-
- Art. 3 Cost.
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
ORDINANZA RELATIVA AI DISPOSITIVI MEDICI
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
LEGGE SUL RICICLAGGIO DI DENARO
- I. Informazioni generali
- II. Obbligo di diligenza per le istituzioni sanitarie (cpv. 1)
- III. Gestione del rischio per gli ospedali (cpv. 2)
- IV. Conseguenze legali di una violazione dell'obbligo di diligenza
- Bibliografia
- I Materiali
I. Informazioni generali
1 Negli ultimi anni è emerso che gli ospedali e le altre strutture sanitarie sono diventati sempre più spesso bersagli di attacchi informatici. Questa tendenza all'aumento degli attacchi informatici contro gli ospedali e le strutture sanitarie è riscontrabile non solo in Svizzera, ma in tutto il mondo. La motivazione è chiara: un guasto all'infrastruttura tecnica (ad esempio alle apparecchiature mediche vitali o al sistema informatico dell'ospedale) di un ospedale può avere conseguenze catastrofiche, motivo per cui questi obiettivi appaiono particolarmente redditizi per i criminali informatici. Da un lato, questi attacchi informatici possono avere conseguenze finanziarie devastanti per le strutture sanitarie colpite. Dall'altro, possono anche avere un impatto negativo sui pazienti, in quanto possono essere compromessi i dispositivi medici vitali o essere rinviate operazioni già pianificate. Questo problema è stato riconosciuto e affrontato nell'ambito della revisione dell'ordinanza sui dispositivi medici nel 2020. Con la revisione dell'ordinanza sui dispositivi medici, entrata in vigore il 21 maggio 2021, è stato creato il nuovo art. 74 ODmed, che impone alle strutture sanitarie e agli ospedali specifici obblighi di diligenza in materia di cybersicurezza.
2 L'art. 74 ODmed deve essere distinto dalle corrispondenti disposizioni - federali o cantonali - in materia di protezione dei dati (ad esempio l'art. 8 LPD), che servono a proteggere i dati personali. L'art. 74 ODmed, invece, non serve principalmente a proteggere i dati dei pazienti, ma piuttosto a proteggere da un guasto dell'infrastruttura tecnica della struttura sanitaria dovuto ad attacchi elettronici a dispositivi medici compatibili con la rete. Tuttavia, le due aree non possono essere completamente separate, poiché una violazione dell'art. 74 ODmed può comportare anche una violazione delle disposizioni in materia di sicurezza della protezione dei dati (art. 8 LPD), in quanto molti dispositivi medici abilitati alla rete (come tomografi computerizzati o dispositivi a ultrasuoni) elaborano anche dati dei pazienti e alcuni di questi dati sono memorizzati sul dispositivo medico.
3 Inoltre, gli obblighi previsti dall'art. 74 ODmed devono essere distinti dall'obbligo dei fabbricanti di produrre e immettere sul mercato dispositivi medici sicuri. Ai sensi dell'art. 6 cpv. 2 ODmed, i dispositivi medici devono soddisfare i requisiti essenziali di sicurezza e prestazione di cui all'allegato I del Regolamento (UE) 2017/745 (“MDR UE”). I punti 17.2 e 17.4 dell'Allegato I dell'EU MDR definiscono i requisiti generali (di sicurezza) in relazione alla cybersecurity per i dispositivi i cui componenti includono sistemi elettronici programmabili e dispositivi sotto forma di software. Nel caso di dispositivi che incorporano software o dispositivi sotto forma di software, il software deve essere sviluppato e prodotto in conformità allo stato dell'arte, tenendo conto dei principi del ciclo di vita del software e della gestione del rischio, compresa la sicurezza delle informazioni (punto 17.2 dell'Allegato I dell'MDR UE). I produttori devono definire i requisiti minimi relativi all'hardware, alle caratteristiche della rete informatica e alle misure di sicurezza informatica, compresa la protezione dall'accesso non autorizzato, necessarie per l'uso previsto del software (punto 17.4 dell'Allegato I del MDR UE). Questi obblighi in materia di sicurezza informatica, per così dire “prima linea di difesa” contro gli attacchi informatici, si applicano al fabbricante e devono essere presi in considerazione già durante lo sviluppo dei dispositivi medici. Tuttavia, gli obblighi previsti dall'art. 74 ODmed non si applicano al fabbricante, ma agli utilizzatori, ovvero alle istituzioni sanitarie, e si aggiungono agli obblighi del fabbricante. Ciò significa che la questione della cybersecurity è regolata dalla legge non solo a livello di produttore, ma anche a livello di utente, fornendo una doppia protezione contro gli attacchi informatici. In pratica, tuttavia, è chiaro che gli sforzi per la sicurezza informatica a livello di produttore non sempre soddisfano le aspettative degli utenti. Una delle ragioni è che questi dispositivi medici abilitati alla rete hanno generalmente componenti software estesi che sono personalizzati (e certificati) per sistemi operativi specifici come parte del processo di certificazione. Tuttavia, gli ospedali non possono effettuare aggiornamenti senza la collaborazione dei produttori e questi ultimi a volte non hanno a disposizione gli aggiornamenti corrispondenti, in quanto la compatibilità dopo l'aggiornamento potrebbe richiedere la ricertificazione del dispositivo medico e ciò non è desiderato dai produttori. Di conseguenza, nella pratica gli ospedali sono talvolta costretti a far funzionare i dispositivi medici con software vecchi, che possono fungere da porta d'accesso per i cyberattacchi. Per contrastare questo fenomeno, in questo caso il dispositivo medico e il software devono essere isolati dal resto del sistema, in modo che l'accesso al resto del sistema dell'ospedale attraverso questo dispositivo medico non sia più possibile.
II. Obbligo di diligenza per le istituzioni sanitarie (cpv. 1)
4 L'art. 74 ODmed, cpv. 1, impone alle strutture sanitarie di adottare tutte le misure tecniche e organizzative necessarie, secondo lo stato dell'arte, per garantire la protezione da attacchi e accessi elettronici nel caso di dispositivi medici abilitati alla rete.
5 Questo obbligo di diligenza si applica alle strutture sanitarie ai sensi dell'art. 74 cpv. 1 ODmed. Ai sensi dell'art. 4 cpv. 1 lett. k ODmed, per istituto di cura si intende qualsiasi organizzazione il cui scopo principale è l'assistenza o la cura dei pazienti o la promozione della salute pubblica. Ciò corrisponde alla definizione di cui all'art. 2 par. 36 del MDR dell'UE e comprende in particolare gli ospedali (privati e pubblici), ma anche strutture come i laboratori e altre strutture sanitarie (pubbliche) che supportano il sistema sanitario ma in cui i pazienti non sono direttamente trattati o assistiti. Anche gli studi medici e le altre strutture mediche ambulatoriali rientrano nella definizione di strutture sanitarie, motivo per cui devono rispettare gli obblighi di diligenza previsti dall'art. 74 cpv. 1 ODmed se utilizzano dispositivi medici compatibili con la rete. Tuttavia, le strutture che dichiarano di promuovere principalmente uno stile di vita sano, come le palestre, le spa o i centri benessere, non sono considerate strutture sanitarie ai sensi dell'art. 74 cpv. 1 ODmed.
