,

RIDUZIONE SEPSI NEONATALE, RICOVERI COVID MIRATI E RISPARMIO: I RISULTATI DELL’ENTERPRISE RISK MANAGEMENT

45 progetti di miglioramento della sicurezza ospedaliera dimostrano l’efficacia di una rete di Risk Management pro-attivo creata presso la Fondazione Poliambulanza di Brescia. Il cambio di passo della sicurezza inizia con il sostegno della Direzione Generale e si sviluppa con 65 referenti del rischio diffusi capillarmente nei reparti.  La partecipazione attiva e creativa del personale fa sì che la sicurezza abbracci l’intera organizzazione. Solo così tutti i rischi che influiscono sul rischio clinico vengono affrontati e contenuti

Da diversi anni la Fondazione Poliambulanza di Brescia ha abbracciato la formula dell’Enterprise Risk Management, ovvero un approccio alla riduzione del rischio che non si limita al rischio clinico ma affronta tutti i rischi che, “dall’esterno”, hanno effetto sul rischio clinico.  

“La sicurezza – spiega la Risk Manager Carmela De Rango – abbraccia l’intera organizzazione”. 

Il braccio operativo di questo approccio è una rete capillare di 65 responsabili del rischio nei diversi reparti: medici e infermieri che fanno da collegamento quotidiano tra la struttura di RM e i processi operativi, si incaricano di declinare nella pratica i protocolli di sicurezza, segnalare gli eventi sentinella (in una cultura risolutamente no-blame e di garanzia per il personale ) e  proporre miglioramenti. 

“Tutto il personale partecipa, perciò, alla sicurezza e, una volta all’anno, i progetti di miglioramento messi in atto vengono presentati e valutati davanti alla Direzione e a centinaia di colleghi”.  

Quest’anno il concorso interno Sustainable Enterprise Risk Management ( che ha anche vinto il premio SHAM 2021 ) ha visto 45 progetti in “concorso”. 

Quali sono i progetti più importanti che avete valutato quest’anno? 

Nel poco tempo a mia disposizione, i progetti che citerò sono una minima parte di tutto quello su cui Fondazione Poliambulanza si è impegnata.  

E’ stato valutato come vincitore il progetto “Riduzione/Contenimento delle infezioni tardive in terapia intensiva neonatale” che ha portato a un calo delle Sepsi del 74%, con una diminuzione di circa 78 giorni di ricovero in TIN, migliorando le performance assistenziali e liberando numerosi posti letto a favore di altri neonati. Tutto ciò ha prodotto un risparmio di circa 120.000 euro in un anno. 

Al secondo posto si è posizionato il “Follow-up del paziente covid + in PS”: come tutti sapete, ogni giorno vengono ahimè valutati in PS sempre più pazienti covid+, molti dei quali non necessitano di un immediato ricovero ospedaliero e pertanto vengono indirizzati verso il proprio domicilio. Per poter prevenire le complicanze legate all’infezione da SarsCov2 si è reso necessario definire criteri di dimissibilità e organizzare un percorso di follow-up tramite una rivalutazione a distanza dei pazienti coinvolti in tale percorso. A conclusione del progetto si è potuto constatare che i criteri di dimissibilità utilizzati, si sono rivelati efficaci e sicuri nell’evitare ricoveri non necessari e nella rapida identificazione di casi potenzialmente a rischio di rapido deterioramento clinico. 

Al terzo posto si è posizionato la “Standardizzazione delle competenze clinico assistenziali in reparto plurispecialistico”: la necessità di implementare questo progetto è nata con l’avvio di un reparto multidisciplinare (il P-5, dedicato a ospitare pazienti diversi che spaziano dall’ortopedia, alla clinica, alla chirurgia) e con l’esigenza di uniformare le competenze del personale soprattutto infermieristico, per garantire ai nostri pazienti un’uniformità di prestazioni. E’ stato pertanto attivato un programma di miglioramento che ha raggiunto tutti gli obiettivi al 100%. 

Come è avvenuta la valutazione? 

La valutazione di tutti i progetti che hanno aderito ad un concorso interno organizzato dalla Direzione Generale di Fondazione Poliambulanza tramite il Servizio di Risk Management è stata effettuata da una commissione interna ed esterna, all’interno della quale era presente il Risk Manager di Sham, e da una votazione contestuale effettuata in corso di presentazione tramite appositi dispositivi.  

