,

L’EVOLUZIONE DELL’ASSOCURATORE IN SANITÀ

Lo stress sulla sanità imposto dalla pandemia ha spinto verso il rinnovamento dell’intero ecosistema. Dal supporto necessario durante i primi mesi di smarrimento pandemico all’utilizzo dei dati come strumento predittivo nella pratica del claim management, gli assicuratori sono nel pieno di un’evoluzione. 

La pandemia ha imposto all’ecosistema sanitario e a tutti i suoi collaboratori uno sforzo immediato per affrontare difficoltà nuove e senza precedenti. Roberto Ravinale, Direttore esecutivo di Sham in Italia, ospite alla conferenza di presentazione del 12esimo report MedMal di Marsh Italia, ragiona su come gli assicuratori si siano mossi durante i mesi di maggiore incertezza e su quale percorso di evoluzione seguire per venire incontro alle nuove necessità dei clienti associati.  
“L’emergenza sanitaria ha imposto al sistema sanitario uno stravolgimento dell’organizzazione e delle dinamiche decisionali, rinnovate e ricostruite in tempi rapidissimi. Di pari passo, anche il sistema assicurativo si è adeguato alla situazione, cambiando il proprio approccio- ha affermato Ravinale. – Noi di Sham ci siamo attivati per essere a fianco dei nostri associati in modo da dare risposte immediate a bisogni inediti e concreti. Questo ha significato essere presenti nel pieno dell’attività delle unità di crisi delle strutture sanitarie nei momenti in cui è stato necessario prendere decisioni coraggiose, senza però avere chiare le possibili conseguenze da un punto di vista assicurativo. Noi di Sham e gran parte del panorama assicurativo abbiamo contribuito, ove possibile, a diminuire lo stato d’ansia generale. Restando fedeli ai propri valori mutualistici, Sham ha rafforzato ed esteso le garanzie agli operatori sanitari per soddisfare tutte le esigenze correlate all’emergenza”.  

I primi momenti di spaesamento generale sono stati seguiti da una forte innovazione e rivoluzione dei sistemi tradizionali. Tra gli aspetti innovativi conseguenti alla pandemia c’è indubbiamente la spinta verso un utilizzo della tecnologia sempre maggiore concretizzato adesso anche dalle risoluzioni del Piano nazionale di ripresa e resilienza (PNRR). 
“L’offerta assicurativa ha sicuramente subito delle modifiche in questi anni. La pandemia ha accelerato la diffusione della tecnologia e ne vediamo gli effetti anche nel PNRR. Di conseguenza abbiamo a disposizione una gran quantità di dati sanitari che, però, possono essere sfruttati al massimo solo previa una completa digitalizzazione del SSN. Inoltre, non possiamo ignorare il ruolo della sicurezza informatica per la sicurezza delle cure. Per questo l’ambito assicurativo e quello tecnologico dovranno completarsi e cooperare per fornire un servizio multidisciplinare. I dati rappresentano e offrono opportunità per migliorare la conoscenza dei processi e quindi la gestione del rischio, grazie a loro la nostra conoscenza è sempre più predittiva.  Già da prima della pandemia abbinavamo alla copertura assicurativa tradizionale servizi e strategie di risk management ma ora siamo in grado di raggiungere nuovi livelli di tutela. Allo stesso tempo monitoriamo l’evoluzione dei rischi in collaborazione con i nostri partner tecnologici per fornire risposte innovative per rischi correlati a rischi informatici e alle attività del blocco operatorio” dichiara Ravinale. 

Per raggiungere una maggiore efficacia delle politiche assicurative è necessaria però una collaborazione sempre più profonda tra le parti coinvolte, abbandonando la tradizionale visione che le vede su due fronti contrapposti. Questo è ancora più vero in questo momento, in cui stanno crescendo, giorno dopo giorno, le richieste di risarcimento legate direttamente o indirettamente al Covid-19.  

“È difficile immaginare un SSN che possa far fronte in autonomia a un sistema complesso come quello che stiamo affrontando, in cui il rischio di contenzioso è sia dovuto direttamente al Covid-19, laddove si individui la responsabilità dell’attività di cura svolta, sia indirettamente per la difficoltà di accesso alle cure. Si tratta quindi di gestire situazioni complesse in cui solo la condivisione di competenze può fornire risposta adeguata. 
Per poter mitigare davvero il contenzioso, dobbiamo abbattere il pregiudizio che assicuratori e assicurati siano in contrapposizione d’interessi. Ridurre il costo della responsabilità civile sanitaria e aumentare la sicurezza delle cure è un interesse comune. Dobbiamo quindi essere sempre più collaborativi. Studi dimostrano che per una struttura sanitaria optare per un regime di autoritenzione parziale o totale porta a un esito negativo nel 55% dei casi sfociando in un pagamento di risarcimento. La scelta, errata, di ricorrere a un tribunale è spesso guidata dal timore. Con l’investimento nelle nuove tecnologie previsto nel PNRR è opportuno affiancare un supporto tecnologico alla gestione del rischio e del contenzioso. Ne sono un esempio l’analisi predittiva delle controversie o i big data… elementi che il mondo assicurativo deve mettere al servizio del sistema sanitario per affrontare le sfide del futuro” conclude Ravinale. 

