Cyberattacco contro una struttura sanitaria: chi ne risponde?

È di pochi giorni fa la notizia di un attacco informatico all’Ospedale di Dusseldorf, in Germania, perpetrato attraverso un virus noto come “ransomware”, che ne ha tenuto in ostaggio i sistemi per alcune ore, interferendo in maniera molto significativa con la normale attività assistenziale. 

In ragione del blocco dei sistemi, infatti, una paziente che avrebbe dovuto ricevere cure urgenti presso l’Ospedale Universitario di Dusseldorf è stata reindirizzata in un’altra struttura, a oltre 30 km di distanza, giungendovi, purtroppo, senza vita.

La tragica notizia ha scatenato un acceso dibattito non soltanto circa l’impatto che un attacco informatico può avere (e, in effetti, ha) sui tempi di erogazione delle prestazioni sanitarie - specie laddove si tratti di casi in acuto che necessitano, dunque, di interventi urgenti - ma, altresì, circa la corretta allocazione delle responsabilità per i danni che la temporanea inoperatività dei sistemi abbia cagionato a terzi (come nel caso di specie).

Dalle prime analisi condotte a seguito dell’accaduto sembra, infatti, che il cyberattacco sia stato in qualche misura favorito da una vulnerabilità presente nei gateway di rete utilizzati all’interno della struttura, problematica, questa, che pare fosse nota già da qualche mese. 

La domanda che occorre porsi, dunque, è la seguente: chi dovrà rispondere di quanto accaduto?

Nel nostro ordinamento, l’art. 1 della L. n. 24/2017, meglio nota come Legge “Gelli-Bianco”, afferma a chiare lettere che la sicurezza delle cure costituisce parte integrante e sostanziale del diritto alla salute, come riconosciuto in Costituzione.

E nel definire che cosa debba intendersi per “sicurezza delle cure” fa esplicito riferimento a tutte le attività che debbono essere poste in essere da chi eroga prestazioni sanitarie per prevenire e gestire il rischio a ciò connesso, attraverso un utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative.

In altre parole, dunque, sussistendo un preciso dovere per le strutture di dotarsi di misure di sicurezza adeguate in termini organizzativi e tecnologici, pare evidente che la violazione o il mancato corretto assolvimento di tale dovere determini l’insorgere di una responsabilità di queste nei confronti di chi dovesse subirne un danno.

Sotto un diverso profilo, non v’è dubbio che anche la società che fornisce il sistema informatico (e, assai di frequente, ne cura altresì la gestione e manutenzione corso del tempo) potrebbe essere chiamata a rispondere per le proprie eventuali inadempienze e ciò nella misura in cui le stesse abbiano determinato una minore sicurezza del sistema stesso nel suo complesso, causandone quelle vulnerabilità che possono avere favorito l’attacco.

L’indagine non è senz’altro semplice e numerosi sono i profili tecnici da indagare (fra i quali, non da ultimo, la possibilità di ricollegare, dal punto di vista causale, il danno lamentato alla negligenza/imperizia/imprudenza di qualcuno) ma rimane fermo il principio secondo il quale il concetto di sicurezza nell’erogazione delle cure si sta sempre più ampliando, assumendo proporzioni e acquisendo connotati che, sino a poco tempo fa, potevano essere difficilmente immaginati.