Qual è il minimo comun denominatore dei progetti? 

Un aspetto che accomuna tutti i progetti presentati è il fatto che si sono messi in campo tutti gli operatori di Fondazione Poliambulanza, dall’infermiere al medico coinvolgendo anche i direttori di dipartimento, passando per gli operatori ICT quest’ultimi impegnati nel garantire la sicurezza informatica. Cito pertanto altri tre importanti studi “Ottimizzazione del percorso del paziente dall’accettazione agli ambulatori oculistici”, “Terapia dei pazienti Covid con prognosi sfavorevole” ed infine “Not Alone in the dark” presentato da ICT

Uniformità, padronanza del linguaggio e congruità delle proposte: come misurate la sensibilità del personale al tema del rischio  e come confrontate i risultati dei diversi anni? 

L’aver introdotto, negli anni, criteri di valutazione puramente oggettivi e il grande supporto dimostrato dalla Direzione Generale di Fondazione Poliambulanza hanno portato ad una partecipazione convinta sempre più numerosa. Il lavoro svolto ha incrementato le competenze professionali da una parte, e, dall’altra, incentivato una nuova e diffusa cultura del miglioramento procedurale e personale. Attraverso un percorso di onestà intellettuale le risorse sono capaci di autovalutarsi e, quindi, di raggiungere con più efficacia gli obiettivi. Inizialmente i progetti erano poco strutturati; con il tempo si è rafforzata la competenza del personale nel formualre tutte le parti di un progetto di miglioramento, affinando e approfondendo la capacità di influire e misurare la prevenzione del rischio: riuscendo a lavorare sulle criticità e prevenendo gli eventi avversi. 

C’è anche un valore  ‘immateriale’ in una rete matura di Risk Management diffuso e pro-attivo? 

Rispondo Citando le parole del nostro Direttore Generale: “Che questo modello di partecipazione creativa e attiva, possa contaminare le nostre abitudini professionali”. Tutti gli operatori si sentono coinvolti nella realizzazione di progetti riguardanti il Risk management voluti dall’azienda, creando così valore per l’impresa. Fondazione Poliambulanza è composta da circa 2.000 dipendenti, quindi se ci si impegna in un progetto, scendono in campo 2.000 persone. È proprio questo aspetto che ci caratterizza, che descrive al meglio il “valore immateriale”. Ciò rende tutta l’organizzazione resiliente, crea meccanismi che mettono in relazione aree diverse della struttura, formando a loro volta interazioni tra dipendenti che confrontandosi fra loro, aumentano l’efficacia del progetto e la sua sostenibilità nel tempo, producendo una costante ricaduta positiva. 

La Corporate Social Responsibility ha proprio l’obiettivo di mantenere intatta l’efficienza delle competenze del nostro personale incrementando la sicurezza, abbattendo i costi, favorendo così accesso ai finanziamenti, alla gestione delle risorse umane e alla capacità di innovarsi stando al passo coi tempi. 

Quale è al conditio sine qua non per cambiare passo sulla sicurezza? 

Ci tengo a sottolineare che la volontà della Direzione Generale di credere e di seguire questo progetto fa la differenza. Perseguirne gli obiettivi è certamente molto oneroso ma, al contempo, ambizioso. Non sono molte, infatti, le organizzazioni che possono vantare una Direzione tanto decisa nell’implementare progetti di Risk Management. Il 2022 sarà un anno ancora più proficuo in cui i nostri operatori potranno creare qualcosa di originale, sempre più innovativo e raggiungere gli obiettivi che si sono dati. In conclusione possiamo dire che l’Entreprise Risk Management che Fondazione Poliambulanza ha l’obbiettivo di creare si basa sul principio di garantire la sicurezza di tutta l’organizzazione e non solo di posizionarsi in quella che è la prevenzione del rischio clinico, perché su quest’ultimo intervengono indirettamente tutti gli altri rischi. 