6 L'obbligo di diligenza di cui al cpv. 1 si applica solo ai dispositivi medici compatibili con la rete. Compatibile con la rete significa che il dispositivo medico può essere integrato in una rete con altri dispositivi, in modo che le informazioni possano essere scambiate virtualmente tra i vari prodotti compatibili con la rete e accessibili da luoghi diversi. In altre parole, il dispositivo medico non è solo integrato nel sistema interno della struttura sanitaria, ma può anche essere accessibile all'esterno, tramite accesso remoto. In questo contesto, il rapporto esplicativo dell'UFSP afferma che i dispositivi medici sono collegati direttamente e permanentemente a Internet e intranet. In molti casi, l'accesso esterno è essenziale affinché il produttore possa fornire un'assistenza adeguata (a distanza). Si assiste a una crescente fusione tra la tecnologia operativa (ad esempio, i dispositivi medici) e la (restante) tecnologia dell'informazione all'interno dell'organizzazione sanitaria. La pratica dimostra che numerosi dispositivi medici della medicina moderna sono compatibili con la rete: la medicina senza rete digitale sta diventando sempre più impensabile. Esempi di dispositivi medici abilitati alla rete sono i tomografi computerizzati, le macchine a raggi X mobili, i dispositivi per il monitoraggio nelle unità di terapia intensiva (ad esempio, i sistemi di monitoraggio dei pazienti), le apparecchiature per la respirazione e l'anestesia, ecc. Si noti inoltre che il termine dispositivo medico può includere anche il software, a condizione che il software soddisfi i requisiti di un dispositivo medico ai sensi dell'art. 3 cpv. 1 ODmed, in particolare per quanto riguarda il software di monitoraggio dei pazienti. In questo senso, l'obbligo di diligenza ai sensi dell'art. 74 cpv. 1 ODmed si applica anche al software.
7 Ai sensi dell'art. 74 cpv. 1 ODmed, devono essere adottate tutte le misure tecniche e organizzative necessarie, secondo lo stato dell'arte, per garantire la protezione da attacchi e accessi elettronici. L'ODmed stesso non contiene una definizione di misure tecniche e organizzative. Tuttavia, il termine “misure tecniche e organizzative” è noto in altri settori del diritto, in particolare in quello della protezione dei dati. Ad esempio, l'art. 8 cpv. 1 LPD stabilisce che i responsabili del trattamento e gli incaricati del trattamento devono garantire una sicurezza dei dati adeguata al rischio attraverso misure tecniche e organizzative adeguate. In questo contesto, le misure tecniche sono descritte come quelle direttamente collegate a un sistema informatico o a supporti di dati. Le misure organizzative, invece, sono quelle che riguardano l'ambiente del sistema, in particolare le persone che lo utilizzano e i processi. Il National Cyber Security Centre NCSC ha pubblicato delle raccomandazioni sulla sicurezza informatica nel settore sanitario. Queste includono misure sia tecniche che organizzative e sono considerate dall'NCSC (BACS dal 1° gennaio 2024) come requisiti minimi. Tuttavia, va notato che queste raccomandazioni non riguardano specificamente i dispositivi medici abilitati alla rete, ma comprendono in generale l'intera sicurezza informatica di una struttura sanitaria.
8 Questa concezione delle misure tecniche e organizzative, tratta da altri settori del diritto, può essere trasferita all'art. 74 cpv. 1 ODmed: per misure tecniche si intendono tutte le misure direttamente correlate al dispositivo medico, all'infrastruttura informatica della struttura sanitaria e all'interfaccia tra il dispositivo medico e l'infrastruttura informatica. Esempi di misure tecniche sono Crittografia, firewall, back-up, protezione con password, VPN per l'accesso remoto, segmentazione della rete, blocco automatico del desktop, ecc. Ciò include anche l'esecuzione di aggiornamenti di sicurezza (software) periodici o prescritti dal produttore, nonché la regolare manutenzione del dispositivo medico prescritta dal produttore. Il BACS elenca in particolare le seguenti misure tecniche: (a) monitoraggio tempestivo degli endpoint, (b) backup offline o disaster recovery, (c) segmentazione della rete, (d) protezione dell'autenticazione (ad esempio tramite autenticazione a più fattori), (e) blocco degli allegati di posta elettronica pericolosi e (f) controllo dell'esecuzione dei file. Le misure tecniche di cui alle lettere b), c) e d) sono considerate obbligatorie dal BACS, mentre quelle di cui alle lettere a), e) ed f) sono considerate disposizioni volontarie o “facoltative”. Le misure organizzative ai