,

I DATI DEL PANORAMA MEDAMAL IN ITALIA

Il dodicesimo report realizzato da Marsh Italia delinea il panorama dei sinistri di medical malpractice degli ultimi 16 anni. A partire dall’analisi dei sinistri in sanità pubblica e privata, quattro i focus individuati: eventi avversi in pronto soccorso, infezioni nosocomiali e i primi risultati sui sinistri da Covid-19 con particolare attenzione ai sinistri senza seguito.

Anche quest’anno, Marsh Italia ha realizzato la dodicesima edizione del report MedMal per analizzare gli effetti degli eventi avversi di medical malpractice sul sistema sanitario del nostro Pese. I dati raccolti derivano dalle pratiche di richiesta di risarcimento degli ultimi 16 anni e permettono di descrivere e individuare la direzione preferenziale per l’evoluzione degli strumenti di gestione e prevenzione dei rischi nell’ambiente sanitario.  

“In questo ultimo report, abbiamo analizzato i dati relativi a oltre 30 mila sinistri di medical malpractice avvenuti in Italia tra il 2004 e il 2019- ha commentato Chiara Mauri, public Entities leader Marsh Italia in occasione della conferenza stampa di presentazione del report tenutasi il 30 giugno scorso.- Dai dati delle 89 strutture, sia pubbliche che private distribuite su tutto il territorio nazionale, coinvolte nello studio possiamo ricavare un’immagine dei trend della responsabilità civile in sanità. Siamo particolarmente soddisfatti della partecipazione allo studio di numerose nuove realtà sanitarie che hanno accolto lo spirito di condivisione e collaborazione alla base della nostra ricerca che la rende, edizione dopo edizione, sempre più completa, in grado di delineare il profilo di rischio medmal nel nostro Paese e di fornire un supporto sempre maggiore alla gestione dei rischi in ambito medico”. 

Il report analizza le modalità operative, le aree coinvolte, le conseguenze per il paziente e l’impatto per le strutture coinvolte di oltre 14 mila richieste di risarcimento per danni in MedMal.  

“Con questa nuova edizione confermiamo numerosi trend individuati in precedenza. L’errore chirurgico resta la prima fonte di rischio in termini di frequenza ammontando al 37% sul totale dei sinistri analizzati. All’errore chirurgico si associa anche un costo totale per sinistro più alto della media con un impatto del 29,3% sul costo totale dei sinistri. Anche l’errore da parto si conferma una voce importante nel bilancio delle strutture ospedaliere a causa del suo impatto economico con un costo medio per pratica di 430 mila euro” afferma Maria Trovato, Healthcare practice Leader di Marsh Advisory. 

Particolare attenzione è stata dedicata ai sinistri senza seguito che nonostante non si tramutino in un costo diretto per le strutture hanno un peso rilevante sulla reputazione della struttura coinvolta e sui suoi operatori.  

“La ricerca ha dato la possibilità di approfondire alcune tematiche di particolare interesse come i sinistri legati a infezioni nosocomiali, gli eventi avversi in pronto soccorso e i sinistri da Covid-19, senza contare l’attenzione prestata all’incidenza dei sinistri senza seguito– commenta Trovato.- Su oltre 25 mila sinistri medmal presenti in database, 11 mila non sono sfociati in una richiesta di risarcimento. Nonostante non rappresentino una perdita economica in termini di risarcimenti, questi eventi sono comunque un onere che consuma tempo e risorse delle strutture coinvolte”.  

I tre focus tematici analizzati nel report sono stati selezionati per la loro rilevanza in termini di frequenza di casi e per il peso economico che esercitano sulle finanze del sistema sanitario. 

 
“I pronto soccorso sono un’area particolarmente a rischio di errore e pertanto sono più a rischio di incorrere in una richiesta di risarcimento. Ad oggi gli eventi avversi in pronto soccorso contribuiscono al 14% del campione analizzato, impegnando il 12% delle spese totali di risarcimento. Nonostante i sinistri possano essere legati alla tipologia di servizi emergenziali erogati, il numero di richieste di risarcimento è in crescita. Analizzando i dati, la nostra attenzione si è concentrata nel cercare di individuare le pratiche a maggiore rischio di errore. Tra le principali cause individuate spiccano l’omessa e l’errata diagnosi, rispettivamente 47% e 34%, seguite da ritardi diagnostici ed errori nella lettura dei referti- spiega Trovato. – In questa edizione abbiamo anche ripresentato un focus sulle infezioni ospedaliere per le quali abbiamo osservato un incremento del 2,4% in frequenza rispetto al report precedente. La principala area in cui sono richiesti risarcimenti per infezioni, è quella chirurgica (il 27% delle richieste). Questo ambito è di estrema importanza per la prevenzione dei rischi in sanità anche perché, nel 17% dei casi, un’infezione post operatoria ha esito fatale. Nonostante non tutte le cause d’infezione nosocomiale siano prevenibili, la letteratura dimostra che lo è almeno il 50%. Apprendere queste informazioni è fondamentale per poter comprendere le cause e agire sulla prevenzione con azioni specifiche ed efficaci”.  

La ricerca comprende anche un focus sui dati relativi ai sinistri da Covid-19 riferiti al biennio 2020- 2021. “I risultati di questa analisi sono ad oggi introduttivi poiché le informazioni disponibili sugli importi economici sono ancora ridotte e sono limitati dalle pratiche che sono state catalogate come tali. A grandi linee però quello che può essere notato è che si conferma un forte impatto sulla sanità privata che si fa carico di quasi la metà dei sinistri del biennio di riferimento confermando che le strutture più coinvolte sono  RSA e strutture di lunga degenza” conclude.  

