Perché chi utilizza sistemi di telemedicina dovrebbe adottare la 231: i rischi dei reati informatici

Se l’urgenza della pandemia Covid-19 ha aperto le porte (in urgenza) alla telemedicina, il PNRR – Missione 6 Componete 1 rappresenta una progettualità di ampio respiro che, ridisegnando  l’organizzazione del nostri SSR, dovrebbe portare (finalmente) a sistema tale modalità di erogazione delle prestazioni sanitarie.

Sotto il profilo giuridico, le recenti Linee di indirizzo del Ministero della Salute 17 dicembre 2020  definiscono la telemedicina come il «ricorso a tecnologie innovative, in particolare alle Information and Communication Technologies (ICT), in situazioni in cui il professionista della salute e il paziente (o due professionisti) non si trovano nella stessa località». 

Si tratta di una soluzione che, sempre secondo quanto indicato dal Ministero, va ad integrare la prestazione sanitaria tradizionale nel rapporto personale medico-paziente per potenzialmente migliorarne efficacia, efficienza e appropriatezza. 

Da un lato, infatti gestire da remoto il paziente può far venir meno il rapporto diretto medico paziente, limitando peraltro  i contatti nel contesto di un’emergenza. Dall’altro,  l’opportunità di offrire al paziente un tipo di prestazione sanitaria “smart” oltre a incrementare la soddisfazione dell’assistito consente un notevole risparmio di risorse. 

Un simile potenziale, allo stesso tempo, non può che essere oggetto di un approccio multidisciplinare. 

Si pensi alla televisita: pur trattandosi di un atto necessariamente sanitario in cui il medico interagisce a distanza con il paziente, questa applicazione della telemedicina deve essere attivata considerando oltre agli aspetti di diritto sanitario e di responsabilità professionale anche la gestione della protezione dei dati personali dei pazienti e dei profili di sicurezza informatica. 

Circa l’ultimo punto, l'aumento del ricorso ai servizi di telemedicina durante l’emergenza Coronavirus ha rivelato una maggiore vulnerabilità delle strutture sanitarie rispetto ai cybercrime. 

Secondo il rapporto Clusit-ottobre 2021 gli attacchi informatici alle strutture sanitarie sono aumentati del 18,8% rispetto all’anno 2020.

Tali attacchi configurano giuridicamente, per la maggioranza dei casi,  reati di natura informatica, categoria nella quale rientrano tutti gli illeciti commessi tramite l’utilizzo di tecnologie informatiche o telematiche e che è stata introdotta nell’ordinamento dalla L. 547/1993, integrativa della  disciplina del codice penale e del codice di procedura penale con riferimento alla criminalità informatica. 

Successivamente, con la Legge 48/2008, che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cybercrime, i reati informatici hanno poi fatto ingresso nel Decreto 231/01, come reati presupposto per la responsabilità amministrativa delle imprese. 

Tra questi, le fattispecie criminose configurabili nel contesto dell’utilizzo di servizi di telemedicina sono: 

• accesso a sistema informatico ex art. 615-ter c.p.
• intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche ex art. 617-quater c.p.
• installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche ex art. 617-quinquies c.p.
• danneggiamento di informazioni, dati e programmi informatici ex art. 635-bis c.p.
• danneggiamento di informazioni, dati e programmi utilizzato dallo Stato o da altro ente pubblico o comunque di pubblica utilità ex art. 635-ter c.p.
• danneggiamento di sistemi informatici o telematici ex art. 635-quater c.p. 
• danneggiamento di sistemi informatici o telematici di pubblica utilità ex art. 635-quinquies c.p.

L’ente, in particolare, è sottoposto alle sanzioni di cui al D. Lgs. 231/01 se i reati presupposto vengono commessi: 

• da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (“apicali” – art. 5, co. 1, lett. a) o da oggetti sottoposti alla direzione di un apicale;
• da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti apicali (“subordinati” – art. 5, co. 1, lett. b);
• nell’interesse e/o a vantaggio dell’ente.

