TRA ASSICURAZIONE E AUTOASSICURAZIONE IN SANITÀ

Al via il primo progetto di comparazione in Italia, in collaborazione con l’Università di Firenze 

Vent’anni fa è iniziata una trasformazione epocale nella gestione del rischio in sanità che ha avuto un forte impatto su tutto il comportato assicurativo e della sicurezza delle cure. Oggi le aziende sanitarie e le assicurazioni condividono sempre più strumenti e competenze, in una varietà di modelli ibridi tra assicurazione e autoassicurazione che possono offrire le basi per una terza via alla gestione del rischio sanitario. 

Nel biennio 1999/2000, infatti, il sistema assicurativo della Responsabilità Civile, tradizionalmente ancorato ai principi della Loss Occurrence, è passato in modo repentino al modello Claims Made.  

La non facile transizione al nuovo sistema assicurativo si è incrociata, o meglio dire, scontrata frontalmente, con l’evoluzione giurisprudenziale di Cassazione che, nello stesso periodo, ha introdotto il principio della «Responsabilità da contatto sociale».  

Un biennio che rappresenta uno spartiacque e apre la via ad un lento ma progressivo ricorso all’autoassicurazione che troverà una specifica regolamentazione nel 2017 con l’approvazione della Legge 24/17. 

Ad oggi la situazione è peculiare e ricca di interessanti opportunità: numerosi gli spunti di riflessione condivisi durante l’evento organizzato lo scorso 12 ottobre in collaborazione l’Università di Firenze nel capoluogo toscano.  L’appuntamento, intitolato “Responsabilità sanitaria e gestione del rischio: studio di modelli sostenibili tra assicurazione e autoassicurazione” rappresenta la prima tappa di un progetto di ricerca intitolato “Studio di modelli sostenibili tra assicurazione e autoassicurazione” che vedrà impegnati Sham – gruppo Relyens e il Dipartimento di Scienze per l’economia e per l’impresa dell’Università di Firenze per il 2023.   

L’evento, moderato da Daniela Marcello, Avvocato ricercatore in diritto privato presso l’Università degli studi di Firenze, ha visto gli interventi di importanti esperti in materia come: la Prof.ssa Sara Landini, Ordinario in diritto dell’economia presso l’Università degli Studi di Firenze; la Prof.ssa Anna Carla Nazzaro, Ordinario in diritto privato presso l’Università degli Studi internazionali di Roma; la Prof.ssa Lydia Velliscig, Associato in diritto privato comparato presso la Scuola Universitaria Superiore IUSS di Pavia; il Dott. Francesco Venneri, Risk manager Azienda USL Toscana Centro. 

L’analisi ha messo in risalto un elemento di assoluta attualità. Per la prima volta, infatti, assicurazioni sanitarie e assicurati condividono non solo obiettivi comuni (la sicurezza delle cure, la riduzione del contenzioso), ma identiche sfide gestionali e strategiche per raggiungerli. Per questo dovranno, necessariamente, imparare a condividere sempre più efficacemente quel set di competenze e la molteplicità di strumenti necessari a stimare scientificamente il rischio e a garantire la disponibilità finanziaria per risarcire i danneggiati. 

A questo proposito, ospitiamo su Sanità 360° una riflessione a due voci con l’avvocato Ernesto Macrì per capire le origini di questa trasformazione e delineare le possibili implicazioni per l’ecosistema sanitario.   

La nascita dei modelli ibridi di assicurazione-autoassicurazione in sanità non è, però, l’unica trasformazione della quale parliamo oggi. 

In questo contesto, grazie a un interessante contributo di Luca Achilli, Direttore Sviluppo Healthcare di Sham – gruppo Relyens, contestualizziamo il ruolo dell’assicurazione cyber nel panorama sanitario e approfondiamo – con un focus specifico dedicato al recente lancio di Sham Cyber Protection – le modalità di integrazione della polizza con gli strumenti di prevenzione e gestione del rischio così da garantire la piena evoluzione digitale in sicurezza della sanità.