,

COVID E BURN-OUT: COME IL PERSONALE SANITARIO REAGISCE AI RISCHI DELLA PANDEMIA

Reparti sovraffollati, una gestione organizzativa messa alle strette dal numero degli ammalati. Da due anni il personale sanitario combatte in prima linea il Covid-19 con orari lavorativi massacranti ed incertezza rispetto al termine dell’emergenza, così il burn-out prende il sopravvento

Il disagio psicologico del personale sanitario durante la pandemia da Covid-19. Ne parla il Professore Antonio Lasalvia docente di Psichiatria del Dipartimento di Neuroscienze, Biomedicina e Movimento dell’Università di Verona, autore della ricerca ““The Sustained Psychological Impact of the COVID-19 Pandemic on Health Care Workers One Year after the Outbreak—A Repeated Cross-Sectional Survey in a Tertiary Hospital of North-East Italy”, pubblicato sulla rivista International Journal of Environmental Research and Public Health, che ha esaminato l’impatto psicologico subito dal personale dell’Azienda Ospedaliera Universitaria Integrata (AOUI) di Verona

  • Quale è stata la causa scatenante l’interesse per la tematica su cui si concentra la ricerca?

La ricerca è nata nel marzo del 2020, durante la prima ondata della pandemia. Il Veneto e la Lombardia sono state le prime regioni ad essere colpite da questo male sconosciuto riportando i primi focolai di quella che sarebbe, poi, stata una pandemia disastrosa per il nostro paese. Gli ospedali si sono messi in prima linea per fronteggiare le terapie intensive sovraccaricate e i decessi giornalieri. In quel periodo, insieme con alcuni colleghi dell’Ospedale Policlinico di Verona, mi è venuta l’idea di valutare gli effetti di ciò che stava succedendo nelle strutture sanitarie, nonostante, ai tempi, non avessimo ancora compreso l’entità di ciò che stava accadendo: non c’erano protocolli di nessun genere, mancavano i dispositivi di protezione individuale, mancava la conoscenza minima di una prassi condivisa per affrontare il Covid-19.

Tra marzo e aprile del 2020 abbiamo impiantato questo studio utilizzando dei questionari che sono stati fatti girare nell’azienda ospedaliera e compilati on-line in anonimato: ansia post-traumatica, ansia generalizzata, stress da lavoro, depressione, burn-out è stato ciò che abbiamo indagato tramite le domande.

  • Quali sono i disagi maggiormente percepiti dal personale sanitario in base ai risultati dei questionari?

Inizialmente abbiamo valutato quale è stato l’impatto del Covid-19 nel 2020 ed il risultato è stato individuato in un’elevata prevalenza di stress post-traumatico e ansia generalizzata, in particolare negli infermieri, e soprattutto di quelli che lavoravano nelle terapie intensive e nei reparti sub-intensivi Covid.

Abbiamo, poi, ripetuto i questionari a distanza di un anno, quindi a marzo ed aprile del 2021, per comprendere se la situazione fosse o meno migliorata, considerando che in un anno la medicina aveva fatto passi da gigante nella gestione della pandemia, nonostante la seconda e terza ondata della malattia.  Dopo un anno, la situazione è risultata essere ancor peggiore, non tanto in termini di paura e preoccupazione, quanto in termini di un logoramento da iper-lavoro, assenza di riposo, mancata capacità da parte del sistema di gestire la situazione sul lungo termine. 

Ciò che è emerso sono sintomi di depressione, esaurimento emotivo e burn-out, dove quest’ultimo rappresenta il rischio psicologico lavoro correlato più pericoloso, in quanto il lavoratore sviluppa un totale rifiuto verso la propria occupazione e nel caso delle professioni di aiuto, come appunto medici e infermieri, verso i pazienti.

Il burn-out è una situazione molto complicata da gestire, la qualità delle cure ne risente.

I dati raccolti dal campione valutato nel 2021, composto da circa 1033 operatori sanitari, hanno mostrato che le persone con livelli elevati di ansia sono passate dal 50% al 56%, ma – dato ancora più interessante – quelle con depressione dal 27% al 41% e quelle in burnout dal 29% al 41%.

  • Ci sono state ripercussioni dirette del malessere del personale sanitario?

Si, quando il personale sanitario è demotivato e stanco è meno efficiente nelle cure e, quindi, anche più incline a sbagliare. Il burn-out nei contesti sanitari è una condizione ampiamente documentata dalla letteratura scientifica in epoca pre-pandemica, evidenziando che in molte organizzazioni ospedaliere una quota di lavoratori in burnout rappresenta un fenomeno parafisiologico; tuttavia, in una situazione di pandemia, che ormai si sta protraendo da due anni, la percentuale di operatori in burn-out è quasi raddoppiata rispetto a quanto osservato in passato: il personale evidentemente non riesce più a stare al passo con un’emergenza che purtroppo è diventata quotidianità. E lavora in un contesto emotivo contrassegnato dall’incertezza rispetto a quando (e se) tutto ritornerà nella “normalità”.

