Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

normative

CDSS avanzati in sanità: cosa serve per usarli senza rischi legali

Home Sanità digitale
Partecipa al dibattito
Indirizzo copiato

Ospedali e cliniche valutano i CDSS avanzati, software che analizzano i dati clinici del paziente e forniscono suggerimenti utili ai medici (interazioni tra farmaci, dosaggi, esami, bozze di referto). Crescono però dubbi su regole, garanzie, responsabilità e adempimenti

Pubblicato il 11 feb 2026
Diego Fulco

Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati

Sanità digitale nel 2025 telemedicina predittiva IA in radiologia; sanità d'iniziativa; dati sanitari; stampa 4D; farmaci personalizzati; nanotecnologia in medicina Active Directory sanità NIS2 sanità:

SNegli ospedali e nelle cliniche sta prendendo piede una domanda molto concreta: possiamo usare strumenti digitali che aiutino i medici a decidere meglio e più in fretta, partendo dai dati del paziente? Qui entrano in gioco i CDSS avanzati (Clinical Decision Support Systems), software che leggono e mettono in relazione informazioni cliniche — ad esempio esami, terapie, farmaci e parametri vitali — e restituiscono suggerimenti utili: un’interazione tra farmaci da controllare, un dosaggio da rivedere, un esame da considerare, una bozza di referto da verificare.

Ma insieme alle opportunità arrivano anche i paletti: chi può usarli, con quali garanzie per i pazienti e con quali responsabilità?

Cdss, i sistemi di supporto decisionale clinico: come funzionano

Il quadro di regole, tra privacy e nuove norme sull’intelligenza artificiale, è già in parte operativo e in parte in evoluzione: per le strutture sanitarie significa capire da subito quali condizioni rispettare e quali adempimenti preparare, mentre a livello europeo e italiano si definiscono anche tempi e obblighi più specifici.

Perciò, prima di rispondere al quesito, è bene contestualizzare sia l’esigenza che viene dal mondo sanitario, sia lo scenario normativo in movimento.

Perché i CDSS avanzati in sanità diventano centrali nelle decisioni cliniche

Una caratteristica dell’attività clinica è la necessità, per i medici, di prendere decisioni in un tempo molto breve, spesso quando sono a contatto diretto con i pazienti, ad esempio durante le visite. La qualità delle decisioni cliniche dipende non solo dalla disponibilità a sistema (nelle cartelle cliniche elettroniche) di una pluralità di dati sanitari del paziente, ma anche dalla capacità e possibilità per i medici di reperirli e analizzarli.

Una soluzione automatizzata di analisi dei dati sanitari disponibili può permettere di rilevare cambiamenti nei parametri del paziente (ad esempio valori nelle analisi del sangue) anche quando il medico, in base alla sua capacità di individuare rapidamente i dati o alla sua esperienza professionale, non sarebbe in grado di notarli.

I sistemi di supporto alle decisioni cliniche (CDSS) sono una famiglia assai numerosa e largamente diffusa di soluzioni informatizzate che permettono di sfruttare i vantaggi delle cartelle cliniche elettroniche, tenendo conto di tutti i dati sanitari in esse presenti. In questo articolo, ci occuperemo di CDSS potenziati da tecnologie di intelligenza artificiale (“AI”) o CDSS avanzati, che forniscono raccomandazioni specifiche per il paziente.

Cosa fanno i CDSS avanzati nella pratica clinica

Un CDSS avanzato può aiutare i medici nella scelta delle terapie, può fornire indicazioni esatte sull’interazione tra farmaci, può suggerire il corretto dosaggio di farmaci, può raccomandare esami diagnostici, può proporre al medico una bozza di referto precompilato, che il medico può verificare, modificare se occorre e/o validare.

Da ciò derivano vantaggi sia sul fronte dell’appropriatezza clinica (che consiste nel dare al paziente giusto, nel momento giusto, il trattamento più adeguato, garantendo che l’intervento sanitario sia efficace, sicuro e basato sulle migliori evidenze scientifiche) sia su quello della sostenibilità dei costi per il sistema sanitario.