Infine, concludiamo con un importante focus sul data management in ambito sanitario a cura di Giuseppe Carchedi, Group Operations and Analytics Manager di Sham – gruppo Relyens, intervistato da Insurance Review.  Tra i temi affrontati: le molteplici potenzialità dei dati raccolti e le possibilità di utilizzo degli stessi affinché vengano garantiti insight corretti, coerenti e utili.

Vi ringrazio, come sempre, per l’attenzione e vi auguro buona lettura. 

Roberto Ravinale – Direttore esecutivo di Sham – gruppo Relyens in Italia.

LA SANITÀ HA BISOGNO DI UNA POLIZZA CYBER

Di fronte al netto incremento della minaccia, la sicurezza informatica si compone di tre elementi inseparabili: prevenzione, tecnologia e assicurazione. Come funziona “Sham Cyber Protection”, la prima polizza in Italia sviluppata specificamente per il mondo della sanità. 

Di Luca Achilli, Direttore Sviluppo Healthcare di Sham – gruppo Relyens in Italia  

La sanità è divenuta il terzo settore più colpito dagli attacchi informatici, con un incremento del 24% rispetto al 2020 secondo il rapporto Clusit sulla Sicurezza ICT in Italia recentemente pubblicato. Due terzi degli attacchi sono ransomware. Le cause, data la complessità dell’ecosistema sanitario, sono molteplici. 

IL CONTESTO: INNOVAZIONE E PNRR 

La sanità, innanzitutto, si trova sulla direttrice di due fenomeni coincidenti: da un lato, la forte accelerazione dell’evoluzione digitale, trend che verrà ulteriormente amplificato grazie agli investimenti del PNRR; dall’altro, la crescente minaccia cyber alle aziende e alle istituzioni sanitarie che sfrutta le vulnerabilità create da questa repentina innovazione. La correlazione tra i due fenomeni non è, però, immutabile. Anzi. Solo una sanità matura dal punto di vista della sicurezza digitale potrà completare la trasformazione tecnologica che ha avviato. 

LE VULNERABILITÀ INFORMATICHE DELLE STRUTTURE SANITARIE

I recenti attacchi informatici subiti da numerose strutture sanitarie confermano l’intensità e l’attualità della minaccia cyber. E non è un caso che sia così. L’ecosistema sanitario, per la sua complessità, presenta numerose potenziali vulnerabilità che possono essere sfruttate dai cyber criminali. Per citarne alcune: l’alto numero di device medicali e apparecchiature in rete con diversi gradi di obsolescenza informatica; i tanti fornitori esterni delle strutture; la carenza di una formazione del personale che sottolinei la necessità di integrare senza soluzione di continuità il cyber risk nella gestione globale del rischio sanitario. 

GLI EFFETTI DEGLI EVENTI AVVERSI CYBER SANITÀ 

La sanità, inoltre, è uno dei pochissimi settori in cui un attacco informatico può creare un pericolo per la vita e la salute delle persone, oltre che un danno finanziario e operativo alle organizzazioni colpite. Nel 2020 si è registrato, in Germania, il primo caso in cui la morte di un paziente è stata direttamente causata da un attacco hacker. Una realtà sanitaria vittima di un evento cyber avverso può vedere, infatti, compromessa la sua capacità di erogare cure, eseguire esami, accedere alle cartelle cliniche. A questo si aggiunge il rischio di furto e diffusione dei dati sensibili, nonché il costo delle risorse dirottate per reagire all’attacco e ristabilire l’operatività compromessa.  

IN QUESTO SCENARIO, OGNI STRUTTURA SANITARIA HA BISOGNO DI UNA STRATEGIA INTEGRATA DI GESTIONE DEL RISCHIO CYBER

La sicurezza cyber in sanità non può prescindere dalla compresenza di tre strumenti fondamentali: una dotazione tecnologica all’avanguardia; una strategia globale di cyber risk management per la mitigazione del rischio; una polizza assicurativa per la copertura del rischio residuale. È essenziale ribadire la complementarità di questi tre elementi. 

È questa la strategia del gruppo Relyens su ogni aspetto del rischio clinico: affiancare le strutture sanitarie con un approccio a 360 gradi che include specifici interventi e strumenti proprietari di risk management, per poi coprire con la componente assicurativa il rischio residuale al suo manifestarsi. 