DUE BUONE NOTIZIE PRIMA DELL’ESTATE

Con l’arrivo della breve pausa estiva chiudiamo un periodo di grande intensità con due ottimi risultati che dimostrano sia la reattività e il desiderio da parte della sanità italiana di migliorare la sicurezza delle cure pur nel difficilissimo frangente della pandemia ancora in corso, sia l’efficacia di Sham nell’affiancare gli attori sanitari nel prendere parte a questo cambiamento. 

Lo scorso 7 luglio abbiamo presentato la prima ricerca in Italia dedicata all’analisi del livello di preparazione della sanità italiana rispetto al crescente rischio cyber. CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ (nel link la diretta della conferenza stampa) è il white paper nato dalla collaborazione con l’Università degli Studi di Torino che ha visto ben 68 rispondenti provenienti da strutture sanitarie dislocate su 14 Regioni Italiane. Un campione rappresentativo dei professionisti chiamati ad affrontare la crescente minaccia: qui i risultati della ricerca. Sono dati importanti sui quali provare a costruire una risposta fondata e puntuale al crescente rischio informatico connesso alla digitalizzazione.  

Sempre in questo periodo abbiamo ricevuto oltre 80 progetti di miglioramento nell’orizzonte del Risk Management sanitario, della sicurezza cyber e della tutela del benessere del personale sanitario. Si tratta delle best practice locali del 5° Concorso Risk Management Sham, promosse dall’iniziativa affinché siano conosciute, adattate e applicate da tutto il comparto sanitario. Quest’anno la competizione diventa anche europea e la cerimonia di premiazione si terrà in occasione del World Patient Safety Day #WPSD, il 17 settembre 2021. La grande partecipazione ottenuta è un’ottima notizia poiché testimonia il continuo interesse dei professionisti della sanità nei confronti della prevenzione e della sicurezza delle cure nonostante l’importante dispendio energetico nel fronteggiare la pandemia.  

Le suddette – e molte altre iniziative di questo tipo – fanno capo al nostro modello mutualistico che non si limita ad assicurare le strutture sanitarie bensì ci vede ogni giorno, in qualità di risk manager, protagonisti al fianco degli operatori sanitari e socio-sanitari delle strutture italiane ed europee per ridurre i vecchi e i nuovi rischi in Sanità. 

Un modello, il nostro, che ho avuto l’occasione di raccontare a Insurance Connect TV: qui il link per chi fosse curioso di approfondire ( LINK ). 

Grazie dell’attenzione e una buona estate a tutti e tutte.  

Roberto Ravinale 

Direttore Esecutivo di Sham in Italia

NON SERVE UN ALTRO FIREWALL

Alessandro Pollini

I sistemi informativi delle strutture sanitarie e il management della sanità sono a rischio “overconfidence” sul tema della cybersecurity perché dimenticano il fattore umano concentrandosi su quello tecnico. Tutti i grandi attacchi sfruttano questa fragilità

Intervista ad Alessandro Pollini, Design Lead & Managing Director di BSD design pubblicata il 7 luglio 2021 nel Whitepaper   
CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

“Tecnologia, organizzazione e consapevolezza individuale devono procedere assieme se vogliamo garantire sicurezza informatica in sanità”. Alessandro Pollini è designer di soluzioni e processi informatici human-centred presso BSD, un’importante società di consulenza che ha nel suo core business l’interazione umana con i sistemi computerizzati. “Il fattore umano, al momento, è il cuore della sicurezza informatica in sanitàè sia l’elemento di rischio principale, sia quello più trascurato”. 

Come si manifesta il rischio umano nell’ambito sanitario? 

Negli ultimi cinque anni tutti i maggiori attacchi in settori anche molto eterogenei hanno sfruttato le fragilità racchiuse nei comportamenti individuali.  Social engineering, phishing, malware nascosti nei plug-in dei browser web, scambio di informazioni sensibili attraverso canali come chat di messaggistica o email private, password scritte sui bigliettini: sono tutte pratiche che aprono autostrade per i malintenzionati. 

La sola consapevolezza di quanto possano essere “permeabili” i device mobile o quanto possano essere pericolose anche pratiche “innocenti” fatte con i computer di reparto è insufficiente. Molte persone hanno le competenze per scaricare un plug-in, poche per capirne la pericolosità: così si diventa “porte di accesso” per i cyber attacchi. 

Uno studio che abbiamo condotto in tre diverse strutture sanitarie molto diverse tra loro utilizzando il questionario Human Aspects of Information Security Questionnaire (HAIS-Q) ha rivelato la stessa bassa conoscenza del rischio e l’alta incidenza di pratiche pericolose involontarie.  

Quali sono le cause di questa impreparazione? 

È un problema di design e di cultura. Per quanto riguarda quest’ultima, quella relativa alla sicurezza informatica è bassa in tutta Italia. In sanità c’è un’aggravante che può sembrare paradossale: le dotazioni tecniche di sicurezza sono adeguate e la consapevolezza del rischio informatico è alta prevalentemente nel management e negli addetti ai servizi informatici. E qui, salvo eccezioni, resta confinata senza diffondersi ai livelli operativi dai quali, non a caso, passano la maggior parte degli attacchi. In questo modo viene aggirata l’infrastruttura di difesa informatica la quale, essendo di buon livello, causa un’ingannevole sensazione di sicurezza negli addetti ai lavori. 