Gli infermieri, ripeto, sono sicuramente la categoria che ha subito di più gli effetti secondari del Covid-19 negli ospedali.

  • Essendo quindi il personale sanitario debilitato, è possibile che tale fragilità possa portare a rischi clinici più frequenti?

Certamente, il burn-out aumenta decisamente il rischio di errori e il rischio clinico a carico del paziente. La situazione psicologica dei sanitari non è solo a carico degli stessi, ma si riversa anche sui pazienti. Lavorare con persone che sono sfinite è un problema che riguarda gli utenti alla fine.

  • In base alla ricerca condotta, lei ha dei suggerimenti per ovviare a tali rischi?

Ci sono due livelli su cui si può agire. Noi come psichiatri possiamo agiamo su uno di questi, quello individuale (o eventualmente di gruppo), cercando di alleviare l’impatto dei sintomi psicologici e cercando di dotare gli operatori maggiormente a rischio di quegli strumenti emotivi e cognitivi per fare fronte in maniera meno disfunzionale alle aumentate sollecitazioni lavorative legate al lavoro in pandemia; ma ci sono dei livelli organizzativi del sistema, come ad esempio le turnazioni di lavoro o l’aumento il personale sanitario, che devono essere riviste nonostante ci siano delle oggettive difficoltà legate ad una situazione diventata oramai ingestibile.

Aiutare i professionisti nei reparti a rischio a gestire meglio le proprie emozioni e insegnare delle tecniche per ridurre lo stress, come la mindfulness, può essere l’inizio. All’interno del Policlinico di Verona stiamo appunto cercando di mettere in atto un progetto per capire se gli interventi di rilassamento e meditazione in qualche modo possano dotare gli operatori di strumenti emotivo- cognitivi in grado di far fronte a quelle che sono le necessità.

Ovviamente, non tutti gli operatori sanitari sono vittime dello stress psicologico, o lo sono in maniera debilitante, ma è molto importante sviluppare degli strumenti di supporto psicologico al fine di aiutare gli uni e gli altri, perché la cura del personale sanitario è una parte essenziale per preservare la sicurezza negli ospedali.

Il benessere di si prende cura di noi è fondamentale.

,

COME CREARE UNA RETE PROATTIVA DI RISK MANAGEMENT IN UNA STRUTTURA SANITARIA

65 referenti: una rete capillare tra reparti e Risk Management per proporre miglioramenti, segnalare problemi e implementare i protocolli di sicurezza. È la gestione del rischio proattivo della Fondazione Polimabulanza di Brescia. Ma è replicabile? E, se sì, come. L’intervista a Giansaverio Friolo, Risk Manager di Sham che ha partecipato alla valutazione dell’iniziativa Sustainable Enterprise Risk Management

Da anni la Fondazione Poliambulanza di Brescia, una delle realtà più importanti nel panorama della sanità privata convenzionata italiana, ha creato una rete di referenti del Risk Management attivi in ogni singolo reparto. Questi referenti, 65 ad oggi, hanno il compito di fornire un collegamento diretto e quotidiano tra il Risk Manager e i reparti: segnalano i problemi, declinano i protocolli di sicurezza da introdurre, avanzano proposte di miglioramento sulla base dell’esperienza. È un approccio radicalmente proattivo*, fondato in una cultura no blame** e capace di produrre 45 progetti di implementazione della gestione del rischio nel solo 2021, raccolti nell’iniziativa Sustainable Enterprise Risk Management che ha vinto il Premio Sham 2021 e che, qualche mese dopo nel dicembre 2021, ha visto la presentazione e premiazione dei singoli progetti presso la Fondazione Poliambulanza stessa. 

“Il contributo dei singoli progetti al miglioramento della sicurezza è, però, solo uno dei molti vantaggi di questa iniziativa – spiega Giansaverio Friolo, Risk Manager di Sham che ha partecipato alla valutazione come membro della giuria -. Altrettanto importante è, anno dopo anno, la diffusione della cultura della sicurezza che si articola su diversi piani. Primo: il coinvolgimento del personale sanitario che diventa sempre più consapevole dell’importanza della prevenzione. Secondo: una progressiva comprensione di quali siano i confini della gestione del rischio e di come e quando possa entrare nei processi gestionali. Terzo: l’uniformità del linguaggio della sicurezza all’interno della struttura, un elemento essenziale per valutare oggettivamente il progresso e i risultati ottenuti nel corso degli anni e confrontare l’efficacia delle pratiche nei diversi reparti. È un modello, quello della Fondazione Poliambulanza di Brescia, straordinariamente affine al modello stesso della Mutua Sham e con il quale ci troviamo, da assicuratori e RM sanitari, in perfetta sintonia. 