PERCHÈ C’È BISOGNO DI UNA POLIZZA CYBER IN SANITÀ

Al momento, Sham Cyber Protection è l’unica polizza in Italia specificamente progettata per affrontare la minaccia cyber in sanità. Il prodotto si compone di tre elementi fondamentali: il primo è l’assistenza 24 ore su 24, 7 giorni su 7, basata in Italia. Non è un servizio che, nell’immaginario, si associa immediatamente a una polizza assicurativa, ma è essenziale in questo settore. Un evento avverso cyber può avvenire in qualsiasi momento e la risposta nelle prime ore è determinante per arginare l’estensione del danno. Non si può sovrastimare il beneficio che un’azienda trae dal poter accedere alla consulenza di professionisti legali, tecnologici e di comunicazione specializzati espressamente nel fronteggiare questo nuovo genere di crisi. Il tutto potendo dialogare con loro in modo chiaro, rapido e inequivocabile, senza alcuna barriera linguistica. 

La seconda area riguarda la copertura del danno subito dalle strutture sanitarie, compresi i costi per ristabilire l’attività quotidiana e recuperare i dati persi. 

La terza area, infine, protegge le strutture dalla responsabilità civile per danni a terzi, quindi per i danni alla salute e alla privacy dei pazienti

IL NUOVO ORIZZONTE DELLA CYBER SECURITY IN SANITÀ

Il lancio della nuova polizza pone il gruppo Relyens in netta controtendenza rispetto a un mercato assicurativo che si è progressivamente ritirato dal settore sanitario, in particolare nell’ambito cyber, giudicandolo troppo “difficile” e poco redditizio.  

Sham Cyber Protection non è, perciò, solo un nuovo prodotto assicurativo, ma un nuovo ambito di opportunità per la sicurezza delle strutture sanitarie e, più in generale, dell’intero settore. Ci auguriamo che il top management della sanità e i Chief Information Officer guardino sempre più a una polizza cyber come a uno strumento integrato con tutti gli altri interventi di protezione. 

Le attività di gestione del rischio sono, infatti, un crocevia del futuro sanitario. Solo una sanità sicura potrà essere al tempo stesso sostenibile, innovativa e capace di impiegare i dati per implementare l’efficacia e l’efficienza sia delle cure che della governance. 

UNA “TERZA VIA” NELLA GESTIONE DEL RISCHIO SANITARIO

Durante gli ultimi 15 anni, il sistema assicurativo della responsabilità civile sanitaria ha rimodulato l’offerta della gestione del rischio adeguandosi alla comparsa dell’autoassicurazione e dimostrando l’importanza di condividere gli strumenti e le competenze tra assicuratori e strutture sanitarie. 

A cura di Roberto Ravinale, Direttore esecutivo di Sham – gruppo Relyens in Italia, ed Ernesto Macrì, Avvocato specializzato in responsabilità civile sanitaria 

Il modello italiano della responsabilità civile in sanità è peculiare: è il primo al mondo ad aver avviato (non concluso) il processo di normazione, attraverso la legge n.24/2017, di quella che, di fatto, è una scelta tecnica di gestione finanziaria: la ritenzione del rischio da parte delle aziende sanitarie. Una scelta che, nella sua forma più pura, lascerebbe il provider dei servizi sanitari a fronteggiare l’interezza dei risarcimenti a terzi per i rischi legati alle prestazioni di cura e che chiama in causa, conseguentemente, la sua capacità di stimare correttamente il rischio finanziario e assolvere all’obbligo risarcitorio. Il rischio di insolvibilità, infatti, ricadrebbe interamente sul paziente danneggiato.  

Nella realtà, la ritenzione integrale del rischio è piuttosto rara in sanità, né potrebbe essere altrimenti in Italia dove la prospettiva di una crisi di liquidità e conseguente fallimento di un’azienda sanitaria pubblica è impensabile; diversamente ad altri contesti dove l’ingegneria tecnica della ritenzione si è particolarmente sviluppata, come negli Stati Uniti. 

In tutto il mondo però, e a prescindere dalle differenze, è stato avviato negli ultimi 15-20 anni un progressivo allontanamento delle assicurazioni dal panorama sanitario e viceversa.  