È il fenomeno riassunto nel termine overconfidence: eccesso di fiducia. Non solo la maggior parte delle strutture sanitarie è vulnerabile agli attacchi informatici, ma è probabile che moltissime siano già state coinvolte in un attacco, che siano parte di una botnet, o che abbiano una porta di accesso pronta all’uso

Il problema di design, invece? 

È dato dal fatto che, in molti casi, scambiare informazioni sanitarie o di interesse sanitario, dall’esito di alcuni esami ai turni di notte, è una necessità nel percorso di cura o per le attività di reparto. Gli operatori devono trasmettere questo tipo di dati ma, spesso, non ci sono gli strumenti che permettano di farlo in sicurezza e facilmente. O, almeno, non con una facilità compatibile con i ritmi di lavoro. 

Questa la pars destruens. Che cosa dice la parte costruttiva? 

Quando si parla di ergonomia cognitiva per la digitalizzazione si intende progettare strumenti che si adattino ai limiti, ai bisogni e alle capacità della persona e non adattare la mente alla “forma” di quegli strumenti. In sanità ciò si traduce in due traguardi. 

Il primo è lo sviluppo di strumenti informatici sicuri e facili da impiegare. Il secondo è la costruzione di una cultura del rischio informatico che raggiunga il livello e la dignità della cultura del rischio clinico

Abbiamo bisogno di audit di sicurezza informatica, abbiamo bisogno di formazione e alfabetizzazione sul rischio digitale, abbiamo bisogno di automatismi che instaurino comportamenti virtuosi. È un processo che richiederà anni, come è stato necessario per la cultura del rischio clinico. 

Possiamo, però, iniziare da un approccio olistico alla cybersecurity capendo che la sicurezza informatica è un sistema socio-tecnico: è fatto da hardware e umanità. Se manca un pezzo manca la sicurezza. 

,

PREPARARSI AL RISCHIO CHE NON SI PUÒ PREVEDERE

L’incertezza è il punto di partenza dell’anticipazione nell’intervento di Antonio Furlanetto durante la presentazione del white paper “Capire il rischio cyber” 

Non si può basare tutta la previsione del rischio sulla base dei dati del passato. Anticipare il futuro significa pensare anche in termini di incertezza: eventi che non possono essere previsti, ma per i quali ci si può preparare in tempo. Ecco il cuore dell’anticipazione nel risk management, raccontato nell’intervento del Dottor Antonio Furlanetto, Docente di Risk Management Anticipante presso l’Università di Trento e AD di -Skopìa S.r.l. Anticipation Services, durante la presentazione del white paper Sham-Università di Torino “Conoscere il rischio cyber – il nuovo orizzonte in sanità” 

LINK conferenza 

Scarica il white paper “Capire il rischio Cyber” realizzato da Sham con la collaborazione del Dipartimento di Management Università di Torino. 

Guarda le Slide del Dottor Furlanetto 

CRITICITÀ E CONSAPEVOLEZZE

Le conclusioni del Whitepaper CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ pubblicato il 7 luglio 2021 a cura di Enrico Sorano, Professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino;Alberto Sardi, Assegnista di ricerca presso il Dipartimento di Management dell’Università di Torino;Anna Guerrieri, Risk manager di Sham in Italia. 

Cosa ci dicono le risposte al sondaggio sui prossimi passi da compiere? Il risultato che emerge dalle risposte del sondaggio è un contributo utile alla riflessione e alla ricerca sul rischio informatico in sanità; infatti, il sondaggio evidenza che la sicurezza informatica è un tema importante per tutti i 68 partecipanti all’indagine provenienti da ASL e strutture sanitarie del territorio nazionale. Il fatto che tanti risk manager, malgrado la seconda ondata dell’emergenza Covid-19, abbiano voluto contribuire alla ricerca sul rischio informatico, testimonia ulteriormente l’attenzione alla tematica. 
Le risposte al sondaggio hanno sottolineato, da una parte, che il quadro normativo e le dotazioni hardware e software sono rigo rose o, comunque, non carenti nelle strutture sanitarie, mentre dall’altra parte hanno descritto una forte criticità: il livello di allerta tra il personale operativo non è sufficiente
 
A mancare è la conoscenza dei rischi, racchiusi anche nelle operazioni più banali, da parte dei tantissimi operatori che utilizzano device digitali come strumenti di lavoro. Inoltre, è emersa un’altra importante criticità: il personale dedicato alla sicurezza informatica è insufficiente e i ruoli legati al rischio cyber non sono sufficientemente definiti all’interno dell’organizzazione sanitaria
La gestione dei sistemi tecnologici necessita di più addetti e con più competenze anche relative alla sicurezza informatica. Questi nuovi ruoli professionali dovrebbero essere inseriti nell’organico sanitario al fine di informare e dialogare periodicamente sia con i risk manager sia con il top management. La consapevolezza e la competenza del personale sanitario risulta, quindi, essere l’ambito dove esistono maggiori possibilità di miglioramento e, parallelamente, dove vi è l’urgenza di azioni correttive. 
 
