«A chi ha affidato i suoi dati sanitari?», una plausibile domanda che potremmo sentirci rivolta nel corso di un’arringa di un dibattito in aula di tribunale, un interrogativo che introduce l’evidenza fattuale del presente: i dati sanitari stanno diventando oggetto di “hackeraggio”.
Gli episodi di cronaca relativi si avvicendano sui media in tutti quei sistemi sanitari che hanno intrapreso la via della digitalizzazione dei propri materiali (siano esse cartelle cliniche, storico delle malattie, protocolli, procedure, etc.), in ciascuno di essi la filigrana del racconto appare la medesima: il centro di cura/ospedale ha digitalizzato gran parte dei propri documenti, l’hacker colpisce quel centro/ospedale, il centro/ospedale ha bassi livelli di sicurezza informatica, l’hacker pretende un riscatto per sbloccare i dati e/o l’hacker vende gli stessi dati nel deep web esigendo in cambio bitcoin.

Il fulcro del discorso risiede nella proprietà del dato. A oggi il dato digitale sanitario è nelle disponibilità dei sistemi sanitari, ad esempio in Italia fa capo al Sistema Sanitario Nazionale (SSN) e ai capillari Sistemi Sanitari Regionali (SSR). Tale passaggio non è altresì scontato e – mantenendo pendente il tema della proprietà – evidenzia alcune criticità: I) Vi è la possibilità di cedere il dato?; II) Vi è la possibilità di renderlo oggetto di negoziati giuridici?. Parimenti al tema della “proprietà” vi è un ulteriore argomento da avanzare, quello della “sicurezza”: I) Come viene conservato il dato digitale sanitario?; II) Da chi viene conservato e custodito?; III) Con quali requisiti di sicurezza è protetto?

Il primo rapporto sulla sicurezza informatica nella pubblica amministrazione stilato dal CIS (Centro di Ricerca di Cyber Intelligence e Information Security) dell’Università La Sapienza di Roma ha recentemente sottolineato alcuni preoccupanti dati mostrando come Asl (o Ats) e Ospedali siano i contesti in cui è meno complicato prelevare illegalmente dati sensibili sulle persone, arrivando in certi casi a veri e propri furti d’identità. All’interno del rapporto si leggono cifre allarmanti: nel corso del 2014 gli attacchi degli hacker sono aumentati del 200%. Tale Rapporto è stato condotto esaminando 213 amministrazioni pubbliche, tra cui 42 amministrazioni centrali come i ministeri, 117 Comuni, 19 Regioni, il 25% delle Asl e il 4,5% degli Ospedali pubblici italiani.

Le evidenze testé descritte riguardano non solo i dati depositati in struttura ma anche il funzionamento dei dispositivi biomedicali, come peraltro si evince dall’indagine Deloitte (tra le più rilevanti organizzazioni nei servizi professionali alle imprese) recentemente pubblicata parzialmente sul Sole 24 Ore. L’indagine è stata condotta su 24 strutture ospedaliere pubbliche e private in nove Paesi tra Europa, Medio Oriente e Africa – Olanda, Italia, Svizzera, Israele, Germania, Lussemburgo, Repubblica Ceca, Sud Africa e Grecia – di cui circa 1/3 in Italia. La ricerca documenta numerose criticità e tra queste le più interessanti ai fini del nostro ragionamento sono le seguenti: I) più della metà delle strutture intervistate adotta password di accesso standard (e quindi non sicure) ai propri dispositivi biomedicali; II) quasi tutte le strutture non hanno valutato la compliance dei propri dispositivi biomedicali rispetto ai requisiti del nuovo Regolamento europeo in tema di “Data protection”; III) la maggior parte delle strutture intervistate non richiede ai propri fornitori alcun attestato MDS2 (Medical device security manufacturer disclosure statement) prima dell’acquisto di dispositivi biomedicali; IV) molte strutture non monitorano i propri dispositivi biomedicali nei confronti di vulnerabilità note.