sensi dell'art. 74 cpv. 1 ODmed, invece, sono quelle misure che riguardano l'ambiente del dispositivo medico o dell'infrastruttura IT, in particolare le persone che utilizzano il dispositivo medico abilitato alla rete o l'infrastruttura IT associata, nonché i processi correlati. Esempi di misure organizzative sono la formazione, i processi, le linee guida, i regolamenti e i contratti. Il BACS elenca le misure organizzative tra cui (a) la gestione delle patch e del ciclo di vita e (b) il monitoraggio tempestivo dei dati di log del perimetro di sicurezza; queste due misure sono considerate obbligatorie dal BACS. L'importanza delle misure organizzative non deve essere sottovalutata, poiché le migliori misure tecniche (ad esempio, una forte protezione con password) sono di scarsa utilità se le persone che le utilizzano le ignorano (ad esempio, lasciando un post-it con la password sul dispositivo medico abilitato alla rete). Di conseguenza, è necessario adottare misure organizzative (ad esempio regolamenti interni, formazione del personale) per garantire l'efficacia delle misure tecniche. L'esperienza degli autori dimostra che nella pratica medica si sono affermate in particolare le seguenti misure organizzative: Linee guida, eLearning, formazione e addestramento, blog interno sulla sicurezza informatica, ecc. Tuttavia, anche la tenuta di un inventario dei dispositivi medici connessi alla rete utilizzati e le valutazioni di sicurezza standardizzate dei nuovi tipi di dispositivi, effettuate prima dell'acquisto, si sono affermate nella pratica come parte delle misure organizzative. Gli autori ritengono che gli ospedali più grandi, in particolare, non potranno fare a meno di creare responsabilità chiare e funzioni dedicate con risorse sufficienti all'interno dell'organizzazione per affrontare la questione della cybersecurity in conformità all'art. 74 cpv. 1 ODmed, in modo da tenere conto degli obblighi di diligenza previsti dalla legge. Le istituzioni sanitarie più piccole devono almeno disporre di un supporto informatico esterno che includa anche il tema della sicurezza informatica nelle sue specifiche.
9 Le misure tecniche e organizzative da adottare devono basarsi sullo stato dell'arte. Anche questo termine non è definito in modo più dettagliato dall'ODmed. Tuttavia, “stato dell'arte” è un termine di grande importanza nello sviluppo dei dispositivi medici, in quanto lo stato dell'arte generalmente riconosciuto deve essere preso come base per quanto riguarda i requisiti essenziali di sicurezza e di prestazione in conformità al capitolo I dell'allegato I dell'UE MDR. Tuttavia, l'MDR dell'UE non contiene una definizione generale che dia a questo termine maggiori contorni. Il termine “stato dell'arte” è familiare al resto della legislazione svizzera: secondo l'art. 3 cpv. 2 PrSG, i prodotti devono corrispondere allo stato dell'arte in termini di sicurezza. Secondo l'art. 5 cpv. 1 lett. e PrHG, un produttore non è responsabile se dimostra che il difetto del prodotto non poteva essere riconosciuto secondo lo stato dell'arte della scienza e della tecnica al momento dell'immissione del prodotto sul mercato. Dalla letteratura e dalla giurisprudenza su questo termine in altre leggi svizzere si può quindi dedurre che lo stato dell'arte deve essere determinato secondo criteri oggettivi e riconosciuti come affidabili dalla comunità scientifica di riferimento. In ogni caso, per un determinato dispositivo medico, è necessario seguire le istruzioni specifiche del produttore in materia di cybersecurity (ed eventuali aggiornamenti di tali istruzioni), se presenti. È inoltre consigliabile seguire le raccomandazioni del BACS sulla sicurezza informatica nel settore sanitario. Queste raccomandazioni sono considerate dal BACS come “best current practices” e possono quindi essere utilizzate - almeno dal punto di vista delle autorità - per specificare gli obblighi di diligenza ai sensi dell'art. 74 cpv. 1 ODmed, a condizione che si tratti di dispositivi medici abilitati alla rete. Si può quindi presumere che le autorità e i tribunali utilizzeranno queste raccomandazioni BACS nei singoli casi per valutare le misure tecniche e organizzative e il rispetto dell'obbligo di diligenza, anche se non sono vincolanti per i tribunali. Per quanto riguarda gli standard internazionali (di autoregolamentazione), lo standard ISO 27001 per i sistemi di gestione della sicurezza delle informazioni si è affermato come standard comune. In pratica, molti ospedali seguono questo standard, anche se non sono ufficialmente certificati ISO.