È un modello di RM che si può ‘esportare’ in altre strutture? 

Sì, ed è altamente consigliabile. L’esperienza presso la Fondazione Poliambulanza ha messo in risalto che dirigenza, clinici e operatori sanitari partecipano attivamente e convintamente alla gestione del rischio. La prevenzione è un argomento all’ordine del giorno che il personale sente come proprio e attuale. Si può costruire una rete capillare di referenti del rischio e della sicurezza delle cure, ma sono necessarie alcune condizioni.  

La prima condizione è un Risk Manager appassionato. La seconda è il sostegno e la presenza della dirigenza. Vedere il Direttore generale che, come durante i diversi stadi di Sustainable Enterpise  RM, è presente e attivo è un forte messaggio per tutti e tutte e dice: “La prevenzione e la sicurezza sono al centro di quello che facciamo”. 

Ma la passione e il sostegno non bastano. Per la mia esperienza ho visto quanto sia importante la presenza di procedure interne sulla gestione del rischio clinico validate dalla Direzione Generale e Sanitaria, che chiariscano il ruolo di tutti gli operatori sanitari, in un’ottica di tutela e responsabilità reciproca. 

Qual è il nodo da sciogliere per far sentire gli operatori tutelati dal Risk Management?  

Quando succede un evento sentinella o un evento avverso, si pone il problema della responsabilità. I dirigenti devono essere consapevoli che maggiore è la tempestività e la trasparenza con la quale viene segnalato ed affrontato un evento avverso, più sicura diventa, nel tempo, la struttura. Per permettere questo è necessario far capire agli operatori sanitari, che, quando si segnala un evento avverso, ci sia tutela da parte dell’organizzazione sanitaria in cui si opera. Ecco dove si calano le procedure interne sulla gestione del rischio clinico. I Direttori Generali e Sanitari devono assumersi la responsabilità di quello che avviene nella struttura, lavorando insieme agli operatori per migliorare la sicurezza dell’ospedale. È un passo difficile e coraggioso, soprattutto nel pubblico, perché, ovviamente, alla responsabilità sono connessi i risarcimenti. Ma è un passo che ripaga molte volte in sicurezza e, quindi, anche in sostenibilità. 

Quale è la relazione tra sicurezza e sostenibilità? 

Sono due variabili dipendenti. Più una struttura è trasparente sul rischio più il rischio si riduce, portando alla diminuzione degli eventi avversi e conseguenti richieste di risarcimenti. È questo l’orizzonte del cambiamento: servono fiducia da parte del personale e lungimiranza da parte delle dirigenze. Ed è un orizzonte che le nuove generazioni di Direttori, sia nel pubblico che nel privato, sono più disposte ad abbracciare che in passato.  

C’è un ruolo per le assicurazioni in questa trasformazione? 

Assolutamente sì perché l’ostacolo è, ormai, più culturale che economico. Di fatto, la copertura per la totalità del personale è già garantita. Gli strumenti assicurativi, perciò, ci sono. Bisogna accettare un cambio di strategia: investire all’inizio per risparmiare molto di più nel corso degli anni a venire. Questa, del resto, è la ragione per la quale la gestione del rischio è nata, decenni fa, in Giappone  e negli Stati Uniti: intervenire sulle radici del problema per ridurlo progressivamente. 

È una filosofia che funziona, come dimostrano sia dati in tutto il mondo che, in Italia, l’esperienza recente di realtà come la Fondazione Poliambulanza.  

——- 

*Proattivo è l’approccio che cerca di anticipare i rischi sulla base dell’esperienza. Reattivo è l’approccio va alla ricerca delle cause di un evento avverso solo dopo che si è verificato. 

*No-blame è la cultura e la prassi organizzativa che considera gli eventi avversi e gli errori non come “colpe” di qualche operatore ma come problemi all’interno di un processo da risolvere affinché si verifichino con sempre minore frequenza. 

