La protezione dei dati personali e la privacy digitale nelle strutture sanitarie, in ragione della qualità dei dati immessi nei sistemi informatici, comportano notevoli rischi per la sicurezza del trattamento. E, per l’effetto, impongono l’adozione di misure di protezione e di sicurezza dei dati con standards particolarmente elevati.

All’interno delle strutture sanitarie i dati di pazienti, ma anche del personale dipendente, dei consulenti e fornitori, vengono trattati, infatti, con una moltitudine di dispositivi con caratteristiche diverse tutti dotati di un collegamento di rete e di un processore.

Quanto ai dati degli assistiti, però, il trattamento informatizzato con lo sviluppo tecnologico degli apparati a servizio delle strutture ha assunto dimensioni sbalorditive e viene, oramai, effettuato con sistemi, applicazioni e dispositivi medici che trattano una massa di dati sensibili. Il trattamento, all’interno di una unità sanitaria, può essere effettuato con desktop, server, terminali informatici ai letti, dispositivi di diagnostica per immagini, dispositivi medici impiantatili, sistemi di cartelle cliniche elettroniche, sistemi PACS (sistemi di archiviazione e trasmissione di immagini), portali per il pagamento delle prestazioni sanitarie e sistemi di fatturazione, tutti conservati mediante l’impiego di cloud o di server  locali.

I dati sanitari, più di ogni altro dato personale, costituiscono non solo un asset aziendale, ma soprattutto merce preziosissima da immettere sui cyber mercati. Circostanza confermata da un fenomeno in continua espansione negli ultimi anni, quello degli attacchi di pirateria informatica (c.d. attacchi hacker) nei confronti di sistemi sanitari regionali, strutture sanitarie ed aziende ospedaliere.

L’anatomia delle strutture sanitarie – già da qualche tempo e seppure con intensità di livelli di informatizzazione differente – offre un’ampia superficie d’attacco per hacker che, connotandosi per una diffusa vulnerabilità dei sistemi, è di grande interesse per il cybercrime.

I dati sanitari muovono, infatti, gli interessi di diversi stakeholders, anche i più inaspettati.

Innanzitutto, le multinazionali farmaceutiche che, elaborando i dati illecitamente acquisiti, potrebbero essere in grado di orientare le scelte della ricerca farmaceutica, oltre che del marketing aziendale, decidendo su quali patologie e/o fascia d’età e/o aree geografiche conviene investire ed, ancora, quale ricerca scientifica, pubblica o privata, decidere di finanziare. Di guisa da sottrarre, almeno potenzialmente, le risorse, oggi, investite nella ricerca commissionata alle strutture pubbliche, ovvero, creare forme di discriminazione sui livelli di ricerca tra le patologie. Scegliendo di privilegiare quelle che garantiscono maggiori profitti per i Big Pharma.

Il fenomeno può coinvolgere anche le compagnie di assicurazione che, potendo conoscere il fascicolo sanitario di un individuo, possono decidere (o meno) di assicurarne il rischio per una polizza vita o una polizza malattia.

Senza considerare le possibili implicazioni della diffusione dei dati nel settore privato, in primis, le imprese che, avendo contezza dello stato di salute dei candidati, possono orientare le politiche di reclutamento del personale da assumere, privilegiando, ovviamente, i candidati che possono presentare un minore rischio connesso alla salute e, dunque, ad assentarsi per malattia.

Questi, in concreto, sono i motivi per i quali le organizzazioni che trattano dati sanitari costituiscono il principale bersaglio dei pirati informatici. Una affermazione che trova riscontro nel valore economico che il mercato nero dei dati, quello che si colloca all’interno della rete nel c.d. dark web, attribuisce a tali categorie di dati personali.

Secondo quanto emerge dai più recenti studi condotti sul tema, nel dark web, le cartelle cliniche dei pazienti possono essere vendute fino a 1.000 dollari ciascuna, mentre, i kit di identità, che si compongono di un complesso più ampio di dati, tutti riferibili allo stesso individuo, fino a delinearne un profilo completo, valgono anche 2.000 dollari.

Tali informazioni, oltre a poter essere utilizzate per i fini meglio sopra descritti, vengono, infatti, acquistate per scopi illeciti dagli interessati nel black market, generalmente per creare falsi documenti da utilizzare per richieste risarcitorie alle compagnie di assicurazione, per creare documenti fasulli, per contrarre finanziamenti bancari.