Anche negli Stati Uniti sono aumentate le violazioni dei dati sanitari delle persone. Tra il 2010 e il 2013 si sono verificati 949 eventi per un totale di oltre 29 milioni di dati violati. Sei di questi eventi hanno comportato la violazione di oltre un milione di dati ciascuno. Ma gli episodi proseguono: un ospedale a Los Angeles all’inizio del 2016 è stato tenuto in ostaggio per circa due settimane da un malware, sino a che il management non si è arreso ai malintenzionati e ha pagato agli hacker 17mila dollari in bitcoin per ri-avere nuovamente accesso ai propri documenti; il 30 giugno 2016 la «Becker’s Hospital Review» ha pubblicato una breve denunciando il tentativo di un hacker di vendere nel deep web 655mila «healths records» (dati digitali sanitari) ad un prezzo tra 151 e i 607 bitcoins, corrispondenti a centinaia di migliaia di dollari. L’elenco potrebbe persino proseguire con l’esplicitazione di ulteriori casi attinti dal lato oscuro del web, ma non è l’obiettivo di tale contributo e pertanto arrestiamo qui la disamina dei casi.

Ciò che è opportuno evidenziare è la complessità e la diffusione di un fenomeno che ha spinto il governo statunitense a creare un sistema di tracciamento delle violazioni: il sistema registra gli accadimenti quali acquisizioni, accesso, uso o pubblicazione illegale di dati sanitari riservati, sottostimando tuttavia il fenomeno, poiché considera esclusivamente gli eventi che coinvolgono almeno 500 individui. Il tema della vulnerabilità dei dati comincia a essere esaminato dalle diverse governance internazionali, anche perché come hanno ben descritto nell’editoriale sul “Journal of the American Medical Association – JAMA” gli autori Vincent Liu, Mark Musen e Timothy Chou: «Considerata la rapida espansione dei database sanitari e l’atteso aumento dei servizi cloud offerti per l’analitica predittiva, i dati sanitari personali, i sensori relativi alle condizioni di salute, la tecnologia di sequenziamento del dna, probabilmente si amplieranno la frequenza e l’obiettivo delle violazioni dei dati».

A chiosa del presente, e ritornando agli argomenti introduttivi sulla proprietà del dato, è d’uopo ricordare che se è plausibile e ragionevole che il dato digitale sanitario rimanga in capo al Sistema Sanitario, è altrettanto ragionevole che al medesimo dato venga garantito un livello di sicurezza assoluto, con sistemi di protezione costantemente aggiornati e indipendenti a qualsivoglia pressione esterna. Prendiamo ad esempio il caso della Apple che ha garantito l’inviolabilità dei dati personali presenti in un iPhone rifiutando di aprire la propria tecnologia alle indagini dell’agenzia investigativa FBI.

Il caso Apple ha messo a dura prova il sistema globale, rinnovando l’attenzione agli aspetti regolatori posti dalle nuove tecnologie. L’extraterritorialità dei dati e delle informazioni mal si coniuga con standard regolatori appiattiti su soluzioni tipicamente territoriali. A ragione di ciò è opportuno ripensare il quadro normativo di riferimento ponendo particolare attenzione al fatto che ciascun cittadino è titolare dei propri dati anche di quelli che quotidianamente immette nella rete o cede a soggetti terzi, ivi comprese le pubbliche amministrazioni (ex multis i dati sanitari).

Saremo in grado nel prossimo futuro di garantire lo stesso rapporto fiduciario tra Apple e i suoi clienti? L’Italia è il Paese che ha sviluppato il maggior numero al mondo di tecnologie basate sui sistemi di crittografia che garantiscono l’inviolabilità e la confidenzialità dei dati trattati. L’Europa ha la più stringente regolamentazione a livello mondiale sulla privacy, di recente aggiornata dopo un lungo processo legislativo. Il General Data Protection Regulation (GDPR) è finalmente pronto, si tratta della più significativa revisione delle leggi sulla privacy dei dati in Europa in venti anni, che avrà un profondo impatto su tutte le aziende tecnologiche, ivi comprese quelle sanitarie. Tali presupposti conducono a nutrire una certa speranza nel rispondere sì alla richiesta garanzia sul rapporto fiduciario.

———–

(Photo: “someday this will all be yours….” by Esther Dyson from Flickr)

———-