,

POLIZZA CYBER: L’EVOLUZIONE DEL MERCATO ASSICURATIVO TRA RANSOMWARE E CLAIMS MANAGEMENT

Negli ultimi anni abbiamo assistito a un esponenziale incremento della frequenza e della complessità degli eventi informatici avversi. Protagonista indiscusso è Il “ransomware”: l’entità dei riscatti è cresciuta vertiginosamente. Per questo la Polizza Cyber non può più prescindere da una corretta mitigazione del rischio.  L’assicuratore può essere determinante anche nella gestione in tempo reale dell’attacco. Come? Ce lo raccontano Luca Achilli e Ruggero Di Mauro, rispettivamente Direttore Sviluppo Healthcare e Key Account Manager di Sham – gruppo Relyens

Il “ransomware” è una particolare tipologia di malware (malicious software) che criptati dati e sistemi delle aziende, rendendoli di fatto inaccessibili, richiede il pagamento di un riscatto (ransom in inglese) per il rilascio della chiave di decifratura. I ransomware di ultima generazione, inoltre, prevedono un riscatto iniziale con possibilità di pagamento entro una breve finestra temporale (e.g. una settimana) con minaccia – in caso di mancato pagamento entro quel termine – di un aumento esponenziale della richiesta di riscatto e di una pubblicazione nel web e/o nel deep web e/o nel dark web di Dati personali, societari e segreti industriali la cui confidenzialità è stata violata dall’attacco stesso. 

“Gli attacchi ransom sono cresciuti in tutta l’Europa continentale, passando dal 14 al 32 per cento di tutti gli eventi avversi cyber, e più che raddoppiando nel corso del solo 2020 – spiega Luca Achilli, Direttore Sviluppo Healthcare di Sham, Gruppo Reylens -. Negli ultimi anni, si è registrato anche un netto incremento nell’impatto causato dagli attacchi hacker, come dimostra il recente episodio al Centro elaborazione dati (CED) e ai sistemi informatici della Regione Lazio. Il settore sanitario in Italia è vulnerabile. Secondo uno studio da poco pubblicato, su 20 strutture sanitarie pubbliche e private tra le 100 più grandi per fatturato o dimensioni, il numero di indirizzi mail compromessi dai quali può pervenire un attacco è, in media, di 353.  Per compromesse si intendono le mail con password disponibili pubblicamente utilizzate in passato per registrarsi su siti che abbiano subito un databreach”.  

“E non si tratta certo dell’unica porta di ingresso per un attacco informatico. L’aumento dei ransomware –– continua Achilli – è alimentato dalla pandemia da Covid-19 e dai nuovi schemi ibridi home/office working.  Eventi cyber avversi sono destinati ad aumentare sia in funzione della crescente digitalizzazione della sanità che della sofisticazione dei gruppi criminali. È essenziale che, a tutti i livelli, le organizzazioni investano in sicurezza cyber. La stessa tutela assicurativa offerta da una Polizza Cyber atta al trasferimento del rischio residuale, che è parte integrante di questo processo di “cyber resiliance”, non può più prescindere da una corretta azione di mitigazione del rischio. Ciò significa che le compagnie assicurative stanno mostrando interesse nel diventare partner di primo piano del panorama della tutela cyber a 360°, offrendo, in abbinata al prodotto assicurativo, innovativi sistemi di prevenzione del rischio.  

Come sta reagendo il mercato assicurativo?  

Luca Achilli: Il mercato assicurativo sta attraversando una fase di “hard market”: assistiamo, infatti, da una parte ad un aumento dei premi e delle franchigie minime giudicate sostenibili dagli assicuratori (e dai riassicuratori); dall’altro ad una forte diminuzione della capacità assicurativa (massimale dispiegato dal singolo assicuratore per il cliente). Negli ultimi anni, infatti, malgrado la raccolta premi sia notevolmente aumentata grazie anche all’aumento della percezione del rischio cyber e ad una susseguente maggiore diffusione del prodotto assicurativo, l’incremento degli eventi cyber avversi – nel numero e nel valore – si è rivelato molto più che proporzionale. Ciò ha reso il mercato poco sostenibile nel lungo periodo con i tassi assicurativi, i massimali e le franchigie caratterizzanti la fase iniziale di diffusione del prodotto. Il mercato assicurativo, sempre più cauto nell’assunzione di new business, appare fortemente orientato nel garantire un rinnovo sostenibile del portafoglio esistente che porta a un repentino adeguamento delle condizioni di polizza. La direzione è quella di premi (tassi) sensibilmente più alti, franchigie più alte, massima esposizione della compagnia in termini di massimale centesimata e condizioni stringenti di rinnovo / assunzione nonché sottolimiti, scoperti e coassicurazione del cliente richiesta per le garanzie più impattate da sinistri, ransomware in primis.  

