I dispositivi medici connessi generano responsabilità che intersecano il Regolamento UE 2017/745 (MDR), il GDPR e la direttiva NIS2 recepita con d.lgs. 138/2024. Un incidente informatico su un elettromedicale può configurare contemporaneamente una violazione dei dati personali ex art. 83 GDPR, una non conformità del dispositivo ex art. 10 MDR e una responsabilità civile del produttore ex d.lgs. 206/2005. Per uno studio che assiste aziende sanitarie o produttori di dispositivi, mappare questi tre livelli di rischio è oggi un’attività consulenziale distinta e non delegabile al solo DPO.
Punti chiave
- Un cyberattacco a un dispositivo medico attiva simultaneamente GDPR, MDR e NIS2, con sanzioni distinte per ciascun regime.
- Il produttore risponde della sicurezza informatica del dispositivo per tutta la sua vita utile, non solo alla commercializzazione.
- Le strutture sanitarie NIS2-rilevanti devono notificare gli incidenti all’ACN entro 24 ore dall’individuazione dell’evento.
Chi assiste produttori di dispositivi medici, strutture ospedaliere o aziende sanitarie si trova oggi di fronte a un intreccio normativo che nessun singolo esperto copre interamente: sicurezza informatica, protezione dei dati e responsabilità da prodotto difettoso si sovrappongono sullo stesso fatto. Un singolo incidente — un ransomware su un monitor cardiaco connesso in rete — può generare tre procedimenti paralleli con autorità diverse, sanzioni diverse e difese diverse.
Il tema è al centro di un approfondimento pubblicato da Agenda Digitale, che segnala come la convergenza tra innovazione tecnologica e sanità digitale stia rendendo i dispositivi elettromedicali il punto critico della cybersicurezza in ambito salute.
Il contesto normativo
Il Regolamento UE 2017/745 (MDR), all’art. 5 e all’Allegato I, punto 17.2, impone che i dispositivi progettati per essere connessi ad altri dispositivi o sistemi informatici possiedano requisiti di sicurezza informatica verificabili. L’obbligo riguarda l’intero ciclo di vita del prodotto, non solo l’immissione in commercio. Sul versante della protezione dei dati, l’art. 9 GDPR classifica i dati sanitari come categoria speciale, con divieto di trattamento salvo eccezioni tassative, e l’art. 83 par. 4 fissa sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per violazioni degli obblighi tecnici di sicurezza ex art. 32. La direttiva NIS2, recepita in Italia con d.lgs. 138/2024, include esplicitamente i soggetti del settore sanitario tra le entità essenziali, con obbligo di notifica all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dalla rilevazione di un incidente significativo. Sul piano della responsabilità civile, il d.lgs. 206/2005 (Codice del Consumo), artt. 114-127, qualifica come difettoso il prodotto che non offre la sicurezza che ci si può legittimamente attendere, categoria che la giurisprudenza di merito sta progressivamente estendendo ai profili di sicurezza informatica degli apparecchi connessi.
Cosa cambia per lo studio
- Due diligence nei contratti di fornitura: nei contratti tra strutture sanitarie e produttori di dispositivi medici connessi, inserire clausole specifiche che allochino la responsabilità per aggiornamenti di sicurezza (patch management) e definiscano gli SLA per la risposta agli incidenti. Senza queste clausole, il riparto di responsabilità si risolve in contenzioso.
- Verifica della qualifica NIS2: accertare se il cliente — ospedale, clinica privata, laboratorio diagnostico — ricade nella soglia di entità essenziale o importante ai sensi del d.lgs. 138/2024. La qualifica determina obblighi di notifica, misure minime di sicurezza e livello sanzionatorio applicabile.
- Coordinamento DPO e CISO nella gestione degli incidenti: un data breach su dispositivo medico richiede la notifica al Garante entro 72 ore (art. 33 GDPR) e all’ACN entro 24 ore (d.lgs. 138/2024). I due percorsi non coincidono: assistere il cliente significa coordinare entrambi, spesso con tempi sovrapposti.
- Responsabilità da prodotto nei contenziosi: quando un malfunzionamento informatico di un dispositivo causa un danno clinico al paziente, valutare il cumulo tra responsabilità contrattuale della struttura ex art. 7 l. 24/2017 (legge Gelli-Bianco) e responsabilità extracontrattuale del produttore ex d.lgs. 206/2005. Le due azioni sono autonome e i termini di prescrizione differiscono.
- Aggiornamento delle polizze assicurative: verificare che le coperture RC del cliente sanitario includano esplicitamente il rischio cyber su dispositivi medici: molte polizze standard escludono ancora i danni da incidente informatico su apparecchiature classificate come dispositivi medici.
Attenzione a
Confondere il titolare del trattamento con il responsabile della sicurezza del dispositivo. La struttura sanitaria è titolare del trattamento dei dati raccolti dal dispositivo, ma il produttore rimane responsabile della sicurezza intrinseca dell’apparecchio per tutta la sua vita utile. In caso di incidente, entrambi possono essere convenuti, ma con fondamenti giuridici distinti. Costruire la difesa come se si trattasse di un’unica catena di responsabilità è l’errore più frequente.
Sottovalutare i tempi di notifica sovrapposti. Le 72 ore per la notifica al Garante decorrono dal momento in cui il titolare ha conoscenza della violazione, non dal momento in cui ne ha certezza. Le 24 ore NIS2 all’ACN decorrono dall’individuazione dell’incidente. Nella pratica, un incidente scoperto venerdì sera genera obblighi che scadono nel weekend: il cliente deve avere una procedura interna attiva, e lo studio deve averla verificata in anticipo.
Domande frequenti
Chi risponde dei danni causati da un cyberattacco a un dispositivo medico connesso?
Dipende dalla catena causale. La struttura sanitaria risponde come titolare del trattamento dei dati ex art. 82 GDPR e come soggetto erogatore di prestazioni sanitarie ex l. 24/2017. Il produttore del dispositivo risponde per difetto di sicurezza ex d.lgs. 206/2005 se il malfunzionamento è riconducibile a una vulnerabilità intrinseca del prodotto. Le due responsabilità coesistono e si prescrivono in termini diversi.
Quali strutture sanitarie rientrano nella NIS2 e hanno obbligo di notifica all’ACN?
Il d.lgs. 138/2024 include nel perimetro NIS2 gli ospedali e le strutture che forniscono assistenza sanitaria come definiti dalla direttiva 2011/24/UE. Le entità essenziali sono soggette alle misure più stringenti e alle sanzioni massime. La qualifica dipende anche dalla dimensione: sopra i 250 dipendenti o 50 milioni di fatturato si rientra automaticamente; sotto tali soglie la valutazione è caso per caso.
Un dispositivo medico con falla di sicurezza informatica è un prodotto difettoso ai sensi del Codice del Consumo?
La giurisprudenza di merito si sta orientando in senso affermativo quando la falla era nota o conoscibile al momento dell’immissione in commercio. L’art. 117 d.lgs. 206/2005 valuta la difettosità anche rispetto alle istruzioni d’uso e alla presentazione del prodotto: se il produttore ha omesso di documentare i limiti di sicurezza informatica, il difetto informativo può essere sufficiente a fondare la responsabilità.
Fonte di riferimento: AgendaDigitale