Formazione continua e chiarezza dei ruoli risultano, perciò, l’investimento più promettente per rafforzare la sicurezza informatica nella sanità italiana. Un risultato importante che interessa il top management, e in particolare la figura dei risk manager. Questa figura professionale, infatti, è in continua evoluzione soprattutto a seguito della pandemia. 
 
Nel futuro prossimo l’unità organizzativa di risk management dovrà integrare nuove competenze e sperimentare nuovi modelli per gestire le varie innovazioni e necessità. Modelli applicabili anche su scala nazionale, che prevedano il legame diretto tra risk management, qualità, e dirigenza strategica, riconoscendo al risk manager la possibilità di analizzare le informazioni sui vari rischi provenienti dai dipartimenti specialistici e determinare il livello d’urgenza degli interventi di mitigazione.  
 
Concludendo, la ricerca sottolinea che la progettazione di nuovi modelli sanitari, in particolare per la gestione del rischio, dovrebbe prestare attenzione anche al rischio informatico al fine di garantire la sicurezza delle cure. 

,

ABBIAMO BISOGNO DI UNO STANDARD INFORMATICO PER LA SANITÀ- Nevio Boscariol

Sistemi interoperabili sono il presupposto di una digitalizzazione uniforme, come già avvenuto in altri settori. La sicurezza informatica è sia il prodotto che il presupposto dell’innovazione tecnologica. 

Intervista a Nevio Boscariol, Responsabile economico servizi e gestionale – UESG di ARIS, Associazione Religiosa Istituti Socio-sanitari – pubblicata il 7 luglio 2021 nel Whitepaper  
CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

Quali sono le opportunità di una sanità digitalizzata?  

Il traguardo della sanità digitale è un obiettivo antico: seguire la persona. È il paziente, infatti, il centro del flusso di informazioni. Grazie al digitale possiamo seguire i suoi spostamenti da un setting assistenziale all’altro, monitorare i suoi parametri vitali da remoto, testare online l’efficacia delle protesi tecnologiche, analizzare i dati e incrociare le “fragilità” del singolo e dell’intera assistenza sanitaria a ogni nuovo scenario di rischio che si presenta, oltre che gestire l’intera logistica e supply chain. 
Se avessimo avuto questo livello di digitalizzazione all’inizio della pandemia, l’esito sarebbe stato diverso. Tutt’ora, però, quello tratteggiato è un orizzonte. Non è la realtà della sanità italiana. A mancare, non è la tecnologia. Quella c’è già: testata, affidabile, standard, impiegata, a seconda dei casi, da una miriade di attori più o meno conosciuti. A mancare, nella sanità italiana, è il contesto nel quale questa tecnologia possa dispiegarsi e operare. Non solo, i servizi sanitari territoriali rappresentano un’enorme opportunità di rendere la sanità digitale un elemento essenziale della cura e assistenza. 

Perché la nostra sanità è in ritardo?  

Abbiamo tre ordini di problemi: lo standard, la cultura, le risorse. A questi ne va aggiunto un quarto: la complessità normativa e contrattuale. I sistemi informatici utilizzati dalla sanità italiana devono divenire interoperabili. Senza uno standard nazionale non andiamo da nessuna parte con il fascicolo o la cartella sanitaria elettronici. Questa è un’innovazione infrastrutturale per la quale vale la pena destinare un investimento nazionale di grossa portata. La declinazione regionale e la concorrenza tra servizi non vengono minacciate da questo standard. Se, però, la diversificazione avviene nel linguaggio e non nel servizio, il risultato non è la concorrenza o la specificità locale, ma il caos. La frammentazione è anche il risultato di una mancanza di competenza, esperienza e cultura della tecnologia, e non mi riferisco specificamente alle funzioni dedicate, ma all’intero sistema sanità. Chiaramente quando si parla in generale si fa torto a qualcuno. Per avere il meglio sul mercato a un prezzo sostenibile, la sanità italiana deve riuscire a parlare alle aziende più importanti del mondo, e coinvolgere quelle italiane di qualità, con una sola voce. E, a prescindere dalle dimensioni dell’interlocutore, deve sapere trattare da pari con i fornitori di servizi high tech. Terzo punto, le risorse: la tecnologia costa, gli aggiornamenti costano, la gestione costa, e l’appropriato utilizzo a costi sostenibili richiede competenze adeguate. La sanità, non solo italiana, è indietro rispetto ad altri ambiti perché la tecnologia non è considerata nel suo fondamentale valore strategico e di servizio all’utenza. Poteva anche essere giustificabile fino a qualche tempo fa. Ora non più. La digitalizzazione è inseparabile dalla cura del paziente e la pandemia ha portato un’ulteriore accelerazione senza però incrementare anche la formazione, la competenza e la sicurezza. Abbiamo una finestra stretta per chiudere il gap che si sta creando. 

Che peso ha il rischio informatico nell’influenzare la direzione e il passo dell’innovazione?  

La sicurezza informatica, in questo scenario, è un reagente essenziale del processo: è il prodotto di una più matura digitalizzazione ed è contemporaneamente la condizione affinché questa digitalizzazione possa diffondere i suoi benefici alla sanità in maniera omogenea.  
Sia chiaro: non dobbiamo farci paralizzare dalla paura del rischio informatico. I rischi esisteranno sempre: si evolvono assieme ai sistemi per difenderci. Il rischio informatico non ha impedito lo sviluppo degli smartphone o dell’home banking. 