Fiducia dei medici e CDSS avanzati in sanità: i temi che pesano sull’adozione

I profili etici e legali dei CDSS avanzati sono oggetto di notevole attenzione in sede scientifica. Fra i tanti approfondimenti, ci limitiamo a citare quello edito nel luglio 2025 dalla rivista JMIR Publications, consistente nella revisione sistematica di studi pubblicati da gennaio 2020 a novembre 2024 reperiti su PubMed, Scopus e Google Scholar, incentrati sulle percezioni, sulle esperienze e sulla fiducia dei medici nei sistemi di AI.

Attingendo a 27 studi che hanno coinvolto diversi campioni (da piccoli focus group a grandi coorti), l’approfondimento ha evidenziato otto temi chiave per migliorare la fiducia del mondo sanitario verso i CDSS avanzati.

Otto leve per aumentare la fiducia nei sistemi di AI

(1) Trasparenza del sistema (intelligenza artificiale chiara e interpretabile);

(2) Formazione degli utenti;

(3) Usabilità del sistema (efficace integrazione nei flussi di lavoro sanitari);

(4) Affidabilità clinica (coerenza e accuratezza delle raccomandazioni del sistema); (5) Credibilità e convalida (collaudo documentato del sistema in diversi contesti clinici);

(6) Profili di responsabilità medico-legale, di equità e di aderenza agli standard etici; (7) Progettazione incentrata sul paziente;

(8) Personalizzazione e controllo umano (adattamento degli strumenti a specifiche esigenze cliniche e tutela dell’autonomia decisionale dei medici).

Il quadro normativo dei CDSS avanzati in sanità: tre discipline che convergono

Nella sanità italiana, la possibilità e le condizioni di utilizzo di CDSS avanzati dipendono da un insieme di norme europee e nazionali (di rango legislativo e regolamentare), nonché da prescrizioni delle Autorità competenti.

I CDSS avanzati sono un punto focale su cui convergono tre discipline particolarmente ambiziose ed esigenti: quella sulla protezione dei dati personali, quella sull’intelligenza artificiale e quella dei dispositivi medici.

GDPR e CDSS avanzati in sanità: principi applicabili e adempimenti chiave

Pur non facendo mai riferimento all’AI, il GDPR detta all’art. 25 principi di privacy by design e by default senz’altro applicabili ai CDSS avanzati, così come definisce all’art. 5 principi generali pienamente applicabili al trattamento dei dati personali connesso al loro utilizzo.

Inoltre, agli articoli 6 e 9 (per i dati sensibili) prevede precise condizioni di liceità per il trattamento dei dati personali, all’art. 13 impone informazioni trasparenti agli interessati (anche sui mezzi e sugli eventuali fornitori coinvolti), all’art. 24 richiama la responsabilizzazione del titolare, all’art. 32 stabilisce i principi in tema di sicurezza, e all’art. 35 disciplina la Valutazione d’impatto che vale sicuramente per titolari che usino CDSS avanzati.

In sintesi: cosa impone il GDPR a chi usa CDSS avanzati

In estrema sintesi, possiamo dire che il GDPR:

  1. non ragiona in ottica di prodotto, ma di trattamento; si concentra, perciò, su ciò che un Titolare (ad esempio una struttura sanitaria) che eventualmente usa un CDSS avanzato deve verificare dello strumento, su “come” deve settarlo, a quali condizioni può usarlo, con quali adempimenti e cautele;
  2. accomuna i Titolari del settore pubblico e quelli del settore privato nella regola dettata dall’art. 9.2, lettera h), secondo cui il trattamento di dati sensibili (compresi i dati sanitari) è sempre legittimo se «necessario» per diagnosi, assistenza o terapia sanitaria; regola, quest’ultima, non automaticamente applicabile ai CDSS avanzati, giacché con riferimento ai dati sanitari il concetto di “necessità” andrebbe considerato come “stretta indispensabilità” e, pur essendo opportuno, il trattamento di dati sanitari derivante dall’uso di CDSS non appare, stante l’attuale quadro normativo, “necessario”;
  3. differenzia i Titolari del settore pubblico da quelli del settore privato quanto a base giuridica applicabile per il trattamento di dati personali connesso all’uso di CDSS avanzati qualora questo (pur utile e opportuno) non sia «necessario» per diagnosi, assistenza o terapia sanitaria, stabilendo all’art. 9.2, lettera i) che i Titolari del settore pubblico possono effettuarlo per motivi di interesse pubblico nel settore della sanità pubblica ma nel rispetto di norme nazionali (in Italia, l’art. 2-sexies del codice privacy) che prevedono misure appropriate e specifiche per tutelare diritti e libertà degli interessati, e lasciando impregiudicata per i Titolari del settore privato la (onerosa) base giuridica del consenso;
  4. impone, in virtù del combinato disposto degli articoli 32 e 35, analisi dei rischi, individuazione e messa in atto delle misure più idonee ad affrontarli, oltre che la redazione di un documento (la Valutazione d’impatto) che descriva il trattamento e i soggetti coinvolti, che motivi la proporzionalità del trattamento rispetto alle finalità perseguite, che riepiloghi i rischi e le misure per affrontarli.