Questo arco di tempo è stato caratterizzato da un profondo mutamento dell’elaborazione giurisprudenziale che ha registrato un inasprimento del regime della responsabilità gravante sugli operatori sanitari e un allargamento del sistema delle tutele a beneficio del paziente. Se ciò ha assicurato al paziente un certo grado di tutela, ha anche comportato un vertiginoso aumento delle controversie dalle quali sono a loro volta scaturiti il fenomeno della medicina difensiva e il ritiro di alcune delle principali compagnie di assicurazione dal segmento di mercato. 

È in questo contesto che si è inserita una seconda grande trasformazione: il sistema assicurativo della Responsabilità Civile, tradizionalmente ancorato ai principi della Loss Occurrence, è passato in modo repentino al modello Claims Made. Il progressivo abbandono del rischio sanitario da parte degli assicuratori ha portato alla conseguente strutturazione di modelli alternativi, da parte delle aziende sanitarie e delle Regioni, attraverso leggi istitutive di fondi specifici per il risarcimento: la c.d. “autoassicurazione” che, dal 2017, assume la forma delle “analoghe misure”. Una costante crescita in termini di valore che – secondo il Bollettino IVASS “I rischi da responsabilità civile sanitaria in Italia 2010-2020” – trova la sua massima espansione nel 2017, cioè nel periodo in cui gli accantonamenti per la ritenzione del rischio sanitario superano il valore dei premi. 

Attualmente in Italia un numero rilevante di aziende sanitarie opera in regime di almeno parziale autoassicurazione, intendendo con questo termine una forma di ritenzione del rischio consapevole, con pianificazione finanziaria, accantonamenti e internalizzazione non solo del rischio stesso, ma anche delle competenze di gestione del rischio e dei sinistri.  Questa situazione è, senza mezzi termini, peculiare e ricca di interessanti opportunità perché, per la prima volta, assicurazioni sanitarie e assicurati condividono non solo obiettivi comuni (la sicurezza delle cure, la riduzione del contenzioso), ma identiche sfide gestionali e strategiche per raggiungerli. Per questo dovranno, necessariamente, imparare a condividere sempre più efficacemente quel set di competenze e la molteplicità di strumenti necessari a stimare scientificamente il rischio e a garantire la disponibilità finanziaria per risarcire i danneggiati. 

Nel corso del tempo, infatti, l’acquisizione di queste nuove competenze nella gestione del rischio, accompagnata dalla contrazione dell’offerta assicurativa, ha spinto gli enti ospedalieri a percorrere sempre più di frequente la strada della ritenzione del rischio. La naturale conseguenza di questo processo è stato l’affinamento delle tecniche di individuazione delle cause del rischio, al fine di riuscire a esercitarne un controllo e a garantirne la loro prevenzione.   

Non è però una via a senso unico: la confluenza di interessi tra assicurazioni e aziende ospedaliere ha avviato una molteplicità di soluzioni ibride e modelli personalizzati che vedono già ora la pressoché totalità delle aziende sanitarie in autoassicurazione stipulare una polizza assicurativa che le tuteli dal c.d. rischio catastrofale

La gestione ibrida coniuga infatti forme di ritenzione del rischio e polizze assicurative riferite alle punte di rischio, ossia un segmento di sinistri oltre un certo valore predeterminato.  

È esattamente alla comparazione di questi modelli che sarà dedicato lo “Studio di modelli sostenibili tra assicurazione e autoassicurazione”, un progetto annuale che vedrà impegnati Sham – gruppo Relyens e il Dipartimento di Scienze per l’economia e per l’impresa dell’Università di Firenze. La ricerca rappresenterà il punto di partenza per studiare concretamente le possibilità di un nuovo orizzonte in cui la confluenza di interessi convergenti tra compagnie di assicurazione, Regioni ed enti ospedalieri, grazie a un sistema opportunamente congegnato, da un lato sappia realizzare le soluzioni più efficienti dal punto di vista economico e, dall’altro, consenta di ridurre il livello complessivo del rischio in maniera sempre più significativa. 