10 Si raccomanda che questi requisiti, che un dispositivo medico abilitato alla rete deve soddisfare, soprattutto dal punto di vista tecnico, siano già incorporati nel processo di approvvigionamento della struttura sanitaria. L'organizzazione sanitaria dovrebbe avere chiaro già all'inizio dell'acquisto di dispositivi medici compatibili con la rete quali standard di sicurezza tecnica e informatica deve soddisfare il dispositivo medico da acquistare, in modo da garantire la sicurezza informatica anche nei singoli casi. Nel maggio 2024, H+, l'Associazione degli ospedali svizzeri, ha lavorato in stretta collaborazione con i responsabili della sicurezza informatica e delle informazioni degli ospedali svizzeri per pubblicare un opuscolo intitolato “Requisiti di base di protezione informatica per i sistemi - sicurezza delle informazioni e protezione dei dati”, che definisce “i requisiti minimi tecnici e organizzativi di sicurezza informatica e protezione dei dati per i sistemi dell'ospedale”, in particolare per tutti i sistemi di tecnologia medica. Questo foglio informativo è stato pubblicato in riferimento agli obblighi di diligenza derivanti dall'art. 74 cpv. 1 ODmed, motivo per cui le strutture sanitarie interessate dall'art. 74 cpv. 1 ODmed dovrebbero consultare questo foglio informativo per assistenza, anche se non sono ospedali. In generale, tuttavia, tali linee guida e fogli informativi emessi da autorità (come il BACS) o associazioni (come H+) non hanno valore di legge e non sono quindi giuridicamente vincolanti per i tribunali o gli utenti.
11 L'art. 74 cpv. 1 ODmed non fa riferimento a un momento specifico per quanto riguarda lo stato dell'arte - a differenza, ad esempio, dell'art. 5 cpv. 1 lett. e PrHG. Di conseguenza, la comprensione del termine “stato dell'arte” è soggetta a cambiamenti nel tempo. Se lo stato dell'arte cambia per quanto riguarda la cybersecurity e le misure tecniche e organizzative appropriate da implementare per difendersi efficacemente dagli attacchi informatici, l'istituzione sanitaria deve adattare di conseguenza le misure adottate. Di conseguenza, l'istituzione sanitaria deve rivedere regolarmente le proprie misure tecniche e organizzative per garantire la sicurezza informatica, confrontarle con l'attuale stato dell'arte e, se necessario, adattarle allo stato dell'arte. Almeno per gli ospedali, questo obbligo deriva anche dal cpv. 2 dell'art. 74 ODmed, in quanto parte di un efficace sistema di gestione del rischio è anche la revisione periodica del rischio e dell'adeguatezza delle misure attuate contro di esso. Da un punto di vista fondamentale, va notato che la cybersecurity è un processo continuo e quindi non è mai completa.
12 Secondo la formulazione dell'art. 74 cpv. 1 ODmed, l'istituzione sanitaria deve adottare tutte le misure necessarie per garantire la protezione da attacchi e accessi elettronici. La formulazione dell'art. 74 cpv. 1 ODmed si differenzia in particolare dal relativo art. 8 LPD, che richiede una “sicurezza dei dati adeguata al rischio” e stabilisce quindi giuridicamente il principio di proporzionalità nell'ambito della sicurezza dei dati personali, motivo per cui, ad esempio, nella valutazione dell'adeguatezza si può tenere conto anche dei costi di attuazione. Ci si chiede quindi se la formulazione “tutte le misure necessarie per garantire la protezione” di cui all'art. 74 cpv. 1 ODmed lasci spazio al principio di proporzionalità, in particolare all'elemento della ragionevolezza. A nostro avviso, ciò deve essere affermato, in quanto non esiste una sicurezza assoluta contro i cyberattacchi, per cui si tratta sempre e solo di una protezione adeguata, ma non assoluta. Tuttavia, a causa degli interessi legali coinvolti - la salute dei pazienti - l'ostacolo per la valutazione dell'adeguatezza deve essere posto più in alto rispetto alla protezione dei dati. Di conseguenza, ai sensi dell'art. 74 cpv. 1 ODmed, l'istituzione sanitaria deve solo attuare misure proporzionate (ossia adeguate, necessarie e ragionevoli) che tengano conto dell'importanza degli interessi legali in questione.