Fra tutti gli adempimenti derivanti dal GDPR, quello di maggior impegno e rilievo per strutture sanitarie che scelgono di usare i CDSS avanzati è la Valutazione d’impatto ai sensi dell’art. 35, lavoro da svolgere prima che i trattamenti abbiano inizio, che deve essere coronato da un parere del DPO della struttura Titolare.

Legge 132/2025 e CDSS avanzati in sanità: principi e governance nazionale

La recente Legge 132/2025 recante princìpi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e di modelli di AI è intervenuta proprio sull’area di convergenza fra protezione dei dati personali e intelligenza artificiale.

La norma definisce i principi fondamentali sull’uso dell’AI in ambito sanitario, integrando la Legge 221/2012 (nella parte su Fascicolo Sanitario Elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale) con un “nuovo” art. 12-bis dedicato all’AI nel settore sanitario.

AI in ambito sanitario: il perimetro fissato dall’art. 7

In tema di uso dell’AI in ambito sanitario, l’art. 7 della Legge 132/2025 si è mantenuto a un livello molto alto, chiarendo che:

i) l’utilizzo di sistemi di AI contribuisce al miglioramento del sistema sanitario, alla prevenzione, alla diagnosi e alla cura delle malattie, nel rispetto dei diritti, delle libertà e degli interessi della persona, anche in materia di protezione dei dati personali;

ii) l’introduzione di sistemi di AI nel sistema sanitario non può selezionare e condizionare l’accesso alle prestazioni sanitarie secondo criteri discriminatori.

Inoltre: iii) i sistemi di AI in ambito sanitario costituiscono un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando impregiudicata la decisione, che è sempre rimessa ai medici;

iv) i sistemi di AI in ambito sanitario e i relativi dati impiegati devono essere affidabili, periodicamente verificati e aggiornati al fine di minimizzare il rischio di errori e migliorare la sicurezza dei pazienti.

Accesso a CDSS avanzati in sanità e FSE: i decreti attuativi attesi

In tema di Fascicolo Sanitario Elettronico (FSE), sistemi di sorveglianza nel settore sanitario e governo della sanità digitale, l’art. 10 della Legge 132/2025 ha stabilito che le soluzioni di AI aventi funzione di supporto – fra l’altro – alle finalità di diagnosi, cura e riabilitazione (come, appunto, i CDSS avanzati) dovranno essere disciplinate con uno o più Decreti del Ministro della Salute, di concerto con l’Autorità politica delegata in materia di innovazione tecnologica e transizione digitale e con l’ACN, e sentita la Conferenza Stato–Regioni.

Saranno questi Decreti, ora in fase di elaborazione, a indicare quali soggetti, nell’esercizio delle proprie funzioni, potranno accedere a soluzioni di AI che, per funzionare, interagiscono con il FSE.

In aggiunta, la Legge istituisce una piattaforma nazionale di AI per il supporto alle finalità di cura, e in particolare per l’assistenza territoriale, la cui progettazione, realizzazione e messa in servizio sono attribuite all’AGENAS. Questa piattaforma sarà alimentata con i dati strettamente necessari per l’erogazione dei servizi.

Dopo aver sentito Garante, ACN e Ministro della Salute, AGENAS dovrà definire:

i) i tipi di dati trattabili all’interno della piattaforma;

ii) le operazioni eseguibili all’interno della piattaforma;

iii) le misure di sicurezza.

Dunque, per quanto riguarda la normativa nazionale, siamo alla vigilia del varo di norme secondarie che forniranno indicazioni dirette e indirette sui requisiti dei CDSS avanzati sul fronte protezione dei dati personali.

