Telemedicina, big data, piattaforme digitali ed intelligenza artificiale sono le parole chiave della rivoluzione sanitaria in atto. Un processo in costruzione in tutta Europa e in Italia, anche se in questo ambito il nostro Paese può vantare risultati ancora lontani in qualsiasi altro Paese europeo. In Italia sono già, infatti, 20mila le postazioni sanitarie che aggiornate in prospettiva digitale e il 65% di tutti i documenti sanitari (dalle radiologie, alle sale operatorie e ai laboratori di analisi…) già trasformati in documenti CDA2 (per la rappresentazione informatica dei documenti clinici), con una prospettiva di raggiungere l’82,68% entro dicembre 2025. Nessun altro Paese in Ue ha fatto altrettanto. Ma la digitalizzazione non è l’unica sfida; parallelamente ad essa corre la sfida della cybersecurity, della capacità del nostro sistema di difendere i dati dagli attacchi informatici che possono compromettere non solo la privacy dei cittadini, ma anche la loro salute e addirittura la tenuta dei servizi e, in qualche modo, anche quella del Paese. Un aspetto da non sottovalutare, se si considera che nel periodo 2023-2024 il numero di attacchi nel settore sanitario è aumentato del 111%, e solo il 5% di questi attacchi è stato bloccato prima che potesse causare disagi, anche gravi, sui servizi. La sfida della digitalizzazione e della cybersecurity è già qui, oggi.
Di tutto questo si è parlato in occasione del primo incontro, il 14 maggio scorso nella sede di Homnya, a Roma, del Forum Nazionale Salute Digitale (Fo.N.Sa.D.), iniziativa promossa da Inrete, Homnya e Summeet. L’evento ha visto la partecipazione di Serafino Sorrenti, CISO della Presidenza del Consiglio dei Ministri e Membro Permanente del Nucleo per la Cybersicurezza di ACN; Mauro Moruzzi, Program Manager, Dipartimento della Trasformazione Digitale presso la Presidenza del Consiglio dei Ministri; Francesco Saverio Mennini, Capo Dipartimento della programmazione, dei dispositivi medici, del farmaco e delle politiche in favore del SSN del Ministero della Salute; Alberto Redaelli, Professore ordinario presso il Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano; Responsabile Scientifico dell’Osservatorio Life Sciences Innovation; Alessandro Stecco, Professore Universitario, Direttore Centro Studi Telemedicina e Sanità Digitale UPOTELEMED, Università del Piemonte Orientale; Francesco Paolo Aureli, Senior Advisor al Dipartimento per la Salute Pubblica relativa alle Migrazioni presso l’Organizzazione Mondiale della Sanità; Andrea Costa, Consigliere del Ministro della Salute per Attuazione PNRR; Paolo Ferragina, Professore Ordinario di Informatica, Scuola Superiore Sant’Anna di Pisa; Francesco Gabbrielli, Agenzia Nazionale per i Servizi Sanitari Regionali; Antonio Giordano, Presidente Sbarro Health Research Organization – SHRO e Pietro Giurdanella della Fnopi (Federazione Nazionale Ordini Professioni Infermieristiche), Fausto Galanti, Value Access & Public Affairs Head, Bayer; Alessandro Livrea, CEO Akamai Technologies Italia; Luca Nunno, CEO Criticalcase, coordinati da Giuseppe Petrella, Presidente Irccs CROB, e Vito De Filippo già sottosegretario di Stato alla Salute.
Il Forum, infatti, si propone come uno spazio di confronto strategico per decisori pubblici, aziende e professionisti della sanità e della digitalizzazione. L’obiettivo è favorire lo sviluppo di soluzioni digitali innovative e sicure, in linea con la legislazione nazionale ed europea, contribuendo a una sanità più efficiente, accessibile e tecnologicamente avanzata. Perché se è vero che l’Italia fa scuola in Europa per il lavoro svolto per la transazione digitale di tutte le sue componenti, la strada resta lunga. Se da una parte, infatti, la digitalizzazione ha le potenzialità per trasformare profondamente il Ssn – migliorando l’efficienza, l’accessibilità e la qualità dei servizi, quindi la salute dei cittadini, la sostenibilità del sistema e le opportunità terapeutiche -, tuttavia non basta introdurre il Fascicolo Sanitario Elettronico, la telemedicina, l’intelligenza artificiale e i sistemi informativi integrati per ottenere i risultati sperati. Questo processo richiede molto di più di una infrastruttura tecnologica. Necessita di un quadro normativo, organizzativo e culturale in grado di sostenere l’utilizzo di queste culture e anche di evitare i rischi, che non sono solo di ordine etico e sanitario, ma anche economico e sociale, nel caso in cui questo enorme flusso di dati dovessero essere trafugati. Non è un caso, infatti, se la sanità è nel mirino degli hacker informatici. E bene lo sanno i manager della sanità, che percepiscono la cybersecurity come uno tra i pericoli più rilevanti del futuro.