13 Le misure tecniche e organizzative devono garantire la protezione da attacchi e accessi elettronici. In altre parole, l'obiettivo è proteggere dagli attacchi informatici, ossia dagli attacchi mirati all'infrastruttura informatica e ai dispositivi medici (compatibili con la rete) utilizzati dalle strutture sanitarie da parte di persone non autorizzate. Occorre distinguere tra gli attacchi in cui il dispositivo medico stesso è l'obiettivo vero e proprio e gli attacchi in cui il dispositivo medico funge da gateway per l'accesso alle altre infrastrutture informatiche dell'istituto sanitario. L'art. 74 cpv. 1 ODmed contempla entrambi i tipi di attacchi e le misure tecniche e organizzative devono quindi coprire anche entrambi i tipi di attacchi. I tipici attacchi informatici sono malware, phishing, exploit zero-day, attacchi DDoS o attacchi che compromettono la disponibilità dei sistemi (come il ransomware). Secondo gli autori, gli attacchi ransomware sono generalmente i più pericolosi, in quanto comportano l'impossibilità di garantire la disponibilità dei sistemi, con gravi conseguenze sia per l'ospedale che per i pazienti dal punto di vista operativo e medico.
III. Gestione del rischio per gli ospedali (cpv. 2)
14 A differenza degli obblighi di cui all'art. 74 cpv. 1 ODmed, che si applicano a tutte le strutture sanitarie che utilizzano dispositivi medici compatibili con la rete, gli obblighi di cui all'art. 74 cpv. 2 ODmed si applicano solo agli ospedali. Ai sensi dell'art. 4 cpv. 1 lett. l ODmed, gli ospedali sono strutture sanitarie in cui si effettuano trattamenti di malattie in regime di ricovero o misure di riabilitazione medica in regime di ricovero o misure mediche in regime di ricovero a fini estetici mediante assistenza medica e infermieristica. Il criterio di differenziazione decisivo rispetto agli studi medici o ad altre strutture sanitarie (ambulatoriali) è il trattamento ospedaliero dei pazienti. Ai sensi dell'art. 74 cpv. 2 ODmed, tali strutture devono identificare, valutare e documentare le misure tecniche e organizzative secondo i principi di un sistema di gestione del rischio. Questo sistema di gestione del rischio deve essere parte integrante del sistema di gestione della qualità dell'ospedale.
15 La pratica dimostra che la gestione completa del rischio è uno standard anche negli ospedali. Per quanto riguarda i principi di un sistema di gestione del rischio efficace, si rimanda alla letteratura in materia. L'art. 74 cpv. 2 ODmed obbliga gli ospedali a identificare, valutare e documentare le misure tecniche e organizzative adottate ai sensi del cpv. 1 nell'ambito della gestione del rischio e della qualità per quanto riguarda il rischio di “sicurezza informatica”, introducendo così un obbligo di legge per gli ospedali di gestire il rischio, almeno per quanto riguarda la sicurezza informatica. Nella pratica, tuttavia, l'importanza di questa disposizione sarà probabilmente bassa, poiché la gestione del rischio svolgeva un ruolo decisivo per gli ospedali già prima dell'entrata in vigore dell'art. 74 cpv. 2 ODmed e comprendeva anche il tema della sicurezza informatica come rischio significativo.