AI Act e CDSS avanzati in sanità: requisiti “di prodotto” e logica binaria

Detto ciò, sui CDSS avanzati vertono anche le norme del Regolamento (UE) 2024/1689 (AI Act), che a differenza della Legge 132/2025 non si focalizzano sul nesso fra AI e protezione dei dati personali, ma regolano lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di AI.

Ed è proprio analizzando gli impatti dell’AI Act su soluzioni come quelle di cui ci stiamo occupando che salta agli occhi la struttura binaria di questa regolazione, con norme che si concentrano sull’AI come prodotto, ed altre relative all’uso dell’AI.

Quando un CDSS avanzato in sanità è “alto rischio”: incrocio AI Act e MDR

Partiamo dalle norme dedicate ai sistemi di AI, e ai loro requisiti. Cruciale, in questo senso, è l’art. 6.1 dell’AI Act, in combinato disposto con l’Allegato I dell’AI Act. La norma non è ancora applicabile: dovrebbe esserlo dal 2 agosto 2027, ma – come vedremo – è probabile lo slittamento di un anno.

Da essa ricaviamo che un CDSS avanzato è sistema di AI ad alto rischio se, contemporaneamente, esso è: a) destinato a essere utilizzato come componente di sicurezza di un dispositivo medico, o è esso stesso qualificabile come dispositivo medico ai sensi del Regolamento (UE) 2017/745 (“MDR”); b) soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio, sempre ai sensi del MDR.

Dispositivo medico software: la definizione che conta

Per quanto riguarda il requisito a), il MDR fornisce indicazioni chiare. Secondo l’art. 2 del MDR, è dispositivo medico – fra l’altro – qualunque strumento o software destinato dal produttore a essere impiegato sull’uomo, da solo o in combinazione, per diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie, lesioni o disabilità, nonché per studio di un processo o stato fisiologico o patologico.

Il dispositivo non esercita nel o sul corpo umano l’azione principale cui è destinato mediante mezzi farmacologici, immunologici o metabolici, ma la cui funzione può essere coadiuvata da tali mezzi.

Valutazione di conformità: l’assenza non elimina il “rischio alto”

Per quanto riguarda il requisito b), non tutti i CDSS avanzati attualmente disponibili sul mercato sono stati sottoposti alla procedura di valutazione della conformità prevista dall’art. 52 del MDR e posseggono la relativa certificazione.

Quando l’art. 6.1 dell’AI Act sarà esecutivo, l’eventuale omissione o l’eventuale stato “pending” di tale procedura non toglieranno ad un CDSS avanzato la natura giuridica di sistema di AI ad alto rischio.

Senonché, con il Digital Omnibus (presentato il 19 novembre 2025) la Commissione UE ha proposto di prorogare l’esecutività dell’art. 6.1 dell’AI Act fino al 2 agosto 2028, ed è probabile che la proposta sia accolta.

Requisiti per i produttori di CDSS avanzati in sanità: obblighi tecnici e organizzativi

In estrema sintesi, quando l’art. 6.1 dell’AI Act sarà applicabile, i produttori di CDSS avanzati dovranno istituire, attuare, documentare e mantenere un sistema di gestione dei rischi già noti o che possono emergere nell’uso e/o dopo l’immissione in mercato.

Si tratta di un processo iterativo continuo che comprende l’identificazione e analisi dei rischi del sistema per la salute, la sicurezza e i diritti fondamentali, e l’adozione di misure di gestione dei rischi opportune e mirate.

Dati, documentazione, log e trasparenza: i pilastri richiesti

In particolare, dovranno: sviluppare i sistemi sulla base di set di dati di addestramento, convalida e prova soggetti a pratiche di governance e gestione dei dati adeguate (art. 10); redigere documentazione tecnica per dimostrare la conformità (art. 11); consentire la registrazione automatica degli eventi (log) (art. 12); garantire trasparenza sufficiente per consentire ai medici di interpretare l’output e utilizzarlo adeguatamente (art. 13).

Dovranno inoltre essere progettati e sviluppati, anche con interfacce uomo–macchina adeguate, per essere oggetto di sorveglianza umana durante l’uso (art. 14), e conseguire un adeguato livello di accuratezza, robustezza e cibersicurezza per tutto il ciclo di vita (art. 15).