Il quadro normativo
Dal punto di vista normativo, nel corso del primo incontro del Forum è stato ricordato il GDPR (Regolamento generale sulla protezione dei dati), approvato nel 2016 dall’Unione Europea per disciplinare il modo in cui le aziende e le altre organizzazioni trattano i dati personali, e l’AI Act, il Regolamento europeo sull’intelligenza artificiale, entrato in vigore il 1º agosto 2024, che ha introdotto un approccio basato sul rischio, prevedendo per i dispositivi ad alto rischio come quelli medici basati sull’IA requisiti stringenti in termini di trasparenza, sicurezza e affidabilità. A marzo 2025 è stata emanato il Regolamento 2025/327 che istituisce lo Spazio Europeo dei Dati Sanitari (EHDS – European Health Data Space) e sovrascriverà in parte il GDPR e l’IA Act. Questo regolamento rappresenta un passo fondamentale verso la digitalizzazione e l’interoperabilità dei dati sanitari nell’Unione Europea. Tra i suoi obiettivi c’è quello di consentire l’uso secondario dei dati sanitari a fini di ricerca, innovazione, definizione delle politiche sanitarie, preparazione e risposta alle minacce sanitarie, medicina personalizzata e altre finalità di interesse pubblico.
In Italia, invece, è già stato approvato dal Senato ed è in discussione alla Camera il disegno di legge 2316, che mira a stabilire un quadro normativo nazionale per l’uso dell’intelligenza artificiale (IA), integrando il Regolamento europeo AI Act (UE 2024/1689). È inoltre pronta la bozza di una proposta di legge sulle terapie digitali condivisa da tutte le forze politiche, che mira a chiederne l’inserimento nei LEA e il loro riconoscimento come medical device.
La sfida dei modelli organizzativi
Una governance sicura ed efficace degli strumenti digitali e dell’IA richiede anche l’adozione di una struttura organizzativa ben definita all’interno delle realtà in cui vengono questi strumenti vengono utilizzati. Un modello organizzativo che, a propria volta, diventa garanzia della sicurezza ed efficacia del dato a livello nazionale e internazionale. Questi modelli prevedono competenze e una chiara assegnazione di ruoli e responsabilità. Un punto dolente, in Italia, dove manca nelle strutture sanitarie la presenza di personale specificamente formato e dove la formazione anche del personale già in campo (compreso quello sanitario) va a rilento, pur essendo presenti, come ricordato nel corso della riunione del Forum, alcune iniziative, sia a livello aziendale, che universitario che di formazione ECM. Tra le caratteristiche richieste ai modelli organizzativi, i relatori del Forum hanno citato la flessibilità e decentralità, a cui poi sapere aggiungere l’integrazione dei flussi informativi tra assistenza ospedaliera e servizi territoriali. Questo perché la nuova sanità dovrà essere basata su un nuovo paradigma, cosiddetto connected care, in cui il dato non riguarderò la singola prestazione, ma il percorso sanitario del paziente e, in generale, la sua vita. Un processo che richiede l’engagement e la preparazione del personale sanitario ma anche dello stesso cittadino.
I limiti dell’Intelligenza Artificiale
Se enormi sono le potenzialità dell’AI, tuttavia esistono anche dei limiti. Come è stato evidenziato nel corso del Forum, si stima che il 30% dei progetti che coinvolgono l’Intelligenza Artificiale nel mondo verranno abbandonati in futuro per la scarsa qualità del risultato e il poco chiaro valore in termini di business. Questo fallimento è legato al fenomeno delle “allucinazioni”, che fa riferimento a quegli errori di processo in cui incorre, ad esempio, un chatbot di AI generativa, che crea risposte prive di senso, imprecise o non obiettive a causa delle sue limitate capacità di analisi legate alla mancanza di addestramento, agli input errati ricevuti o all’elevata complessità del quesito. Allucinazioni e risultati distorti che, tuttavia, possono costare caro, anche alla salute quando si parla di sanità.
Se da una parte è certo che gli esperti informatici lavoreranno a ridurre sempre più il rischio di errore, dall’altra nel corso del Forum si è richiamato all’importanza dell’intervento umano nell’analisi del dato e del processo decisionale. Quello che viene definito “Human in the loop”, cioè “l’uomo nel mezzo”, ad esempio, il medico, il cui ruolo è ritenuto fondamentali per il controllo di questi strumenti. Anche se dal Forum qualcuno ha anche sottolineato l’inopportunità di scaricare tutte le responsabilità sulle spalle del clinico, richiamando piuttosto alla necessità di chiarire il quadro delle responsabilità, attribuendone in parte anche agli sviluppatori dei sistemi di AI.