All’orizzonte si sta dunque profilando una terza via che superi la distanza tra assicurazione e autoassicurazione, e nella quale confluiscano le migliori pratiche di entrambi i modelli.

DATA-DRIVEN INSURANCE: LA SICUREZZA IN SANITÁ COMINCIA DA QUI

Affiancare gli assicurati nel processo di trasformazione dei big data in strumenti di decision-making e mitigazione del rischio, superando il gap di competenze e le criticità di una digitalizzazione accelerata dalla pandemia: questo il nuovo ruolo al quale ambiscono le compagnie assicurative.

Sulle molteplici potenzialità dei dati raccolti, la domanda già da tempo non è più dove trovare le informazioni, bensì come utilizzarle affinché garantiscano insight corretti, coerenti e realmente utili. Come si inseriscono i player assicurativi in questo contesto? Lo chiediamo a Giuseppe Carchedi, Group Operations and Analytics Manager di Sham – gruppo Relyens, mutua leader nell’ambito dell’Rc sanitaria e del clinical risk management. 

L’integrazione e l’accessibilità di tutti i dati, frammentati in applicazioni settoriali e basi dati proprietarie, rappresentano una priorità per le strutture sanitarie per poter gestire il rischio clinico e consolidare il proprio patrimonio informativo. In concreto però, in che modo i dati a disposizione della compagnia assicurativa diventano strumento di gestione del rischio? 

Una gestione integrata dei dati può innescare un ciclo virtuoso: grazie alle informazioni raccolte dal claims management, è possibile identificare le maggiori aree di criticità, promuovere azioni correttive, limitare l’incidenza degli eventi avversi e, di conseguenza, ridurre il costo totale del rischio sanitario, sia in termini di sinistrosità, sia in termini di spesa per la copertura assicurativa. Il tutto contribuendo al miglioramento dei servizi e delle cure erogati dalle strutture.
La disponibilità di big data e di modelli avanzati di data analytics non è, però, di per sé sufficiente a raggiungere questi traguardi. 

Continua a leggere la versione integrale dell’articolo sul nuovo numero di Insurance Review:

http://cdn-insurancereview.procne.it/PDF/2022/PDF_Review_98.pdf

NUOVA PROPOSTA DI REGOLAMENTO PER L’ISTITUZIONE DELLO SPAZIO EUROPEO DEI DATI SANITARI

La pandemia ha accelerato il processo di digitalizzazione della sanità che era già in corso con l’incremento della raccolta di big data e con lo sviluppo dei processi di machine learning nell’ambito della ricerca medica a livello nazionale.  

Lo scorso 3 maggio 2022 la Commissione Europea ha presentato una proposta di Regolamento per istituire lo spazio europeo dei dati sanitari.  

La nuova proposta prevede la creazione di un mercato unico dei dati sanitari elettronici, costantemente aggiornato, per dare vita a un modello europeo di riferimento nella gestione e condivisione dei dati. 

“Il tema relativo alle condizioni di trattamento e di circolazione dei dati sanitari e al ruolo svolto dal titolare degli stessi è quanto mai attualecommenta Roberto Ravinale, Direttore esecutivo di Sham – Gruppo Relyens -. La relazione tra dati e sicurezza è uno dei nodi più importanti da sciogliere per garantire, anche alla luce del PNRR, uno sviluppo omogeneo della digitalizzazione in sanità. Come in altri settori, la regolamentazione e la definizione certa dei confini di responsabilità sono garanzia di sicurezza, sia per gli utenti che per gli attori del comparto sanitario, garantendo la stabilità sul lungo periodo necessaria affinché l’innovazione possa sviluppare appieno il proprio potenziale. In Sanità non esiste piena digitalizzazione se la sicurezza cyber non cresce parallelamente all’impiego e allo scambio dei dati.  Ricerca, diagnostica, prevenzione, stanziamenti predittivi delle risorse sanitarie, mitigazione del rischio clinico e sicurezza delle cure dipendono da un efficace uso dei dati sanitari; che a sua volta dipende dalla sicurezza connessa al loro impiego. Sham, uno dei primi attori a considerare il rischio cyber come parte integrante del rischio in sanità, continua a sostenere azioni di sensibilizzazione, attraverso riflessioni e approfondimenti – come l’articolo che segue – con l’obiettivo di promuovere e aumentare la consapevolezza sul tema nell’intero ecosistema sanitario. 