IV. Conseguenze legali di una violazione dell'obbligo di diligenza
A. Conseguenze di diritto civile
16 In caso di inosservanza degli obblighi di diligenza di cui all'art. 74 ODmed, si pone la questione delle conseguenze legali. In particolare, vanno considerate le situazioni in cui un cyberattacco porta al malfunzionamento di dispositivi medici di supporto vitale e provoca la morte o gravi lesioni ai pazienti. Sono ipotizzabili anche numerose altre costellazioni, come il rinvio di operazioni vitali o il malfunzionamento di dispositivi medici. È necessario distinguere se la struttura sanitaria in questione è privata o pubblica. Questa qualifica determina la legge applicabile in materia di responsabilità. Questa distinzione non sarà discussa ulteriormente in questa sede, ma si farà riferimento alla letteratura e alla giurisprudenza in materia.
17 Se esiste un rapporto contrattuale (di diritto privato) tra l'ospedale e il paziente, l'eventuale responsabilità dell'ospedale è disciplinata dall'art. 97 cpv. 1 CO: se l'obbligazione non può essere adempiuta affatto o non può essere adempiuta correttamente, il debitore deve risarcire il danno risultante, a meno che non dimostri di non averne colpa. Le condizioni per la responsabilità ai sensi dell'art. 97 cpv. 1 CO sono quindi (a) la violazione di un obbligo contrattuale, (b) il danno che ne deriva, (c) un'adeguata connessione causale tra la violazione del contratto e il danno che ne deriva e (d) la colpa (che viene presunta ai sensi dell'art. 97 cpv. 1 CO). Nel contesto della violazione di un obbligo contrattuale, l'inadempimento o il cattivo adempimento - ossia la violazione positiva del contratto - è di particolare interesse in questo caso. Sebbene il debitore fornisca un servizio, questo non è della qualità contrattuale o non rispetta la diligenza dovuta in base al contratto. Viene fatta una distinzione fondamentale tra gli obblighi primari e quelli secondari. I doveri accessori comprendono, tra l'altro, i doveri di comportamento che sono destinati a integrare la prestazione principale e a garantirne il corretto adempimento o a raggiungere lo scopo del contratto, ovvero i doveri di protezione, cura, consulenza, omissione, informazione e chiarimento. Sulla base di quanto sopra, i doveri di diligenza derivanti dall'art. 74 ODmed in relazione alla cybersecurity possono essere qualificati come doveri contrattuali accessori, in quanto si tratta di doveri di condotta volti a garantire il corretto adempimento della prestazione principale. Si tratta quindi di un dovere dell'ospedale di proteggere il paziente.
18 Quando si verifica effettivamente una violazione dell'obbligo di assistenza ai sensi dell'art. 74 cpv. 1 ODmed? Come spiegato in precedenza, si tratta di un'adeguata protezione contro gli attacchi e gli accessi elettronici. Questa protezione adeguata deve essere determinata caso per caso utilizzando uno standard oggettivo. Le schede e le linee guida, come quelle del BACS o di H+, possono essere utilizzate per aiutare a specificare questo standard oggettivo, ma il mancato rispetto delle raccomandazioni contenute in tali linee guida o schede non costituisce automaticamente una violazione dell'obbligo di diligenza. In pratica, tuttavia, si raccomanda alle aziende interessate di seguire tali linee guida e schede informative di gruppi di esperti e di organizzare le proprie precauzioni di sicurezza sulla base di tali raccomandazioni.
19 Una violazione dell'obbligo di diligenza ai sensi dell'art. 74 cpv. 1 ODmed può quindi - a condizione che siano soddisfatti gli altri requisiti di responsabilità di cui all'art. 97 CO - comportare la responsabilità dell'istituzione sanitaria nei confronti dei pazienti interessati, i cui requisiti di responsabilità devono essere dimostrati dal paziente interessato (art. 8 CC). In pratica, potrebbe non essere facile dimostrare una violazione dell'obbligo di diligenza dovuta alla mancanza di accesso all'infrastruttura informatica dell'organizzazione sanitaria. Il fatto che si sia verificato un attacco o un accesso non è di per sé sufficiente a dimostrare una violazione dell'obbligo di diligenza. Occorre piuttosto dimostrare che la struttura sanitaria non ha adottato tutte le misure tecniche e organizzative (ragionevoli) per prevenire tali attacchi o accessi. A questo proposito, la struttura sanitaria interessata deve essere tenuta a fornire la documentazione necessaria sulla sicurezza informatica nell'ambito del suo obbligo procedurale di cooperazione ai sensi dell'art. 160 cpv. 1 CPC. Se la struttura sanitaria si rifiuta di collaborare e di consegnare la documentazione sulla sicurezza informatica senza una giustificazione, il tribunale deve tenerne conto nella valutazione delle prove (art. 164 CPC).
