Politica sanitaria

sanità

28 Settembre 2022

---

Il Garante privacy ha detto no ai Ministeri di Salute e Transizione digitale sullo schema di decreto che realizza l’Ecosistema Dati Sanitari (EDS), la nuova banca dati prevista dalla riforma del Fascicolo sanitario elettronico. La decisione ha provocato molte critiche, emerse al convegno FADOI-ISS dal titolo "Ricerca clinica in Italia, il cambiamento è oggi?".
Nunzia Ciardi, vicedirettore dell’Agenzia per la cybersicurezza nazionale e ospite ai lavori, fa implicitamente capire cosa ispira le istituzioni a tanta cautela. Ed invita a distinguere in tema di sanità digitale, di cui i sistemi sanitari non possono fare a meno, tra privacy e sicurezza dei dati. Appare eccessivo il pregiudizio percepito dal cittadino sul proprio diritto alla riservatezza: quello che ad esempio ha portato a non scaricare l’app Immuni in pandemia, a fronte del beneficio offerto da un uso del dato a fini di diagnosi, cura e ricerca, anche epidemiologica. Non è eccessivo, però, preoccuparsi degli assalti hacker alle banche dati sanitarie, a otto anni dal primo grande cyberattacco con il virus Wannacry. «Il National Health Service britannico dovette chiudere otto ospedali che non potevano più garantire la radiologia nei Pronti soccorso», ricorda Ciardi che allora dirigeva la Polizia postale nazionale. «La notizia ci giunse in tempo reale e cercammo di avvisare tutte le grandi società che il virus si serviva di una finestra per entrare nei sistemi informatici e andava chiusa. Cercammo pure gli ospedali più importanti ma in molti casi fu uno sforzo vano: alcuni non avevano interlocutori, in altri gli uffici erano chiusi; pubblicammo una raccomandazione, come lanciare una bottiglia nel mare. Oggi le cose vanno meglio, c’è diversa sensibilità», conviene Ciardi. Ma aggiunge che dall’altra parte c’è una crescita esponenziale di attacchi. «La compravendita sul dark web di dati sanitari è un genere di criminalità 20 volte più importante del mercato delle carte di credito. Fa comodo sapere se un politico è malato, ma anche avere una massa di dati, anonimizzati o meno, per rivenderli a industrie, assicurazioni, a chi orienta le politiche sanitarie. La pandemia ha accelerato il processo di digitalizzazione in tutti i campi, e questo processo ha fatto sì che le restrizioni fisiche del lock-down non si trasformassero in restrizioni sociali, lavorative, didattiche. Ma nel 2020, mentre i reati tradizionali crollavano, i reati digitali s’impennavano, dallo stalking, ai reati su minori, ai ricatti economici. E se nel primo semestre 2021 in Italia gli attacchi ad utenze, oleodotti, enti del servizio sanitario etc sono stati 3446, nel primo semestre 2022 sono saliti a 6793; negli Usa sono aumentati di una percentuale analoga, il 94%».

Una volta trafugati dagli hacker, i dati relativi alla salute di ciascuno di noi sono venduti a caro prezzo. «Ad oggi il reato informatico dal punto di vista del rapporto tra costo e beneficio rende di più del traffico di stupefacenti», sottolinea Ciardi. “La repressione è difficile. L’attacco al server italiano può arrivare da un altro continente, gli algoritmi di cifratura dei dati non consentono di individuare facilmente i colpevoli. La criminalità organizzata, ove già non abbia competenze digitali, le compra. Nella maggioranza dei casi gli attacchi sono fatti con un ransomware; vengono resi indisponibili i dati di un server che serve tutte le macchine di una rete; poi si apre una finestra con un messaggio, un ricatto: se vuoi indietro i dati li paghi in criptovalute». Se si dice no, i dati vengono copiati e pubblicati, il dark web ne è pieno; l’attacco più clamoroso, in piena campagna vaccinale, alla Regione Lazio e quasi subito dopo all’ospedale San Giovanni di Roma, alle Asl di Padova, Napoli, Messina, a Milano agli ospedali Sacco e Fatebenefratelli, all’Asl Torino con blocco del pronto soccorso. «Come agenzia per la Cybersicurezza in questi casi abbiamo ripristinato i sistemi da capo, in situazioni dove si era tornati ad operare a mano». Due le leve da azionare per prevalere sugli hacker: fare perno su un’Agenzia per la cybersicurezza per una “remediation” quando attaccati, e fare formazione agli uffici tecnici com’è avvenuto a partire dal Lazio. «Ad oggi sono 73 le strutture sanitarie che hanno chiesto di accreditarsi alla sala operativa Csirt», spiega Ciardi. «In tal modo possono accedere a dati riservati che avvisano di minaccia incombente. Per addestrare le strutture sanitarie a difendersi stiamo inoltre facendo esercitazioni europee cui partecipano in questa fase Ats Milano, Azienda Giovanni XXIII di Bergamo e Policlinico Gemelli di Roma. Obiettivo: sapere che fare quando si è attaccati e porre in atto metodi di difesa».