Il Regolamento generale sulla protezione dei dati (UE/2016/679) all’art. 4 par. 1 n. 15, definisce i dati relativi alla salute come “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.  

Dunque, il loro trattamento è vietato a meno che non si verifichi uno dei casi espressamente previsti, tra cui il consenso della condivisione da parte del titolare. Sono previste particolari esigenze che giustificano il trattamento dei dati in assenza del consenso espresso del titolare.   

Grazie a questo nuovo Regolamento i dati potrebbero essere utilizzati in primo luogo per aiutare le persone ad assumere il controllo dei propri dati sanitari, migliorando i servizi di cura e assistenza ai cittadini, e in secondo luogo nell’ambito delle attività di ricerca e sviluppo e di definizione delle politiche sanitarie, per stimolare l’innovazione e consentire alle imprese di competere sui mercati globali.  

La proposta di Regolamento, presentata dalla Commissione europea rappresenta un primo passo per comprendere le intenzioni e gli obiettivi delle istituzioni europee per il prossimo decennio.  

Ma come si inserirà questa proposta nel quadro legislativo esistente?  

Accessibilità, controllo e portabilità sono necessarie per promuovere la circolazione dei dati sanitari fra gli Stati membri e lo scambio dei dati su infrastrutture dedicate.  

Le nuove regole dovrebbero affiancare e sviluppare ulteriormente i diritti già riconosciuti ai cittadini dal Regolamento (UE) 2016/679 (“GDPR”) in relazione al trattamento dei loro dati personali, con una disciplina su misura per l’ambito sanitario.  

Ai cittadini dovrebbero essere date maggiori possibilità di avere accesso digitale ai dati sanitari personali elettronici e un maggiore controllo di tali dati, a livello nazionale ed europeo, sostenendo la loro libera circolazione con professionisti sanitari di loro scelta. 

In questa direzione, gli obblighi di rendere disponibili i dati in formato elettronico, le cartelle cliniche elettroniche ed il formato comune europeo di scambio che la Commissione dovrebbe essere chiamata ad individuare, dovrebbero garantire finalmente l’effettiva interoperabilità e portabilità dei dati in formato digitale su tutto il territorio europeo, attraverso l’infrastruttura MyHealth@EU.  

Ad oggi, MyHealth@EU è operativa nel contesto dell’assistenza sanitaria transfrontaliera in soli dieci Stati membri e con possibilità di utilizzo di soli due tipologie di servizi (prescrizione elettronica e profilo sanitario sintetico del paziente).  

 Inoltre, la nuova proposta di Regolamento dovrebbe promuovere la creazione di un ecosistema organico per il successivo utilizzo dei dati clinici ai fini di ricerca e innovazione, sviluppo di nuovi farmaci e dispositivi e definizione delle politiche sanitarie.  

Sono previste regole comuni per l’accesso anche transfrontaliero alle informazioni tramite una nuova piattaforma dedicata, e punti di accesso a livello nazionale per gestire le richieste di utilizzo provenienti da persone fisiche e giuridiche.  

In questo caso l’autorizzazione all’accesso è eventualmente concessa per il periodo di tempo necessario a conseguire la finalità richiesta, che non può essere superiore a cinque anni.   

Infine, la proposta prevede l’istituzione da parte degli Stati Membri di Autorità nazionali di sanità digitale, che vigilino sull’effettiva implementazione delle nuove regole, e di un Comitato dello spazio europeo dei dati sanitari, che faciliti la cooperazione fra le Autorità nazionali e gli organismi responsabili dell’accesso. 

Queste sono le novità più rilevanti che emergono dal testo della proposta per costruire un’economia dei dati a livello europeo, che possa stimolare l’innovazione e lo sviluppo tecnologico in ambito sanitario.  

Il percorso per l’eventuale approvazione della proposta di Regolamento è ancora agli inizi, e occorrerà attendere qualche anno per la sua piena ed effettiva applicazione.  

fonte: agendadigitale.eu