cybersecurity in sanità

Morte da ransomware, quale risarcimento danni: cosa ci insegna la causa in Alabama

Una madre perde la sua bambina dopo un attacco ransomware che avrebbe inficiato le strumentazioni ospedaliere e decide di far causa alla struttura. Il contenzioso non creerà evoluzioni dirompenti nella giurisprudenza in tema di risarcimento del danno per cybersecurity ma insegna un’importante lezione

11 Ott 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

ransomware

Nel 2019 una donna statunitense si è recata presso lo Springhill Medical Center a Mobile, in Alabama, per partorire la sua bambina.

La specialista che seguiva il parto si è accorta però troppo tardi di una complicazione che causava alla neonata un grave danno cerebrale che finiva, nove mesi dopo, per portare alla morte della bambina.

Risarcimento danni per morte da ransomware in Sanità

Fin qui questa tragica storia sembrerebbe “normale” caso di responsabilità medica, ma la particolarità della fattispecie sta nel fatto che l’ospedale era stato vittima, pochi giorni prima del parto, di un attacco ransomware, che ancora nei giorni seguenti manifestava i suoi effetti sulle strumentazioni della struttura ospedaliera.

WHITEPAPER
6 elementi da considerare per un sistema telefonico in cloud adatto alla tua azienda enterprise
Cloud
Risorse Umane/Organizzazione

Se un ransomware può uccidere un neonato: un caso che deve farci riflettere

Sebbene l’ospedale abbia contestato con forza questa ricostruzione, secondo la donna e i legali che la difendono, quel giorno le cartelle cliniche dei pazienti erano inaccessibili, il personale medico non aveva accesso alle apparecchiature utilizzate per monitorare il battito fetale e altre strumentazioni erano offline.

In particolare, il fatto che non fosse possibile monitorare il battito fetale direttamente dai monitor in sala parto avrebbe inciso sulla situazione, in quanto il medico, ove si fosse accorto del calo delle pulsazioni dalla strumentazione, avrebbe potuto optare per un taglio cesareo scongiurando o comunque limitando il danno che si è poi verificato.

Di qui la causa instaurata dalla madre, al fine di veder accertato il primo decesso direttamente connesso con un attacco ransomware e di ricevere dall’ospedale il risarcimento del danno subito.

Il processo

Nel giudizio la madre afferma che l’ospedale è responsabile per tutti i disservizi causati dall’attacco ransomware, e che il personale avrebbe dovuto avvertirla della situazione di emergenza e di ridotta operatività della strumentazione prima di ricoverarla per il parto.

L’ospedale si difende invece affermando che la situazione era tornata, nei limiti del possibile, sotto controllo e consentiva di assistere i pazienti in sicurezza, che il giorno del ricovero della madre l’ospedale aveva diffuso un comunicato in cui dava atto di aver avuto un “incidente di sicurezza” e che comunque la responsabilità di informare i pazienti sullo stato dei sistemi informatici ricade sul singolo medico che, nel caso, sarebbe l’unico responsabile di questa omessa informazione.

La difesa dell’ospedale in effetti coglie nel segno quando i legali della struttura affermano che lo Springhill Medical Center non poteva non assistere i pazienti salvo esporli a rischi maggiori rispetto al ricovero presso la loro struttura.

Il caso di Dusseldorf

Viene infatti subito in mente il caso dell’attacco ransomware all’ospedale di Dusseldorf, dove nel settembre 2020 una donna di settantotto anni avrebbe dovuto essere trasportata in ambulanza per un aneurisma.

Peccato che un attacco ransomware aveva costretto l’ospedale a chiudere il reparto di emergenza e così la paziente ha dovuto essere trasferita a Wuppertal, a un’ora di strada di distanza. Poco dopo essere giunta all’ospedale universitario di Wuppertal, la paziente moriva.

Anche se alla fine le indagini della magistratura di Colonia hanno dimostrato che la paziente, nel caso, sarebbe morta comunque anche se fosse stata accolta nella struttura bloccata dall’attacco hacker, è evidente che nemmeno la scelta di rifiutare il ricovero dei pazienti in presenza di un blocco parziale della strumentazione può essere presa con leggerezza e che la madre avrebbe potuto far causa comunque allo Springhill Medical Center laddove la stessa fosse stata costretta a trasferirsi in un altro ospedale di fronte al rifiuto di un ricovero e la trasferta e il conseguente ritardo avessero comportato comunque danni per la bambina.

Un problema di cybersecurity

Insomma, nel momento in cui la prospettiva non è quella del perimetro di sicurezza informatica dell’azienda, ma piuttosto quella delle alternative a disposizione dell’ospedale, una volta che l’attacco ransomware si è verificato e ha compromesso i sistemi, è evidente che la scelta del centro medico Springhill appare difendibile.

In quella situazione l’ospedale avrebbe infatti potuto, alternativamente, reindirizzare i pazienti verso altri ospedali, oppure trattare presso la propria struttura i pazienti, se ce ne erano le condizioni. Entrambe le decisioni comportano dei rischi e, nel caso, la struttura ha evidentemente ritenuto che per la madre in travaglio fosse meno rischioso partorire presso lo Springhill Medical Center rispetto a raggiungere un altro ospedale.

