Privacy e dati sanitari a rischio

Si dovrà aspettare un altro anno perchè il nuovo regolamento europeo riguardo la privacy entri in vigore, stabilendo la necessità di nominare un responsabile per la protezione dei dati degli utenti del sistema sanitario.

Nel frattempo, un’indagine dell’università La Sapienza di Roma (di cui parla un articolo del La Stampa di qualche settimana fa) dimostra che il livello di consapevolezza legato ai rischi di cyber attacchi rivolti alle aziende sanitarie è ancora troppo basso e le contromisure prese sono molto indietro rispetto allo stato attuale di Comuni e Regioni.

Oltre alla competenza di chi si occupa della gestione dell'impianto informatico di queste strutture, è necessario riflettere anche sull'utilizzo che medici e infermieri fanno della rete, per scambiarsi informazioni riguardo ai pazienti.

In primis, va considerato che la perdita o la pubblicazione dei dati personali dei pazienti, costituiscono un costo molto elevato per il paese (134 euro per ogni italiano), maggiore delle contromisure che sarebbero necessarie. Questo costo si compone delle sanzioni, che le strutture si trovano a pagare a causa della mancata attuazione di politiche di prevenzine, sia delle spese necessarie a ripristinare i sistemi e risarcire i pazienti. 

La dispersione di informazioni sul web o sul dark web comporta grossi rischi.

Il primo e più immediato è quello di ricatti o cyber attacchi diretti al cittadino, che fanno leva su informazioni delicate e molto personali delle persone.

In più, va anche considerato che spesso i cyber attacchi più efficaci si basano sul social engineering, cioè sull'utilizzo di informazioni strettamente personali per guadagnare la fiducia della vittima (in modi diversi, dal modo in cui sono scritte le mail per il phishing al contatto diretto dell'hacker con la vittima) e fare in modo che sia la vittima stessa, inconsapevolmente, a fornire credenziali d'accesso ai sistemi informatici.