Per quanto riguarda l’ultimo punto si pensi, ad esempio, all’interesse o vantaggio rappresentato dal risparmio dei costi derivanti dall’implementazione di soluzioni di cybersecurity e dal processo di adeguamento dell’azienda alla normativa in materia di protezione dei dati. 

Non è raro, infatti, che nelle aziende soggetti apicali omettano di adottare misure di sicurezza tecniche e organizzative atte a impedire violazioni della sicurezza informatica, oltre che di formare il personale sulle procedure di prevenzione degli attacchi cyber, peraltro attualmente in forte aumento nel settore sanitario. 

Al riguardo, vale la pena ricordare che, come nel 2020 il settore della sanità è stato il bersaglio favorito di attacchi informatici mirati. Il Report Clusit 2021 ha classificato 215 attacchi al sistema “healthcare” italiano.

Il motivo per cui il comparto sanitario è il più colpito va ricercato nella quantità e qualità dei dati personali custoditi, che possiedono anche un elevato valore economico.  

Basti pensare che gli attacchi non hanno, infatti, il solo scopo di richiedere il pagamento di somme in cambio del rilascio dei dati, ma anche di sfruttare economicamente le informazioni, soprattutto quelle relative alla salute che tramite la telemedicina vengono sempre più trasmesse online da quando ha avuto inizio l’emergenza sanitaria da Covid-19. 

Dalle più recenti rilevazioni è emerso che i più frequenti incidenti di sicurezza hanno riguardato le credenziali rubate, e che tra le cause principali di queste violazioni rientrano anche gli errori umani, commessi da dipendenti o collaboratori aziendali che non hanno ricevuto una adeguata formazione.
Non vi è ombra di dubbio che il tema della cybersecurity è centrale, come centrale è anche la necessità di migliorare la governance delle prestazioni sanitarie – a maggior ragione se rese a distanza, così come dei dispositivi medici. Un attacco sugli apparecchi elettromedicali può determinare una compromissione del suo funzionamento, con conseguenze drammatiche  anche in punto di salute del paziente ed attivazione di responsabilità dell’ente ai sensi del D. LGS. 231/2001 

Ad ogni modo, nel caso in cui il reato sia commesso da soggetti apicali, l’organizzazione può essere esonerata da tale responsabilità se prova che: 

1.  l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modello di organizzazione e gestione idoneo a prevenire reati della specie di quelli verificatisi;
2.  è stato affidato a un Organismo di Vigilanza, dotato di autonomi poteri di iniziativa e controllo, il compito di vigilare sul funzionamento, l’efficacia e l’osservanza del modello organizzativo nonché di curare il suo aggiornamento;
3.  le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
4.  non vi sia stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza.

Emerge quindi come essenziale la redazione di un modello di organizzazione e gestione (cd. Modello 231 o MOG) che si la efficace a prevenire, sotto il profilo qui esaminato, i cybercrime. 

Il MOG deve infatti prevedere specifici protocolli finalizzati alla prevenzione dei suddetti reati e inerenti quantomeno ai seguenti aspetti: 

• gestione degli accessi ai sistemi di telemedicina e definizione dei requisiti di autenticazione;
• policy per la creazione e la modifica delle password;
• misure di sicurezza per la trasmissione dei dati (es. crittografia);
• policy per il corretto utilizzo degli strumenti informatici;
• procedure per testare l’efficacia delle misure tecniche adottate (es. vulnerability assessment e penetration test);
• aggiornamento dei firewall e degli antivirus.

Si tratta di protocolli che, si badi bene, per esimere l’ente da responsabilità 231 non possono essere indicazioni “standard”, ma vanno individuati in maniera corrispondente alle esigenze dell’organizzazione in esito ad una analisi dei rischi. 

Affinché l’inserimento dei citati protocolli nel MOG possa avere funzione esimente gli stessi devono, infatti, essere necessariamente adattati alla realtà operativa dell’ente.