Digitale, nuova certificazione dei dispositivi medici bomba a orologeria per sistemi Ssn

A lanciare l'allarme sono il professor Antonio Bartolozzi assieme all'esperto di diritto applicato all'informatica e presidente di Anorc Professioni, avvocato Andrea Lisi

ROMA – Il nuovo regolamento europeo per la certificazione dei dispositivi medici (MDR) che dopo un’ulteriore deroga causa Covid entrera’ in vigore nel maggio 2021 rischia di essere una bomba a orologeria per le aziende sanitarie italiane.

Perche’ la normativa introdotta per garantire maggiore sicurezza ai pazienti e favorire l’innovazione, interviene anche sui software gestionali e “in molti casi c’e’ una situazione gia’ pesantemente non conforme alla normativa precedente e ci si trovera’ ad avere a che fare con un regolamento che pretende molto di piu’ in fatto di sicurezza del software”.

Questa inadempienza in termini di sicurezza del paziente significa “rischi gravissimi” sia sul piano della privacy che su quello della tutela della salute. Ma c’e’ anche un aspetto legale, perche’ chi si trovera’ a subire un danno potra’ rivalersi sugli istituti sanitari facendo proprio leva sulla mancata compliance di sistemi e dispositivi medici.

A lanciare l’allarme sono il professor Antonio Bartolozzi, esperto in dispositivi medici, safety, cybersecurity e progettazione, assieme all’esperto di diritto applicato all’informatica e presidente di Anorc Professioni, avvocato Andrea Lisi, in un’intervista all’Agenzia Dire.

Come spiega il professor Bartolozzi, per far scattare l’inadempienza “bastera’ che una azienda sanitaria effettui una modifica al software, per esempio aggiungendo una colonna o un database. A quel punto l’intero software si trovera’ proiettato all’interno del nuovo regolamento, cosi’ come stabiliscono le regole europee. Quindi quel software dovra’ essere certificato secondo i nuovi requisiti”. L’effetto immediato, e’ che “il percorso del paziente, gia’ gestito in malo modo attualmente, diventera’ ancora piu’ irregolare. La sicurezza del paziente rappresentera’ un’ulteriore difficolta’”.

Eppure, per adeguarsi all’MDR, le aziende sanitarie hanno avuto quasi 4 anni. Secondo Lisi, “non riusciamo a fare tesoro delle regole, che rimangono carta”. Perche’ “il Paese e’ in ritardo su tutta la digitalizzazione, pur avendo sempre avuto delle normative di frontiera e innovative, come il Codice dell’Amministrazione Digitale, il Codice della Protezione dei dati personali, che gia’ in parte riassumeva i principi del GDPR, e le tante regole tecniche che in Europa ci invidiavano. Si punta invece al soluzionismo tecnologico, trascurando le procedure di privacy by design e privacy by default, evitando le dovute analisi di rischio e le valutazioni di impatto”.

Il problema, secondo Bartolozzi, e’ che “la conformita’ viene vista come un ostacolo e non come un vantaggio. Mentre per il software, a differenza di molte altre realta’, la conformita’ ha un costo negativo”. Farlo bene, insomma, fa risparmiare. L’esempio piu’ attuale e’ l’app Immuni: “In mancanza di un’analisi dei rischi, oggi produce un numero enorme di falsi positivi, quindi probabilmente fa danni e non porta vantaggi”. Ma c’e’ anche un altro aspetto che l’esperto dell’Universita’ di Trieste ha sottolineato. Cioe’ che “le gare create per acquistare i software vengono fatte da chi si occupa di sistemi informativi, che conoscono l’informatica, ma non sanno niente di dispositivi medici. Mentre il software puo’ coincidere con il dispositivo medico. Chi si occupa delle gare, emette bandi che sono estremamente carenti dal punto di vista del paziente, ma estremamente dettagliati su aspetti che poi non servono a niente”. Un esempio e’ l’adattabilita’ ai programmi di navigazione piu’ comuni, come Chrome, Safari o Firefox. “Si sprecano soldi pubblici per la compatibilita’- dice Bartolozzi- quando si trascurano altri dettagli. Dovrebbe esserci l’intervento della Corte dei Conti”. Oltre al fatto che “i browser sono oggetti consumer. Nel momento in cui mettiamo un dato sanitario in un contenitore non fatto per i dispositivi medici si aumenta il rischio, infatti i browser sono i software piu’ attaccati dai virus”.

Secondo Lisi, questo avviene perche’ “si travisano le direttive principali del Codice dell’Amministrazione Digitale che sono ambigue sulla materia. Occorre evitare l’immissione in rete soprattutto di dati cosi’ delicati. Su questo si medita pochissimo”. Come, secondo l’esperto, si riflette poco sulle competenze di chi deve svolgere certi compiti: “bisognerebbe qualificare questi fornitori. Non tutti possono fare tutto”.

Anche qui l’esempio e’ l’app Immuni: “Bending Spoons e’ un’ottima societa’ di cui siamo orgogliosi pero’ specializzata in tutt’altro che dispositivi medici. Non possiamo chiedere a una societa’ specializzata in app ludiche di occuparsi di dispositivi medici: bisogna fare i conti con altri processi. Ci vuole un approccio interdisciplinare. Ci devono lavorare medici, giuristi, manager dell’informazione in sanita’”.

Secondo Bartolozzi devono cambiare i criteri di selezione stabiliti nelle gare pubbliche. “Le competenze che vengono richieste attualmente nelle gare- spiega il Professore- non sono specifiche del settore, come puo’ essere un Curriculum nello sviluppo di applicazioni della sanita’. Viene invece richiesto il fatturato specifico, come se questo determinasse la competenza. Quando ci sono piccole aziende che fanno capaci di progettare dispositivi di altissimo livello”.

Questo ‘cambio di mentalita”, sono d’accordo gli esperti, deve essere motivato dalla consapevolezza delle possibili gravi conseguenze per i pazienti e per le aziende stesse. “Immaginate la consegna di una diagnosi sbagliata- spiega Lisi- o della prescrizione medica di un altro paziente ignaro dello scambio, o dell’indicazione di dosi sbagliate di un farmaco da parte di un software. Per non parlare dei data breach e di attacchi hacker. È insomma qualcosa di gravissimo se non si sviluppano i sistemi con criteri rigorosissimi anche nella scelta dei fornitori”.

L’impatto, anche secondo Bartolozzi, e’ diretto sulla salute del paziente. Ma cio’ nonostante e’ raro che si vadano a punire i responsabili dei malfunzionamenti. “I medici hanno paura di denunciare- sostiene il professore- perche’ temono di essere chiamati in causa come responsabili. Malgrado si abbia la coscienza che il problema e’ grave”. Il suo appello e’ rivolto a chi “e’ stato danneggiato dalla Sanita’” al quale consiglia di “verificare se il software non abbia avuto un ruolo in quel danno. Molto spesso e’ cosi'”.

Tanto piu’ che da maggio 2021 con l’MDR le presunte vittime di episodi di malasanita’ avranno uno strumento in piu’. “Al livello giuridico- conclude Lisi- c’e’ il rischio di contenziosi basati sul risarcimento danni dei pazienti che hanno subito, a causa del malfunzionamento di queste soluzioni, dei danni gravi o gravissimi. Questo dovrebbe fare paura. Perche’ se c’e’ una normativa che comincia ad essere riconosciuta sara’ la prima cosa che i miei colleghi processualisti utilizzeranno per irrobustire un eventuale contenzioso basato su una richiesta di risarcimento danni”.