Questi settori hanno trovato il modo di prosperare affrontandolo. Come può riuscirci anche la sanità?  

La strada è applicare uno standard interoperabile superando lo sviluppo a macchia di leopardo di una miriade di sistemi non comunicanti. Un’innovazione che migliora le cure, la prevenzione, la concorrenza e anche la sicurezza se si accetta di creare layer profondi e intermedi di attori professionali ai quali affidare la gestione del dato in maniera più sicura di quanto possa fare la singola piccola struttura sanitaria. 
Il paradosso, al momento, è che non essendoci sistemi interoperabili e sicuri di scambiarsi informazioni, si finisce per tenere nominalmente i dati “chiusi” nelle strutture e usare, poi, purtroppo spesso, WhatsApp o Excel per mandarli da un operatore all’altro o da un’istituzione all’altra.  
Terzo punto è eliminare le legacy: ci sono troppi contratti sfavorevoli, troppo costosi da rescindere, che sono il frutto sia della normativa che di una scarsa capacità di pretendere il meglio dai fornitori. Per questo c’è bisogno di un salto “filosofico” ma molto concreto: l’evoluzione del digitale in sanità non si può cristallizzare. Il formato impiegato oggi fra un anno potrebbe essere superato. Bisogna abbracciare l’idea di flusso: dati sanitari, informazioni, tecnologie non possono essere bloccati. Si può solo decidere di incanalare l’evoluzione verso un sistema flessibile, condiviso e sicuro per la cura delle persone. E il PNRR non può perdere o fallire questa storica occasione. 

,

L’OCCASIONE DA COGLIERE È ADESSO

La sicurezza informatica è parte integrante della sicurezza delle cure e senza questa sicurezza non può esistere completa digitalizzazione della sanità. L’intero paradigma dei servizi sanitari sta cambiando e il rischio sta crescendo, ma siamo ancora in tempo per costruire consapevolezza e prassi di cybersecurity a ogni livello. 

Intervento di Arabella Fontana, Direttore Medico del Presidio Ospedaliero di Borgomanero ASL Novara, pubblicato il 7 luglio 2021 nel Whitepaper CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

Nel corso della mia carriera ho visto il passaggio dalla penna al computer. All’inizio c’era difficoltà a lavorare con le nuove tecnologie. Oggi, è pressoché impossibile lavorare senza. Ciò dà il metro di quanto il digitale sia divenuto pervasivo nella sanità. Un trend costante negli anni al quale si è aggiunta la forte accelerazione impressa dal Covid-19. Telemedicina, big data per investimenti predittivi e medicina personalizzata, scambio di informazioni tra device medicali e i servizi online per l’utenza sono già ora il presente e rappresentano il futuro. Mentre ciò avviene, crescono i rischi: la sanità è il primo obiettivo del cybercrime, con un livello di attacchi in crescita anno su anno.  

Dobbiamo capire questo contesto partendo da due considerazioni. La prima è che la maggior parte degli utenti e degli operatori sanitari comprende l’importanza dei dati, ma non quanto grande sia questa importanza. La seconda è che la maggior parte delle persone che utilizza i sistemi informatici non ne immagina la versatilità nelle mani del cybercrime, né i rischi insiti nell’utilizzo quotidiano.  

Possiamo crescere in sicurezza, ma dobbiamo, prima, crescere in consapevolezza.  La cultura del rischio si è evoluta nella sanità italiana e si è fatta strada la certezza che la sicurezza in sanità non possa limitarsi al rischio clinico, ma debba abbracciare ogni ambito (informatico, strutturale, gestionale etc.) come se ognuno di questi rischi fosse un rischio clinico. Non siamo, perciò, privi di difese.  

Abbiamo buone normative, ottimi sistemi informatici e strumenti tecnici di partenza, quali firewall, antivirus, criptazione dei dati.  

L’ambito nel quale possiamo migliorare di più è, perciò, quello della formazione. Dobbiamo sensibilizzare gli utenti e formare il personale in maniera continuata e ripetuta nel tempo in modo da tenere alta la guardia. I professionisti sanitari non devono più sentire password e limitazioni come un’imposizione o un inciampo. Devono capire che la sicurezza dei dati equivale alla sicurezza dei pazienti e sentirsi parte di uno sforzo collettivo per proteggerla. In questo, l’introduzione del GDPR ha aiutato perché ha coinvolto tutti gli operatori e non solo i tecnici nella protezione dei dati. 

La sanità è arrivata in ritardo alla digitalizzazione rispetto ad altri settori come, ad esempio, quello bancario, ma il trend è chiaro. Stiamo per cambiare paradigma: i dati e i servizi saranno sempre meno “chiusi” negli hardware delle strutture sanitarie e sempre più diffusi e scambiati sui cloud. Questo aumenterà i rischi. Dobbiamo cogliere questo momento di passaggio per costruire una matura cultura della sicurezza cyber prima che sia troppo tardi per arginare i danni.  

Ciò significa applicare, anche all’ambito cyber, un approccio proattivo: una security by design nella quale la sicurezza informatica rientri in ogni processo, abbia specialisti dedicati, si avvalga delle competenze migliori all’interno e all’esterno della struttura sanitaria. 