B. Conseguenze di diritto amministrativo
20 Oltre alle conseguenze di diritto civile, occorre tenere conto anche delle conseguenze di diritto amministrativo di una violazione dell'art. 74 ODmed. In qualità di autorità esecutiva, Swissmedic è responsabile della sorveglianza del mercato e dell'applicazione della normativa sui dispositivi medici (art. 66 cpv. 1 LATer). La sorveglianza del mercato comprende, tra l'altro, l'adempimento degli obblighi degli operatori economici (art. 75 cpv. 1 ODmed), e quindi anche l'attuazione degli obblighi derivanti dall'art. 74 ODmed. L'ispezione ospedaliera Swissmedic 2023 sui dispositivi medici ha rivelato che il tema della cybersecurity è stato oggetto di deviazioni nel 43% delle ispezioni. In particolare, negli ospedali sono state riscontrate carenze nell'area dei processi e delle interfacce associate e nella gestione del rischio. La gamma di misure amministrative disponibili per rimediare a tali carenze non è limitata in linea di principio, poiché l'art. 66 cpv. 1 LATer stabilisce che possono essere adottate tutte le misure amministrative necessarie per l'applicazione della LATer. L'art. 66 cpv. 2 LATer non contiene un elenco esaustivo di determinate misure che possono essere ordinate da Swissmedic. In ogni caso, le misure ordinate devono rispettare il principio di proporzionalità.
Bibliografia
Baeriswyl Bruno, Kommentierung zu Art. 8, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum Datenschutzgesetz, 2. Aufl., Bern 2023.
Bielefeld Jörg, Kressin Bernhard, Zawilla Peter, Wirksame Organisations-, Risiko- und Compliance-Kultur zur Haftungsvermeidung, CB 2020, S. 205 ff.
Bühr Daniel Lucien, Good Governance von Aufsicht und Kontrolle im Unternehmen, SJZ 118 (2022), S. 7 ff.
Dinkel Erik, Cyber-Sicherheit in Spitälern, LSR 2/2023, S. 59 ff.
Fellmann Walter, Kommentierung zu Art. 5 PrHG, in Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
Fuchs Philippe, Software als Medizinprodukt LSR 3 (2018), S. 183 ff.
Lienhard Andreas, Beweislast und Beweislastumkehr, ZZZ 53 (2021), S. 389 ff.
Long William/Blythe Francesca/Sommer Josefine, Cybersecurity and Medical Devices, LSR 1 (2021), S. 58 ff.
Pfaff, Dieter/Thomet, Ursula, Risikomanagement des Universitätsspitals Zürich, Expert Focus 12 (2017), S. 953 ff.
Sidiropoulos Alexia, Haftung für Gerätefehler bei der medizinischen Diagnostik und Behandlung, Sicherheit & Recht 1 (2020), S. 49 ff.
Stamm-Pfister Christa, Kommentierung zu Art. 8, in: Vasella David/Blechta Gabor P. (Hrsg.), Basler Kommentar, Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl., Basel 2024.
Wiegand Wolfgang, Kommentierung von Art. 97, in: Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar, Obligationenrecht I, 7. Aufl., Basel 2020.
I Materiali
Bundesamt für Gesundheit, Erläuternder Bericht zur Totalrevision der Medizinprodukteverordnung und Verordnung über klinische Versuche mit Medizinprodukten, Juli 2020 («BAG, Erläuternder Bericht»).