Qualità, conservazione e cooperazione con le autorità

I produttori dovranno disporre di un sistema di gestione della qualità (art. 17), conservare per 10 anni dall’immissione sul mercato la documentazione tecnica e quella sul sistema qualità e altri documenti rilevanti (art. 18), conservare i log generati automaticamente nella misura in cui tali log sono sotto il loro controllo per un periodo adeguato (art. 19), adottare eventuali misure correttive (art. 20) e cooperare con le autorità (art. 21).

Uso dei CDSS avanzati in sanità: obblighi dei deployer e tempi di applicazione

Anche le norme sull’uso dei sistemi di AI ad alto rischio non sono ancora applicabili; dovrebbero diventare tali il 2 agosto 2026. Tuttavia, il Digital Omnibus vuole rinviarne l’applicabilità a quando saranno disponibili misure a sostegno della conformità, che possono includere norme armonizzate, specifiche comuni e orientamenti della Commissione, in ogni caso non andando oltre – per ciò che ci interessa – il 2 agosto 2028.

Ai sensi dell’art. 26 dell’AI Act, i deployer dei CDSS avanzati dovranno adottare idonee misure tecniche e organizzative per utilizzare tali sistemi conformemente alle istruzioni per il loro uso, attrezzandosi a informare i fornitori di qualsiasi circostanza utile per il monitoraggio successivo all’immissione sul mercato, ivi compresi eventuali rischi, dei quali avvisare anche l’autorità di vigilanza.

Inoltre, dovranno affidare la sorveglianza umana a individui che dispongono della competenza, della formazione e dell’autorità necessarie nonché del sostegno necessario.

Nella misura in cui esercitano il controllo sui dati di input, tutte le strutture sanitarie che useranno i CDSS avanzati dovranno garantire che tali dati di input siano pertinenti e sufficientemente rappresentativi alla luce della finalità di diagnosi, cura e riabilitazione.

Valutazioni d’impatto: CDSS avanzati in sanità tra GDPR e diritti fondamentali

Ai sensi dell’art. 27 dell’AI Act, inoltre, i deployer dei CDSS avanzati (o in quanto soggetti pubblici, o in quanto soggetti del settore privato che forniscono servizi pubblici) dovranno effettuare una Valutazione d’impatto sui diritti fondamentali per i sistemi di AI ad alto rischio.

Si tratta di un adempimento gravoso e a suo modo intrecciato alla DPIA ai sensi del GDPR, per il quale rinviamo al nostro precedente articolo su Agenda Digitale.

Cosa fare nel 2026 per i CDSS avanzati in sanità: adempimenti e monitoraggio normativo

In questo inizio 2026, le strutture sanitarie pubbliche e private che intendono avvalersi di CDSS avanzati dovrebbero da un lato affrontare in modo organico gli adempimenti derivanti dal GDPR e in particolare la DPIA, dall’altro monitorare il varo della normativa secondaria prevista dalla legge 132/2025 e le sorti del Digital Omnibus della Commissione UE.

Da questo dipendono i tempi di attuazione delle distinte norme dell’AI Act sui requisiti e sull’uso dei sistemi di AI ad alto rischio, fra i quali, appunto, i CDSS avanzati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Diego Fulco
Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • sanità digitale italiana carenza medici SSN dati sintetici in sanità sanità digitale post-PNRR; L'AI nella gastroenterologia ed endoscopia digestiva: la sfida tra intelligenza naturale ed artificiale; privacy dati sanitari; MioDottore

  • presidenza del consiglio

    Sanità digitale italiana, tutta la verità: presente e futuro

    03 Ott 2025

    di Mauro Moruzzi

    Condividi
  • fascicolo sanitario elettronico

  • il quadro completo

    Fascicolo Sanitario Elettronico, cos'è, a che serve e come attivarlo

    24 Giu 2025

    di Anna Francesca Pattaro

    Condividi
  • Cup online, regione per regione appIO sanità formazione digitale in sanità GenAI in sanità; diagnosi precoce;cdss LLM in medicina ia in sanità IA generativa in sanità dossier sanitario elettronico privacy dei dati sanitari

  • sanità digitale

    Piattaforma di prenotazione sanitaria, oltre il "vestito nuovo": serve un approccio globale

    19 Mar 2025

    di Domenico Marino

    Condividi
0
Lascia un commento, la tua opinione conta.x