Sensibilizzazione e consapevolezza sono il cuore del miglioramento: capire il valore della sicurezza dei dati e i danni enormi che la sua mancanza può causare, è essenziale per indirizzare le risorse umane e materiali che questa sicurezza richiede e merita

,

SANITÀ E RISCHIO INFORMATICO

SHAM – GRUPPO RELYENS E UNIVERSITÀ DI TORINO PUBBLICANO I RISULTATI DELLA PRIMA RICERCA ITALIANA SULLO STATO DELL’ARTE DEL RISCHIO CYBER NEL COMPARTO SALUTE 

· Il 24% delle strutture sanitarie afferma di aver riportato attacchi informatici

· 68 i professionisti sanitari – provenienti da strutture distribuite su 14 regioni italiane – che hanno risposto allo studio

· Il whitepaper “Capire il rischio cyber- Il nuovo orizzonte in sanità”, realizzato da Sham – gruppo Relyens in collaborazione con il Dipartimento Università di Torino, analizza la preparazione e la consapevolezza della sanità italiana per far fronte alla minaccia cyber

· Infrastrutture e normativa sono all’altezza della sfida ma gli operatori non conoscono i rischi del digitale: la formazione del personale è il vulnus degli attacchi hacker

· La ricerca ha ricevuto il patrocinio di: Federsanità; Assolombarda; Centro Gestione del rischio Regione Lombardia; Associazione Nazionale dei Medici delle Direzioni Ospedaliere (ANMDO); Associazione Religiosa Istituti Socio Sanitari (ARIS); Consorzio universitario per l’ingegneria nelle assicurazioni (CINEAS) e Società Italiana del Rischio Clinico (SIRiC)

Torino, 7 luglio – Pubblicata oggi la prima ricerca scientifica sulla preparazione e consapevolezza del rischio informatico nella sanità italiana. Un’analisi nata dalla collaborazione tra Sham – gruppo Relyens, società mutua specializzata in assicurazione e gestione del rischio presso gli operatori del settore sanitario e socio-sanitario, e il Dipartimento di Management dell’Università di Torino. Il sondaggio, i cui risultati sono approfonditi nel whitepaper “Capire il rischio Cyber: il nuovo orizzonte in sanità”, raccoglie e analizza le risposte di 68 professionisti sanitari operanti in strutture distribuite su 14 Regioni italiane. I professionisti intervistati sono Risk Manager, Responsabili Qualità, Data Protection Officer (DPO), Responsabili della sicurezza informatica (CISO) e dell’Ingegneria Clinica, nonché Referenti della Direzione Sanitaria e Generale. Il 70% delle strutture è appartenente alla sanità pubblica, il 30% al comparto privato, con dimensioni che variano da meno di 250 posti letto a più di 750, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale.

Tra i contributori del paper figurano alcuni tra i più importanti esponenti dell’ambito sanitario e della sicurezza delle cure del nostro Paese: Andrea Piccioli, Direttore Generale dell’Istituto Superiore di Sanità; Enrico Burato, Coordinatore regionale gestione rischio sanitario e sicurezza del paziente della Regione Lombardia e Direttore SC qualità, accreditamento e appropriatezza e dell’Unità di crisi anti-Covid dell’ASST Mantova; Amerigo Cicchetti, Professore ordinario di Organizzazione Aziendale alla Facoltà di Economia dell’Università Cattolica del Sacro Cuore e Direttore di ALTEMS.

È un’analisi circoscritta ma rappresentativa, che fotografa lo stato dell’arte della preparazione dei nostri operatori sanitari rispetto alla minaccia cyber e i cui risultati possono contribuire concretamente alla ricerca sulla sicurezza del comparto Salute – ha annunciato in conferenza stampa Roberto Ravinale, direttore esecutivo della società mutua leader nella Responsabilità Civile Sanitaria nel Nord Italia.

La ricerca ci ha consentito di individuare criticità e aree di miglioramento con l’obiettivo ultimo di potenziare le azioni di risk management sanitario anche in campo informatico” aggiungono gli autori Anna Guerrieri, Risk Manager di Sham in Italia e Enrico Sorano, Professore aggregato di Economia aziendale presso il Dipartimento di Management dell’Università di Torino.

L’esito della ricerca: il 24% delle strutture ha dichiarato di aver subìto attacchi informatici, dei quali l’11% è costituito daransomware e il 33% da accessi abusivi ai dati. La minaccia hacker però non è sottostimata: il 59% delle strutture percepisce il tema cyber risk in sanità come una priorità che impatta su prestazioni erogate e modelli organizzativi interni. Un ulteriore 31% ha valutato il tema come parzialmente prioritario. Ciononostante sono ancora poco frequenti le misure adottate dalle strutture per prevenire e gestire il rischio cyber: mappature, analisi dei rischi e test di vulnerabilità figurano solo in un terzo del totale. “Complessivamente – spiegano Guerrieri e Sorano – l’ambito normativo, il livello di priorità all’interno della gestione aziendale e la dotazione hardware risultano all’altezza della sfida crescente. Ma il livello di guardia e di competenza tecnica tra il personale che quotidianamente utilizza i dispositivi non è sufficiente. Molto spesso si aprono porte agli hacker in modo del tutto inconsapevole. È essenziale alzare il livello di allerta introducendo percorsi di formazione continuativa e nuove competenze.