Esistono, comunque, molti ambiti in cui l’Intelligenza Artificiale può già essere utilizzata in sicurezza. Ad esempio, è stato detto nel corso dell’incontro, in quello che concerne la parte amministrativa, organizzativa e logistica di una azienda sanitaria. O come supporto decisionale sulle terapie complesse o alla diagnostica di secondo livello, ma anche per l’ottimizzazione dei trials sui farmaci. Pratiche già in uso ma che andrebbero maggiormente diffuse, e questo è stato il richiamo dei relatori del Forum.
Gli attacchi hacker nemico numero uno
Da gennaio 2023 si contano in media 3,5 attacchi informatici al mese contro strutture sanitarie, metà dei quali sfociano in incidenti gravi che compromettono la disponibilità e la riservatezza dei servizi, mettendo a rischio la privacy dei pazienti e il funzionamento dei servizi. Il dato, rilanciato nel corso dell’incontro del Forum, arriva dall’Agenzia per la Cybersicurezza Nazionale, che attribuisce le cause di questi attacchi in gran parte a pratiche di sicurezza inadeguate o ignorate, derivanti da scarsa formazione del personale e dalla mancanza di politiche di sicurezza centralizzate. Nel periodo 2023-2024, il numero di eventi cyber nel settore sanitario è aumentato drasticamente, con un incremento del 111%, passando da 27 eventi nel 2023 a 57 nel 2024. Il dato ancora più drammatico è che 55 di questi 57 attacchi si sono trasformati in incidenti di sicurezza. In pratica, oltre il 95% degli eventi va a segno e comporta il blocco di uno o più servizi della sanità digitale. In tutti gli altri settori, compreso quello del finance, del retail, dell’ecommerce e dei settori più generalisti, le percentuali di successo sono molto più basse, è stato sottolineato nel corso dei lavori del Forum.
Il paradosso è che questi attacchi informatici diventano tanto più numerosi e pericolosi, quanto mano richiedono sforzo da pare dei criminali informatici. Sempre più spesso, infatti, l’intelligenza artificiale viene utilizzata per creare tool sofisticati e sistemi di attacco e sottrazione dei dati di analisi automatici e in grado di rigenerarsi. I motivi che rendono la sanità un obiettivo sensibili sono evidenti: il dato sanitario ha valore inestimabile. Chi ha in mano le cartelle cliniche delle persone, chi ha accesso ai dati delle strutture medico sanitarie può fare ricerca, può studiare i farmaci, può fare analisi di ogni tipo, sull’aspettativa di vita della popolazione o del singolo, sull’epidemiologia di un territorio. Tutte queste conoscenze possono allettare chiunque, dalle banche alle assicurazioni, dalle società che vengono servizi o alle imprese del farmaco.
È evidente come la cybersecurity in sanità sia una priorità assoluta e strategica per un Paese e per il mondo intero. Lo è per la tutela dei cittadini, dei loro diritti e della loro salute (gli attacchi informatici possono compromettere l’operatività di ospedali e molti dispositivi, come pacemaker, pompe infusionali e ventilatori, sono connessi in rete e possono essere vulnerabili ad attacchi hacker), ma anche per la tenuta del paese e per la tutela dei mercati finanziari. Non si tratta, insomma, di una mera questione tecnica. La sicurezza informatica protegge le persone. La sfida alla cybersecurity è già sotto i nostri occhi, oggi. Ma per i partecipanti del Forum, c’è ancora scarsa consapevolezza sul tema e il primo passo da compiere è proprio di tipo culturale, per innalzare il livello di attenzione e di responsabilità di chi mette a disposizione e di chi utilizza le infrastrutture digitali e che oggi non ha solo poche competenze specifiche, ma forse anche poca consapevolezza dei rischi che comporta il furto o la dispersione dei dati sanitari.
Garantire la cybersecurity, secondo gli ospiti del Forum, non significa però tanto sensibilizzare e formare chi i dati li immette e li utilizza, quanto piuttosto investire in sicurezza e in competenza, implementando soluzioni di governance e policy che puntino alla cybersecurity. Un ambito così complesso, specifico e in continua evoluzione, infatti, può essere controllato solo da personale altamente specializzato e dedicato al monitoraggio e controllo. Tecnici informatici, sicuramente. In un gioco di squadra che però vede in campo anche professionisti sanitarie, manager, istituzioni e, non ultime, le aziende del farmaco.
di Lucia Conti
GUARDA GLI APPROFONDIMENTI
.