Dati sanitari e (in)sicurezza digitale

Di Sara Boggio

Il caso di Cambridge Analytica (vedi) ha di recente riportato all’attenzione delle cronache la questione della privacy online e della sua sottilissima consistenza. Secondo più di un osservatore, nell’etere digitale la privacy non sarebbe altro che una chimera: l’utente si rende conto di che cosa sia solo quando, e se, si accorge che è stata violata (sulle dinamiche e sulle conseguenze delle ‘tecnologie del controllo’ si rimanda alle riflessioni di Ippolita, gruppo di ricerca interdisciplinare che dal 2005 indaga l’impatto della digitalizzazione sul linguaggio, sul concetto di identità, sulle attività della vita quotidiana e sui comportamenti sociali: qui, in un articolo sul tema, e qui).

Seppure il discorso, che a partire appunto da Cambridge Analytica e Facebook arriva alle presidenziali americane, appare già sufficientemente complesso, è in ogni caso lecito domandarsi in che modo interessi l’ambito sanitario, con quali potenziali ricadute e possibili scenari.

Secondo l’ultimo report di Protenus (una compagnia di software che analizza lo ‘stato di salute’ delle attività digitali di alcuni dei maggiori provider sanitari e cliniche universitarie americani), nel 2017 i casi di violazione dei dati sono stati lievemente superiori a quelli dell’anno precedente (la sintesi dei contenuti è stata pubblicata all’inizio di quest’anno e si può leggere qui). Le segnalazioni ricevute dal Department of Health and Human Services americano sono state 477 (poco più delle 450 arrivate nel 2016), ma per avere un’idea dell’ampiezza del fenomeno bisogna considerare il numero di cartelle cliniche elettroniche su cui le violazioni hanno effettivamente avuto impatto: quasi 5 milioni e 600mila documenti lo scorso anno, mentre l’anno precedente i profili violati sono stati oltre 27 milioni.

Sempre in base ai dati del report, del 37% delle violazioni è responsabile il personale interno. Benché le intenzioni non siano necessariamente fraudolente, questo tipo di violazione risulta più difficile da intercettare, ed è quindi potenzialmente (e forse paradossalmente) più insidioso di un’intrusione esterna, che in genere viene individuata subito. Il tempo impiegato per rilevare le anomalie interne è stato in media di 308 giorni nel 2017: intervenire sulla lentezza delle rilevazioni “rimane ovunque una sfida spaventosa per i sistemi sanitari”, tanto che “il monitoraggio sull’accesso ai dati dei pazienti sta rapidamente diventando una buona pratica standard in tutto il paese”.

Nell’analisi del report integrale riferita da Healthcare Informatics (portale di informazioni relative alle applicazioni dell’informatica in ambito sanitario: vedi) si sottolinea anche, in ogni caso, un buon segnale: il fatto che l’incremento delle segnalazioni derivi, almeno in parte, dalla maggiore consapevolezza del problema.

Tra i violatori non mancano imprese associate e terze parti, responsabili di 53 segnalazioni (corrispondenti a circa 650.000 cartelle cliniche digitali) tra le complessive riportate da Protenus.

Secondo Roy Schoenberg, Ceo del provider di servizi per la telemedicina American Well Corp., i dati personali sanitari sono una merce che attualmente, nel mercato degli hacker, vale più di quelli finanziari (se ne è discusso pochi giorni fa in occasione della terza conferenza di Fortune dedicata alle imprese sanitarie: Fortune Brainstorm Health 2018).

Sulle previsioni di trend per l’anno in corso nessuno degli osservatori citati osa sbilanciarsi, se non per ribadire che la sicurezza digitale è (un’altra, ulteriore) top priority del mondo sanitario.