Il problema è che questa prospettiva è sbagliata. Il punto centrale da comprendere è se questo incidente avrebbe potuto essere evitato e se era o meno tenuto l’ospedale a dotarsi di sistemi di sicurezza informatica tali da scongiurare l’attacco o quantomeno limitarne gli effetti.

Spesso viviamo gli attacchi ransomware come vere e proprie cause di forza maggiore, anzi un “act of god” come si dice nel gergo contrattuale inglese, senza indagare né su chi o cosa ha causato l’attacco, né se l’azienda avrebbe dovuto predisporre dei sistemi di tutela per evitare che l’attacco potesse esprimere conseguenze così tentacolari nella sua struttura IT.

Anche in questo caso, stranamente, dalla lettura della citazione depositata dalla madre, sembra proprio mancare questa critica alla compliance dell’ospedale in tema di sicurezza informatica, quasi come un attacco ransomware, così come un terremoto o un uragano, costituiscano elementi imprevedibili dai quali è impossibile proteggersi.

Dall’atto depositato dai legali della madre, infatti, la cybersecurity dell’ospedale viene in rilievo quasi solo in connessione con il fatto che la struttura avrebbe dovuto prevedere policy per informare i pazienti in caso di cyberattacchi, peccato che in questo modo si ometta di indagare sulle cause dell’attacco e sul fatto se la compromissione ai sistemi informatici dello Springhill Medical Center avrebbe potuto (e dovuto) essere evitata.

Un problema di consenso informato

La causa instaurata contro lo Springhill Medical Center preferisce concentrarsi sul fatto che l’ospedale avrebbe dovuto informare compiutamente la paziente della situazione di compromissione dei propri sistemi informatici nonché dell’estensione e degli effetti dell’attacco hacker subito dalla struttura.

La richiesta è comprensibile e giustificata e infatti sul punto l’ospedale si difende affermando di aver denunciato pubblicamente l’incidente di sicurezza sin dal giorno in cui era avvenuto (9 luglio 2019), precisando in seguito (il 16 luglio, ovvero la data in cui la madre veniva ricoverata) che gli operatori dell’ospedale stavano lavorando per ripristinare tutti i sistemi.

Inoltre, l’ospedale si difende affermando che spettava al medico di informare la paziente con riguardo al fatto che alcune delle strumentazioni non erano in funzione, scaricando così la responsabilità sul proprio personale.

Il problema, a quel punto, è capire se dalla mancata informazione discendono le conseguenze dannose subite dalla parte attrice, ovvero se sussiste un nesso causale fra la mancata informazione e il danno.

La madre dovrà infatti dimostrare che, una volta informata del non perfetto funzionamento di alcuni sistemi, avrebbe scelto di cambiare ospedale, nonché che questo cambiamento di struttura, con i tempi di trasferimento, avrebbe consentito di evitare il danno poi verificatosi.

Risarcimento danni per ransomware, prospettive

La giurisprudenza in tema di risarcimento del danno per cybersecurity non è quindi destinata a subire evoluzioni dirompenti con questo contenzioso, che si concentra su aspetti ancillari rispetto a quello del cyber-risk.

I fatti alla base di questo giudizio, così come quelli di Dusseldorf, incarnano però importanti segnali di allarme riguardo ai rischi di sicurezza IT, con le aziende che devono prevenire il diffondersi di questi attacchi.

Se la formazione dei dipendenti può fare molto per evitare che un attacco ransomware intacchi i sistemi aziendali, è anche vero che gli attaccanti cercheranno sempre nuovi modi per installare i loro software sui pc delle aziende per sperare di ottenere un riscatto, la policy di protezione dei sistemi non può quindi limitarsi ad un’attività di istruzione e formazione.

Quello che serve è quindi concepire le strutture IT in modo da “compartare” i settori e isolare gli strumenti (specie quelli da cui dipendono strumenti salvavita), evitando così che un singolo attacco ransomware metta in ginocchio un’intera azienda (o, peggio, un intero ospedale).

Il rischio cibernetico/informatico deve essere affrontato dalle aziende con massima attenzione e soprattutto il più a monte possibile, possibilmente addirittura a livello di codice, per evitare le minacce e soprattutto la loro diffusione nei sistemi.

Un’evoluzione giurisprudenziale dei casi di risarcimenti connessi ad attacchi informatici contribuirà in futuro a rendere evidente il perimetro delle responsabilità aziendali nel caso e quanto può costare una negligenza in un mondo che ormai definisce standard e requisiti sempre più stringenti con riguardo alla sicurezza IT.

Un’azienda oggi non può più permettersi di trascurare la sicurezza dei propri sistemi informatici, anche perché il diritto estende alle conseguenze della negligenza il risarcimento civile del danno causato (e in certi casi di crassa negligenza anche le responsabilità penali) e questo comporta che un’eventuale incuria nella compliance IT rischia di riverberare in responsabilità davvero estese a mano a mano che le aziende informatizzano i loro sistemi e dipendono dalla tecnologia.

WHITEPAPER
Coinvolgi i tuoi dipendenti con una formazione che guardi alle loro esigenze, ecco come!
Risorse Umane/Organizzazione
Competenze Digitali
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4