L’occasione da cogliere è adesso – ha confermato in conferenza Arabella Fontana Direttore Medico del Presidio Ospedaliero di Borgomanero – ASL Novara -. Servizi e informazioni digitali verranno scambiati in volumi sempre maggiori. Dobbiamo applicare anche all’ambito cybe, un approccio proattivo: la sicurezza informatica deve essere prevista e considerata in ogni processo. Sensibilizzazione e consapevolezza sono il cuore del miglioramento: capire il valore della sicurezza dei dati e i danni enormi che la sua mancanza può causare”.C’è bisogno di un altro paradigma – ha detto Antonio Furlanetto, futurista e risk manager esperto in responsabilità civile; Docente di Risk Management Anticipante presso l’Università di Trento; AD di -Skopìa S.r.l. Anticipation Services -.

“Tutti i dati in nostro possesso confermano che la chiave della sicurezza e della sostenibilità sanitaria passano attraverso una cultura della prevenzione a 360° – ha concluso Roberto Ravinale-. Più sicuro è l’ecosistema, più sicuro diventa ogni singolo attore, più diventano sicure le cure. E, in questo nuovo contesto di rivoluzione tecnologica, la sicurezza assurge a conditio sine qua non per l’innovazione e la digitalizzazione: solo una sanità pienamente sicura potrà essere pienamente digitale e quindi in grado di assicurare cure più performanti. Sham è in prima linea nell’accompagnare i propri clienti-associati lungo questo percorso e continuerà nel contribuire alla diffusione delle buone pratiche e nel condividerle con l’ecosistema sanitario con l’obiettivo ultimo di una messa in sicurezza dell’intero comparto”.

Per il White Paper completo cliccare qui

DARE LA GIUSTA DIREZIONE AL CAMBIAMENTO

Sostenere la ricerca, il confronto e la condivisione delle migliori pratiche è al cuore della missione mutualistica di Sham per basare le scelte di risk management su dati autorevoli e analisi condivise con l’intero ecosistema sanitario. 

Intervento di Roberto Ravinale, Direttore esecutivo Sham Italia pubblicato il 7 luglio 2021 nel Whitepaper CAPIRE IL RISCHIO CYBER: IL NUOVO ORIZZONTE IN SANITÀ 

Quella che pubblichiamo è una ricerca a lungo attesa e, allo stesso tempo, non è che il primo passo di ciò che mi auguro sarà uno sforzo collettivo, italiano ed europeo, per capire, quantificare e rispondere, con sempre maggiore decisione e previsione, il rischio informatico in sanità. 

Come i molti autorevoli contributori di questo paper hanno testimoniato, l’orizzonte del cyber è un crocevia della sanità – per la prevenzione, per la cura, per l’assistenza domiciliare – mentre la sicurezza informatica ne è il prerequisito fondamentale nel processo di digitalizzazione. A cambiare non sono solo gli strumenti di cura, diagnosi e monitoraggio. L’ambito informatico sanitario è in crescita sotto tutti i punti di vista: cresce la complessità della normativa europea e della tecnologia richiesta per rimanere al passo con l’innovazione. Cresce la pressione hacker e il rischio di danno ai pazienti susseguente a un attacco informatico. Cresce, perciò e infine, il livello della responsabilità. 

Ci troviamo sulla frontiera della trasformazione, ed è qui che Sham ha la fortuna di posizionarsi: a fianco della ricerca universitaria e dei professionisti della sanità e della sicurezza nelle cure. La nostra missione, da oltre 90 anni, è quella di diffondere pensiero, buone pratiche, consapevolezza del rischio e cultura della prevenzione, sviluppando soluzioni sempre aggiornate per rispondere ai nuovi rischi e alle nuove esigenze di un panorama sanitario in continua evoluzione. 

La prassi di Sham è accompagnare i propri soci assicurati nella gestione integrata del rischio. Ciò significa ridurre e anticipare i nuovi rischi, far confluire nuove competenze multidisciplinari nel campo del risk management, favorire il confronto e generare dinamiche virtuose in grado di creare progresso e migliorare la sicurezza dei pazienti.  

Grazie al contesto europeo nel quale operiamo come parte del gruppo Relyens (siamo presenti in Italia, Francia, Spagna e Germania) possiamo contare su un ulteriore livello di confronto per capire le esigenze emergenti e testare l’efficacia di strumenti e soluzioni di risk management.  

Il portato di questa esperienza non è riservato solo ai nostri associati ma, non di rado, condiviso con l’intero panorama sanitario. La missione del nostro modello mutualistico, infatti, è quella di diffondere cultura e prassi della sicurezza. Più sicuro è l’ecosistema, più sicuro diventa ogni singolo attore. Questa è la nostra filosofia.  

Da qui nascono le attività di ricerca, il sostegno alle borse di studio universitarie e i tanti progetti (come il Concorso Risk Management Sham) che ci vedono impegnati nel diffondere cultura e buone pratiche di gestione del rischio. 

Partiamo dalla consapevolezza che il futuro non sia immutabile e predeterminato: sono le nostre scelte a imprimergli una direzione chiara. Il nostro obiettivo è contribuire a intraprendere la direzione giusta, partendo dai dati, dall’analisi e dal confronto tra tutti gli attori che condividono la missione della sicurezza in sanità.