazione del rischio, e le strategie di trattamento (modifica, mantenimento, elusione, condivisione). Trovano spazio anche la DPIA, prevista dall’articolo 35 del GDPR come strumento preventivo per i trattamenti ad alto rischio, e la continuità operativa secondo la ISO 22301:2019, con il concetto di resilienza organizzativa.

La terza tappa affronta un tema spesso trascurato: il documento informatico e la dematerializzazione. Attraverso il Codice dell’Amministrazione Digitale e il Regolamento eIDAS, l’autore segue l’intero ciclo di vita del documento (formazione, gestione, conservazione) e dedica particolare attenzione al Fascicolo Sanitario Elettronico, mostrando come una corretta gestione documentale sia essa stessa un presidio di sicurezza.

La quarta tappa è il caso di studio. Il 3 maggio 2023 il gruppo ransomware “Monti” colpisce la ASL 1 di Avezzano, Sulmona e L’Aquila: vengono compromessi i database aziendali ed esfiltrati circa 500 gigabyte di dati, tra cartelle cliniche, referti genetici e valutazioni psicologiche su minori. La scelta di non pagare il riscatto non impedisce la diffusione dei dati nel dark web, con richieste estorsive rivolte direttamente ai pazienti e, a fine 2025, richieste di risarcimento per circa 2,5 milioni di euro. Verrecchia legge l’episodio non come un mero fatto tecnologico, ma come il risultato di vulnerabilità tecniche, carenze organizzative e scarsa formazione del personale, indicando tra le misure correttive l’aggiornamento della DPIA, il rafforzamento delle infrastrutture e la formazione.

La conclusione tira le fila: la sicurezza delle informazioni in sanità non è un obiettivo statico né una questione solo tecnica, ma un processo dinamico e una responsabilità organizzativa e culturale. Proteggere i dati sanitari significa tutelare dignità, riservatezza e autodeterminazione delle persone, e con esse la fiducia dei cittadini nelle istituzioni.