In che modo un assicuratore effettua la valutazione del rischio cyber? 

Ruggero Di Mauro: Fino a qualche anno fa, per acquistare una polizza assicurativa cyber era sufficiente la compilazione di un semplice questionario assuntivo. Non erano previste site visit né approfondimenti tecnici particolari. 

Il processo assuntivo, oggi, è ben strutturato e prevede, generalmente, le seguenti fasi: 

  • Compilazione di un questionario assuntivo generico, che analizzi le macrotematiche di organizzazione IT, sicurezza IT, rischio IT 
  • Compilazione di uno o più questionari specifici sulle seguenti aree: esternalizzazione, VPN, MFA, formazione 
  • “Security call” e/o site visit e/o roadshow per analizzare nel dettaglio i punti di cui sopra nonché consegnare la security roadmap della Proponente per i prossimi 12/24/36 mesi 
  • Ricerca delle CVE (Common Vulnerabilities Exposures) tramite piattaforme di big data in partnership con le compagnie assicurative e/o analisi non intrusiva degli indirizzi IP Pubblici della Proponente; dettaglio sul remediation plan delle stesse posto/da porre in essere 
  • Eventuali approfondimenti su eventi / sinistri precedenti all’assunzione e/o al rinnovo 

Quanto incidono la cultura e la consapevolezza di un’azienda nella stesura delle polizze? 

R.D.M.: Le compagnie verificano una serie di variabili determinanti. Ad esempio, difficilmente rilasciano quotazioni ad organizzazioni con sistemi informatici obsoleti e non aggiornati. Un altro livello di sicurezza consiste nel sottoporre la struttura ad un rating da parte di società esterne leader nell’ambito Big Data e Analytics.  È una analisi informatica molto approfondita per capire quali e quanti siano gli indirizzi informatici pubblici dell’azienda e se siano finiti nel ‘mirino’ di attori terzi che operano nel dark web.  All’azienda viene attribuito un punteggio per ciascuna categoria di rischio: nel caso in cui il punteggio risultasse negativo, si potrà stabilire di proseguire con approfondimenti ad hoc e/o richieste di azioni di miglioramento, oppure di non procedere alla quotazione e di conseguenza di non assicurarla.  

Che ruolo ha l’assicuratore nella gestione di un attacco? 

R.D.M.: Gli eventi cyber, per loro natura, sono spesso complessi per la numerosità delle aree impattate e per la difficile gestione. Da un punto di vista Assicurativo / consulenza è determinante focalizzarsi sulla valorizzazione di un servizio di assistenza (incident response) telefonica 24/7/365 che permette di avere un contatto diretto e immediato con esperti in ambito IT, legale e PR per avere una second opinion esterna ed esperta utile ad agire in maniera tempestiva e corretta al fine di evitare il propagarsi del danno.  In questo senso, quindi, appare una strategia WIN-WIN (per la compagnia, che risolve in breve tempo => indennizzo ridotto il sinistro; per il cliente che ripristina il sistema informatico in breve tempo). 

In conclusione, come una struttura sanitaria deve considerare la polizza cyber? 

L.A.: Ci sono tre punti fondamentali da tenere a mente. Primo: La polizza Cyber è il principale strumento di trasferimento del rischio cyber residuale, sempre sapendo che, per sua natura, il rischio cyber non può essere portato a zero. Secondo: la polizza Cyber non è un contratto da mettere nel cassetto ed essere ripreso 12 mesi dopo per il rinnovo. È uno strumento dinamico che fornisce supporto e assistenza tutto l’anno tutti i giorni dell’anno. Per questo deve divenire parte integrante della governance sanitaria, integrandola ai piani di Disaster Recovery, Business Continuity, Incident Management e strutturando, insieme all’assicuratore, un efficace e tempestivo protocollo di gestione dei Claim). Terzo: la polizza cyber è, di per sé, per le analisi che precedono la sua stipulazione e per i meccanismi che genera la sua applicazione, uno strumento di mitigazione del rischio e prevenzione.